Cisco Software Defined Access: SDN in het LAN
Nivo organiseert maandelijks “TechTalks”. Dinsdag 7 mei verzorgde Jesse Schmidt van Cisco hierbij een sessie over “Software Defined Access”. Software Defined Access (SD-Access) is Cisco's SDN-oplossing voor het Campus LAN.
Op Cisco Live, begin dit jaar in Barcelona, volgde ik ook al een sessie over SD-Access: “SD-Access Deep Dive”. Ik moet eerlijk zeggen dat ik na die sessie het nut van SD-Access nog niet helemaal inzag.
Complexiteit in configuratie
Wat mij bijvoorbeeld opviel was de extra complexiteit die SD-Access geeft. In de sessie werd onder andere uitgelegd wat je moest doen om “DHCP forwarding” te activeren. Ik vond het nogal veel werk voor iets wat in een traditioneel netwerk met letterlijk 1 regel configuratie te doen is.
Meer flexibiliteit, betere security
Gelukkig ging Jesse wat meer in op het waaromvan SD-Access. Hij legde duidelijk uit wat de problemen zijn die Cisco met SD-Access wil oplossen. Het gaat dan met name om flexibiliteit en security. Als je bekend bent met ACI, Application Centric Infrastructure -Cisco's Software Defined Datacenter aanpak - dan zal je daarvan veel herkennen in SD-Access.
ACI, maar ook bijvoorbeeld VMWare NSX, draait met name om de controleerbaarheid van je netwerkverkeer. Weten wat met wat communiceert en dat, als het nodig is, heel fijnmazig te kunnen beïnvloeden. SD-Access is wat dat betreft vergelijkbaar.
Grenzen tussen trusted en untrusted zijn minder hard
Traditioneel waren security zones redelijk zwart/wit: “binnen” de firewall was trusted, buiten de firewall untrusted. In “Unified” netwerken en met allerlei applicaties in de Cloud is deze grens niet meer zo hard. Een IoT-sensor of BYOD-laptop binnen het netwerk is niet meer per definitie trusted, terwijl een applicatieserver in de Cloud dat wellicht wel is.
Minder harde grenzen vooral probleem bij grote netwerken
In kleinere netwerken is dit nog wel op te lossen met strategisch geplaatste firewalls en DMZs, maar in grote netwerken met duizenden access-switches kan dit al gauw schaalbaarheids- en flexibiliteitsissues opleveren.
Nu nog vooral voor de early adoptor
Ik ben, na de presentatie van Jesse, nog niet helemaal om wat SD-Access betreft, maar ik kan me voorstellen dat je als early adoptor, met de juiste kennis en tooling in huis hier nu al in zou kunnen stappen. Maar voor mainstream voegt het, naar mijn mening nog te veel complexiteit toe. Wellicht dat met het volwassen worden van het product, SD-Access later ook nog wel gaat doordringen in kleinere netwerken.
Jeroen Roos
Jeroen Roos is principal consultant bij NiVo network architects met ruim 20 jaar ervaring in IT infrastructuren. Jeroen werkt als netwerk- en securityspecialist bij klanten van NiVo in onder andere overheid, service provider, retail en industrie. Hij heeft ervaring met architectuur, ontwerpen, bouwen en beheren van netwerken.