Cisco heeft tijd nodig om Intent Based Networking succesvol te maken

Cisco is sinds 2014 bezig met het ontwikkelen van Intent Based Networking. De technologie begon in het datacenter en is sinds 2017 ook beschikbaar voor Campus-netwerken. De nieuwe technologie is dermate anders dat het tijd nodig heeft om het volledig uit te rollen. Elk jaar worden er stappen gezet, in de ontwikkeling, de migratie en de adoptie van de technologie. Uiteindelijk is het een kwestie van tijd totdat Intent Based Networking succesvol wordt, aangezien het een complete herziening is van hoe we netwerken bouwen. Hardware is niet langer leidend, alles wordt software defined. Van de campus, tot het datacenter tot aan de cloud.

Cisco is in 2014 al gestart met Intent Based Networking, maar twee jaar geleden werd de grootste stap gezet. Toen werd het concept van Intent Based Networking gepresenteerd voor Campus-netwerken. Het is Cisco’s manier van software defined networking (SDN), iets waar meer bedrijven vandaag de dag mee bezig zijn.

Het idee erachter is dat gebruikers vrij kunnen reizen door het netwerk, door een campus-netwerk, naar het datacenter en zelfs naar de cloud. Ongeacht of de gebruiker nu gebruikmaakt van een netwerkkabel of met zijn laptop of smartphone draadloos is verbonden met het bedrijfsnetwerk. De gebruiker wordt geïdentificeerd en het endpoint krijgt te maken met een beleid (policy) dat over het hele netwerk van toepassing is. De manier waarop enterprise netwerken worden aangestuurd en gebouwd, is compleet op de schop genomen. Niet langer praten we over VLAN’s met gebruikersgroepen maar over policies per client. Tijdens Cisco Live dit jaar waren de aankondigingen veel minder groot. Er zijn vooral veel kleine nieuwe features die in de sessies werden besproken, maar als we kijken naar het grote nieuws dan zit hem dat vooral in meer network automation, meer analytics en een herziening van Cisco’s trainingsprogramma.

De stappen die Cisco de afgelopen jaren heeft gezet richten zich onder andere op DNA Center (Network Management and Automation-dienst). DNA Center weet in de meeste gevallen al wat er verwacht wordt. Het netwerk herkent het apparaat en de software configureert het vervolgens. Voorheen moest je apparaten nog eerst handmatig toevoegen via de console. Tegenwoordig kan je nieuwe switches en access points gewoon aansluiten in het netwerk en verschijnen ze automatisch in DNA Center. Dit scheelt een hele hoop manuele handelingen en mogelijke fouten in de configuratie.

Cisco gebruikt niet alleen analytics in DNA Center maar kan inmiddels met hulp van AI ook afwijkingen opsporen en daardoor zeer gericht adviezen geven. Dat neemt met name voor troubleshooting veel werk uit handen, waardoor fouten sneller en met minder werk kunnen worden hersteld.

De rol van de netwerkbeheerder verandert en dus ook de trainingen

Waar een netwerkbeheerder voorheen weken de tijd had om een netwerk op te bouwen, moet alles vandaag de dag zo’n beetje direct. Elke switch apart configureren en de uitrol van nieuwe applicaties weken tot maanden ophouden kan echt niet meer. Daarom wordt alles nu software defined en tracht Cisco zoveel mogelijk centraal aan te sturen en te automatiseren vanuit het Cisco DNA Center. Cisco DNA Center is in principe ontworpen om Campus-netwerken aan te sturen en te configureren, maar krijgt langzaam een steeds grotere rol met ondersteuning voor SD-WAN en SD-Branch. Voor het datacenter en de cloud gebruikt Cisco zijn Application Centric Infrastructure (ACI)-technologie, wat ook gebaseerd is op Intent Based Networking. Cisco DNA Center kan geen management doen in ACI, maar segmentering van verkeer is wel mogelijk tussen de campus, het datacenter en de cloud.

De weg naar software defined betekent ook dat netwerkbeheerders anders moeten gaan denken en werken. De Cisco-trainingen spelen een grote rol om ze daarin te begeleiden. Cisco zag echter dat met de komst van software defined networking er een grotere vraag is naar scripting voor oplossingen op maat binnen het netwerk. De Cisco Devnet community speelt daar een grote rol in, maar die stond los van de netwerk professionals. Dat is nu verleden tijd. Beide communities zijn samengevoegd. Het betekent dat op basis van de behoefte men nu trainingen kan volgen uit beide kampen. Iemand kan zich dus specialiseren in bepaalde netwerktechnologie (campus, IoT), maar tegelijk ook Devnet-trainingen volgen om dit beter op maat in te zetten of te automatiseren.

Wat is Intent Based Networking ook alweer?

Voor de lezers die minder bekend zijn met Cisco’s ingeslagen weg is het goed om nog even stil te staan bij wat Intent Based Networking (IBN) ook alweer is. Met IBN moet de netwerkbeheerder aangeven aan het netwerk wat de intent (doel) is van een bepaalde actie of de weg die moet worden afgelegd. Dit gebeurt op basis van een policy met eisen, waarna het netwerk zelf de configuratie samenstelt en uitrolt over de verschillende netwerkapparaten. Het gebeurt allemaal software defined en in gesegmenteerde netwerkblokken.

