Of je nu het netwerk van een enterprise, van een campus of van een hyperscale-datacenter beheert, de eisen die aan het netwerk gesteld worden zijn steeds vaker vergelijkbaar. Wordt daardoor elke it-afdeling van een organisatie van enige omvang straks zijn eigen service provider?
Een hoop van de typische serviceprovider-diensten, zoals connectiviteit tussen datacenters en naar workloads en het aanbieden van zaken als DHCP, NTP en firewalls vinden we vandaag de dag terug in enterprise-netwerken. Dit heeft tot gevolg dat ook andere technieken, zoals overlaynetworking, uit de serviceprovider-wereld steeds vaker relevant worden voor bedrijven en instellingen.
Klassiek
In het verleden zagen we, zeker binnen een gebouw of datacenter, vaak een drie-tier architectuur waarbij er voor routing en switching gebruik gemaakt werd van een core-, een distributie- en een access-laag. Dit is het klassieke design. Deze architectuur kwam onder andere voort uit de gelimiteerde ruimte die beschikbaar was in bijvoorbeeld het geheugen (tcam) en de harde scheiding tussen functies (routers en switches) binnen het netwerk. Dit ontwerp was complex in beheer en aanpassingen waren lastig te maken.
Onder andere door de introductie van laag 3-switches werd het mogelijk verschillende van deze lagen te combineren. Dit wordt ook wel een collapsed core genoemd. De functie van de core- en distributie-laag konden hierdoor in elkaar geschoven worden met als gevolg dat de gebruikte apparatuur uitwisselbaar werd. Dat maakt de vraag relevant of je bij een ‘refresh’ van het netwerk moet kijken naar één van de lagen (core, distributie of access) of feitelijk de hele architectuur opnieuw zou moeten ontwerpen. Veel organisaties hebben tot vandaag de dag telkens een doos-voor-doos vervanging uitgevoerd, waardoor ze in veel gevallen nog steeds vastzitten aan een verouderd jaren ’90-ontwerp. Een ontwerp dat anno nu niet meer houdbaar is.
Workloads draaien immers niet meer per definitie in het datacenter op het hoofdkantoor. Ze kunnen evengoed op het netwerk van één van de cloud providers draaien, of wellicht moet een workload wel kunnen verhuizen binnen een multicloud-architectuur. Dit zijn slechts twee voorbeelden waar de it-afdeling van een moderne organisatie mee te maken heeft of krijgt. Hoe ga je hier mee om?
Technische uitdagingen
Naast het veranderde eisenpakket voor het netwerk is er een aantal technische uitdagingen die we eindelijk kunnen, en misschien zelfs wel op moeten, lossen. Denk daarbij aan het kwetsbare en kostbare Spanning Tree Protocol of de uiterst ingewikkelde redundantie waarbij we vlan’s ‘door moesten trekken’ tussen datacenters om virtuele machines te kunnen verhuizen tussen hypervisors. Om nog maar niet te spreken van de bijkomende problemen (gebruikers die naar een andere verdieping en dus naar een ander vlan verhuizen) en veiligheidsrisico’s in een ‘traditioneel’ netwerk als je bedenkt welke schade WannaCry, Locky en Petya daarin aan kunnen richten.
Er zijn in het verleden talloze, al dan niet proprietary, oplossingen bedacht voor de hierboven beschreven kwesties in de vorm van onder andere virtual chassis, stacking, fabrics, MC-LAG, VCF, Fusion en Fabric Extender. Het resultaat is dat het netwerk zich nog steeds afvraagt ‘wie waar leeft’ en dat we MAC-adressen blijven flooden, zodat iedere computer en device elkaar kan vinden. Daarnaast werken deze technieken vaak niet samen en wordt het helemaal lastig met apparatuur van verschillende fabrikanten.
