SDN – OpenFlow-Alternativen. Theoretische und praktische Evaluierung aktueller SDN-Konzepte

Master-Studiengang Information Security

Ing. Dipl.-Ing. Anton Hinterleitner, BSc (Jg. 2014/2016)

Betreuer: Dipl.-Ing. Dipl.-Ing. Christoph Lang-Muhr, BSc

Ausgangslage

Software-Defined Networking (SDN) hat in den letzten Jahren stetig an Popularität gewonnen. Mittlerweile haben zahlreiche Netzwerkausrüster sowie SDN-Startups SDN-fähige Netzwerkprodukte auf den Markt gebracht. OpenFlow ist als erste und prägendste Technologie in der Entwicklung des SDN-Konzepts zu sehen und war dadurch auch Basis der ersten SDN-Umsetzungen. In der Praxis sind jedoch sehr wenige Implementierungen von SDN auf OpenFlow-Basis zu verzeichnen.

Ziel

Diese Arbeit zielt darauf ab, die Limitierungen von OpenFlow im Detail zu veranschaulichen und darauf aufbauend alternative Ansätze aufzuzeigen. Einer der Schwerpunkte der Analyse liegt auf der Evaluierung des sinnvollen und zielführenden Einsatzes in der Praxis. Der Einsatz neuer SDN-Konzepte bedarf ebenso einer Analyse von geänderten Anforderungen an die Netzwerksicherheit: Einerseits soll evaluiert werden, welche neuen Möglichkeiten geboten werden können und andererseits, welches zusätzliche Gefährdungspotenzial entstehen kann. In einem praktischen Teil der Arbeit soll die Anwendbarkeit von SDN-Konzepten analysiert werden.

Ergebnis

Eine umfangreiche Betrachtung von OpenFlow-Limitierungen wurde durchgeführt und dadurch dargelegt, warum OpenFlow sehr selten in der Praxis angewendet wird. Die Alternativen zu OpenFlow basieren auf konträren Konzepten und Technologien, welche im Zuge der Arbeit ebenfalls ausführlich beschrieben wurden. Der Einsatz der unterschiedlichen SDN-Ansätze ist sehr stark vom jeweiligen Anwendungsgebiet abhängig. Im Datacenter-Umfeld sind überwiegend SDN-Overlay-Netzwerke im Einsatz, da sie die Möglichkeit bieten, auf einfache Weise logische Netzwerke zu implementieren. Im WAN sind zusätzliche Anforderungen an das Traffic-Engineering gegeben, wodurch Segment-Routing als relativ neue Herangehensweise großes Potenzial aufweist. In Bezug auf die Netzwerksicherheit konnten Multi-Tenancy und Micro-Segmentierung als wesentliche Technologien dargelegt werden. Die Analyse der in SDN eingesetzten Protokolle zeigt die in den Protokollen implementierten Security-Maßnahmen nur auf Basisniveau.

Ausblick

Die analysierten SDN-Konzepte befinden sich teilweise im Entwicklungsstatus und sind bei etwaigen Erweiterungen auf veränderte Funktionalität zu überprüfen. Weitere Themen, die in Bezug auf die Realisierung von SDN und dessen Security-Konzepten immer aktueller werden, sind die Integration von Container-Virtualisierungs-Plattformen sowie Network Function Virtualization.