Interview
01.02.2013, 16:59 Uhr
Ciscos «Unified Access»-Asic erklärt
Cisco Systems hat an der Cisco Live in London Geräte vorgestellt, mit denen sich LAN und WLAN gemeinsam verwalten und betreiben lassen. Computerworld Schweiz sprach mit Robert Soderbery, Leiter der Enterprise Networking Group von Cisco, über die Ankündigung.
Computerworld: Zentrales Bauteil des Catalyst 3850 ist ein neuentwickelter Asic namens «Unified Access Data Plane»-Asic (UADP). Was macht dieser Chip technisch gesehen? Robert Soderbery: Der Asic hat eine ganze Anzahl von verschiedenen Funktionen. Zunächst handelt es sich um einen Asic für einen klassischen Switch, der 24 Anschlüsse unterstützt und den Netzwerkverkehr mit Kabelgeschwindigkeit routet. Weil er IOS als Betriebssystem verwendet, verfügt er über alle Möglichkeiten, den unsere kabelgebundenen Netzwerkgeräte aufweisen. So kann er Datenpakete öffnen, Headerinformationen auslesen und weitere Dienstleistungen von IOS anfordern. Dies war bislang mit Verkehr aus den drahtlosen Access Points (AP) nicht möglich. Denn dieser verwendet ein Tunneling-Protokoll namens Capwap (Control And Provisioning of Wireless Access Points). Wenn man also einen AP mit dem Switch verbindet, wird der ganze Verkehr durch den Switch geschleusst, ohne dessen Intelligenz zu nutzen. Im Grunde genommen wird der Switch umgangen. Dadurch erhält man eigentlich zwei verschiedene Netze, das eine kann die Funktionalitäten des Switches nutzen, und das andere wird mit Hilfe des Capwap-Tunnels durchgeführt. Wir haben deshalb dem Asic Capwap beigebracht und somit einen Tunnelausgang erstellt. Dadurch kann der AP nun direkt mit dem Asic sprechen und auch alle Funktionalitäten für den drahtgebundenen Bereich mitnutzen. Der Vorteil ist dabei natürlich, dass Sie alle ihre WLAN-Router behalten können. Wollen Sie künftig LAN und WLAN gemeinsam verwalten, müssen Sie nur den Switch austauschen und nicht alle ihre APs. Aber das ist noch nicht alles. Wir mussten auf dem Asic auch gewisse Funktionen implementieren, die speziell in der drahtlosen Netzwerkerei gelten. So verwenden WLAN einen sehr robusten Authentisierungsmechanismus. Schliesslich ist der Asic programmierbar geworden. Die Funktionen sind also nicht nur fest verdrahtet in dem Chip untergebracht. Es lassen sich in Zukunft weitere Funktionen hinzufügen, ähnlich wie bei einem Firmware-Update für eine Appliance. Wenn es also ein neues Protokoll zu unterstützen gibt, können wir dem Asic ein Update schicken, statt den ganzen Asic austauschen zu müssen. Dadurch erhält man natürlich eine bestimmte Investitionssicherheit. Sie haben den Chip auch in den WLAN Controler 5760 verbaut. Welche Funktion hat er dort? Soderbery: Bislang haben WLAN Controler allgemeine Prozessoren verwendet, es waren also im Grunde genommen X86er Server mit einer Spezialaufgabe als Appliance. Diese 08/15-Prozessoren waren in der Lage eine Bandbreite von 10 Gigabit pro Sekunde zu gewährleisten. Schon ein einziger der UADP-Asic schafft 20 Gigabit. Somit wurde die Leistung verdoppelt. Jetzt haben wir gleich drei Asics in den 5760er gesteckt und somit die Bandbreite versechsfacht. Nächste Seite: Die Catalyst 6500er Roadmap Sie haben den neuen Asic im Catalyst 3850 untergebracht. Wie verhält es sich mit den Catalyst 6500, werden auch diese Switches den Asic erhalten - immerhin handelt es sich dabei um die «Brot und Butter»-Geräte von Cisco? Soderbery: Das stimmt. Wir investieren auch stark in die Catalyst-6500-Reihe. Wir haben eine neue Generation dieser Switches geplant und werden diese möglicherweise an unserer nächsten CiscoLive-Konferenz in Orlando oder im Spätsommer ankündigen.Wird diese neue Generation auch eine Verbindung zur drahtlosen Welt herstellen? Soderbery: Ja, der Vorteil der Catalyst-6500-Reihe ist, dass sie modular aufgebaut ist. Man kann den Supervisor und die Line-Card unabhängig von einander upgraden. Und Ende Jahr werden wir ein neues Chassis für die Switch-Reihe ankündigen. Dieses Chassis wird den nun eingeführten Asic unterstützen, danach wird der Supervisor diesbezüglich angepasst.Sie haben an der CiscoLive in London auch die neue Routergeneration ISR-AX mit Managementfunktionen gezeigt. Diese soll gleich mehrere Eigenschaften haben. So soll sie für Visibilität, Kontrolle, Optimierung