Om deze uitdagingen op te lossen moeten organisaties hun mindset met betrekking tot het netwerk aanpassen. ‘Denk en handel als en service provider’, is het devies. Netwerkapparatuur is inmiddels zo krachtig, dat veel functies uit het traditionele 3-Tier model gecombineerd kunnen worden én we zelfs nieuwe functionaliteit toe kunnen voegen. Service provider-technieken komen nu binnen het handbereik van enterprise ondernemingen.
LSE-campus
Een voorbeeld van een organisatie die dit pricipe omarmd heeft is de London School of Economics and Political Science (LSE). De LSE-campus, gevestigd in het hartje van London, huisvest 9600 studenten en ongeveer 3300 werknemers. Daarnaast is de school de serviceprovider voor omliggende universiteiten en academische onderzoeksinstellingen.
Door het gebruik van Evpn (Ethernet vpn) in zowel het campus-, datacenter-, als wan-netwerk kunnen zij workloads en diensten overal op het netwerk beschikbaar maken zonder de traditionele laag 2 problemen. Daardoor is en blijft het netwerk ook in de toekomst relevant.
Binnen serviceprovider-netwerken wordt al langer gebruik gemaakt van Evpn, waarbij de control en dataplane gescheiden worden. Aan de access-kant van het netwerk leren we nog steeds mac-adressen op de traditionele manier, echter gebruiken we nu het border gateway protocol (bgp) om deze slim te distribueren. We hoeven daardoor bijvoorbeeld geen address resolution protocol (arp) requests meer te flooden. Dit heeft als voordeel dat er veel minder kans bestaat op zogenaamde loops in het netwerk, die voor grote verstoringen kunnen zorgen. Daarnaast biedt Evpn ook een oplossing voor de traditionele limiet van ‘maar’ 4096 vlan’s.
De vraag is waarom dan wel Evpn in plaats van één van de al bestaande ‘oplossingen’? Evpn is gebaseerd op open standaarden, er is brede adoptie onder fabrikanten van netwerkapparatuur en er is goede en gemakkelijke integratie mogelijk van brownfield omgevingen. Daarnaast schaalt het veel beter dan de huidige oplossingen in de markt. Hierdoor is de techniek toekomstbestendig; je kunt achteraf routers en switches toevoegen. Wellicht is het meest interessante dat in eerste instantie de access-laag niet vervangen hoeft te worden. Als de core-/distributielaag Evpn ondersteunt, kun je migreren zonder een ‘big bang’ migratie uit te hoeven voeren.
Opvolger
Je kunt gerust stellen dat Evpn de opvolger is van het Layer 2-netwerk, maar dan zonder de traditionele problemen. Daarnaast biedt het een aantal mogelijkheden die voorheen niet zonder meer mogelijk waren, zoals het beschikbaar maken van laag 2-domeinen op meerdere plekken in het netwerk over een laag 3-dienst. Vrij vertaald betekent dit dat we overal Layer 2 beschikbaar kunnen maken – zónder ‘spanning tree’ en zónder flooding van mac-adressen. De scheiding van traffic binnen het netwerk gebeurt in een dergelijk omgeving niet meer op vlan-niveau, maar op virtual routing and forwarding-niveau (vrf) waardoor de scheiding veel strikter is.
Het voordeel is dat we nu, in plaats van de Layer 3 (core) switch die vroeger, omdat hij alle routes en vlans kende, het netwerk ‘aan elkaar knoopte’, een firewall kunnen inzetten die veel betere inspectiemogelijkheden heeft dan puur een access-list. Kijkend naar beveiligingsuitdagingen, zoals ransomware, die we nu zien in het netwerk, is dat pure noodzaak. Hoe dichter we de beveiliging bij het endpoint of de workload kunnen brengen hoe veiliger.
Of elke it-afdeling een serviceprovider wordt weet ik niet, maar bedrijven en instellingen kunnen zeker service provider-technologie inzetten om hun netwerk eenvoudiger, stabieler, schaalbaarder en veiliger te maken.