und Sicherheit sorgen. Können Sie das etwas ausführen, was sie unter diesen Begriffen verstehen? Soderbery: Unter Visibilität verstehen wir, dass der Verkehr von einzelnen Webapplikationen sichtbar wird. Man sieht also beispielsweise, ob der Verkehr durch den Besuch von Facebook, Bittorrent oder Webex zustande kommt. Heutige Mangement-Tools zeigen lediglich an, dass es sich beim Datenverkehr um Web-Traffic handelt.Mit Kontrolle ist die Möglichkeit gemeint, beispielsweise verschiedene Dienstgüten für unterschiedliche Applikationen festzulegen. Darüber hinaus lassen sich bestimmte Routen für verschiedene Verkehrsarten festlegen. Um ein Beispiel zu geben: Viele Firmen benutzen sowohl ein teures MPLS-Netz (Multiprotocol Label Switching) als auch das Internet für die Datenübertragung. Nun kann man definieren, welche Art Datenverkehr via MPLS und welche über das Internet geleitet werden kann. Laut Gartner kann Vieles, das bislang via MPLS spediert wird, durchaus auch mit Hilfe des Internet befördert werden, ohne dass wichtige Business-Funktionen dadurch gefährdet würden.Optimierung ist im Grunde genommen WAN-Optimierung. Heute verkaufen wir und andere Hersteller diese Funktion in einer separaten Box. Dabei machen diese Spezial-Geräte vieles, was ein Router auch schon tut, nämlich die Datenpakete analysieren und entscheiden, zu welchen Anwendungen diese gehören. Statt also nochmals ein Gerät bereitzustellen haben wir WAN-Optimierung gleich im ISR-AX untergebracht, sozusagen als Software-Zusatz. Bei Security haben wir einerseits IPSec-WAN-Security integriert, andererseits lassen sich die Sicherheitsdienstleistungen, die wir anbieten, adressieren. So lässt sich der Internet-Verkehr durch unsere ScanSafe-Cloud schicken, bevor er weiterbefördert wird. Nächste Seite: Ciscos SDN Ciscos CTO, Padmasree Warrior, hat an der CiscoLive gemeint, dass es nicht nur eine Art SDN (Software Defined Networking) gibt, die allen passt. Warum braucht es unterschiedliche SDN und was sind derzeitige Applikationen für die virtualiserte Netzwerkwelt? Soderbery: Die grösste Nachfrage nach SDN besteht derzeit im Rechenzentrum und nicht im Campusnetz. Und im Rechenzentrum geht es hauptsächlich darum, Applikationen flexibel zu provisionieren. Das beste Beispiel liefert hier Openstack, eine Open-Source-Technik, um Applikationen zur Verfügung zu stellen. Für Openstack braucht man daher ein API zum Netzwerk, um diesem beispielsweise mitteilen zukönnen, es soll folgende Server mit bestimmten Applikations-Ressourcen verbinden und dies alles über eine Leitung mit geringer Latenz oder mit hoher Dienstgüte. Bei dieser Form von SDN kann man also dem Netzwerk sagen, was es zu tun hat. Es gibt dann weitere Applikationen, die beispielsweise speziell auf die Finanzindustrie zugeschnitten ist. Hier ist man vor allem an geringer Latenz interessiert. Man will also dem Netzwerk befehlen können punkt A mit Punkt B zu verbinden, und zwar auf dem kürzest möglichen Weg.Das SDN-Protokoll Openflow ist also nicht ausreichend für diese Anwendungen? Soderbery: Openflow dient im Grunde dazu, ein Netzwerk mit SDN von Grund auf neu aufzubauen. Das ist eine interessante akademische Übung. Die meisten unserer Kunden haben aber bereits ein Netz. Das Letzte, was sie tun wollen, wäre dieses Netz herauszureissen und mit etwas völlig Neuem zu ersetzen. Was sie aber wollen, sind flexiblere und programmierbare Netze. Um nochmals die Finanzindustrie zu bemühen. Viele Banken haben bereits eine ausgefeilte Infrastruktur. Was aber noch fehlt ist beispielsweise die Möglichkeit, für ihre Hochfrequenz-Handelsapplikation im Netzwerk einen Pfad zu definieren mit den geringst möglichen Verzögerungszeiten. Bislang gab es diese Möglichkeit leider noch nicht. Mit OnePK (dem SDN-Angebot Ciscos; Anm. der Red.) ändern wir das und bieten Wege an, um solche Anweisungen an das Netzwerk zu geben.Und wo hat nun Openflow in dieser Architektur Platz? Soderbery: Openflow ist eines von vielen API. Es ist zudem recht rudimentär und übernimmt im Grunde die Funktion einer Forwarding-Tabelle. Es öffnet also Datenpakete und bestimmt, wohin sie weitergeleitet werden sollen. Die OnePK-API unterstützen nicht nur Openflow, sondern auch API, die technisch gesehen wesentlich ausgefeilter sind.