Een voorbeeld hiervan is dat alle gebruikers in een secundaire kantoorlocatie (branche office) verbinding moeten kunnen maken met de payroll-applicatie die op een server draait op het hoofdkantoor. Om dit mogelijk te maken moet het campusnetwerk zo geconfigureerd worden dat er via SD-Access een beleid is waarin de gebruiker een dergelijke verbinding kan maken. Ook zal SD-Wan worden geconfigureerd omdat de verbinding tussen de twee kantoren loopt.

Dit is een relatief simpel voorbeeld. Het kan namelijk ook een stuk complexer worden, bijvoorbeeld bij applicaties die een lage latency vereisen. Netwerkverkeer moet dan voorrang krijgen of routes afleggen die beschikken over snellere verbindingen. Daarnaast is beveiliging enorm belangrijk en daar komt de netwerksegmentatie ook om de hoek kijken. Bijvoorbeeld in een fabriek, waar alle machines met een IoT-oplossing verbinding moeten maken met een applicatie die het beheer en monitoring doet. Hiervoor kan een privé netwerksegment worden opgezet, waar andere gebruikers van het netwerk niet bij kunnen.

Uiteindelijk komt het erop neer dat bij het vastleggen van het doel, het netwerk automatisch de complete configuratie uitrolt over alle apparaten. Of het nou gaat om access points, switches, firewalls of routers. Ook maakt het niet uit of het netwerk uit meerdere domeinen bestaat. Cisco heeft twee verschillende technologiestandaarden ontwikkeld: Cisco DNA voor campus-netwerken (access points, switches, firewalls, SD-WAN) en Cisco ACI voor datacenters en cloud. Het beheren van de intent based policies gebeurt via ACI en DNA Controller en die kan met beide technologieën overweg.

Eenvoudiger en sneller netwerkbeheer

Het zal uiteindelijk leiden tot eenvoudiger en sneller netwerkbeheer, want de complete configuratie gebeurt vanuit een centraal control panel. Cisco DNA Center is het control panel dat boven alles staat op de Campus, voor het datacenter is dat ACI. Alle Cisco-apparatuur wordt centraal geconfigureerd. Door middel van API’s worden de configuraties verspreid. Bedrijven kunnen eventueel naar wens ook met de API van de controllers communiceren. ACI of DNA Center praat op zijn beurt met de netwerkapparatuur indien er wijzigingen nodig zijn.

Voorheen moesten bedrijven nog veel te vaak de netwerkapparaten apart van elkaar configureren. Daarnaast was er sprake van één grote configuratie, niet van segmentatie en bouwstenen zoals nu met een SDN.

Doordat Cisco nu het Intent Based Netwerk doortrekt over alle lagen van het netwerk, ontstaat er de mogelijkheid om alles centraal te regelen. Het is echt een compleet nieuwe netwerkgeneratie. Doordat alles software defined is, is de monitoring ook centraal geregeld. Hierdoor ontstaan er ook weer nieuwe mogelijkheden.

Knowledge base, monitoring en AI bieden mogelijkheid tot automation

Cisco heeft in de loop der jaren een enorme database aan kennis opgebouwd. Met dank aan het trainingsprogramma en alle gecertificeerde Cisco-professionals zijn enorm veel bekende problemen getackeld en vastgelegd in een knowledge base. Of het nou gaat om een foute configuratie, of het verkeerd positioneren van access points, het niet kunnen bereiken van een DHCP-server, een DHCP-pool die leeg is, een band die teveel gestoord wordt door andere zendmasten, eigenlijk van alles dat komt kijken bij het uitrollen van een netwerk.

Door al die problemen en oplossingen in een knowledge base te steken en hier machine learning en AI op toe te passen, is Cisco steeds beter in staat om door middel van automation problemen op te lossen. Inmiddels kan Cisco al meer dan 300 bekende problemen zelf diagnosticeren. Op dit moment geven veel netwerkbeheerders nog de voorkeur aan het zelf diagnosticeren en dan advies uitbrengen, zodat de beheerder het zelf kan oplossen, maar middels automation kan het software defined network van Cisco het ook direct zelf oplossen. Dat is uiteindelijk ook de toekomst.

Daarnaast investeert Cisco in het continu monitoren van het netwerk en hier analytics op loslaten. Hierdoor is Cisco in staat om problemen sneller te detecteren. Een voorbeeld dat Cisco gaf tijdens Cisco Live was van een applicatie en groep gebruikers die elke dag ongeveer dezelfde beweging maken qua netwerkverkeer. Het netwerkverkeer neemt ’s morgens rond 8:00 uur flink toe, stijgt door tot 10:00, 10:30 en daarna zet de lijn weer een zachte daling in. Als Cisco dan op een willekeurige dag detecteert dat het verkeer rond 10:00 ver onder de norm van de gebruikelijke situatie is, kan het aan de bel trekken. Het kan echter ook machine reasoning gebruiken, zoals Cisco het noemt.

Daarbij gaat het systeem nog net iets verder onderzoek doen. Het heeft al vastgesteld dat er veel minder activiteit is. Komt dit doordat het bijvoorbeeld zondag is en het bedrijf gesloten is? Of zijn er veel minder clients actief in de gebruikersgroep van deze applicatie? Zo kan het bijvoorbeeld detecteren dat een bepaald access point op een afdeling niet goed functioneert, waardoor gebruikers de applicatie niet kunnen bereiken. Normaal gesproken zou je denken dat de applicatie of de hardware waar de applicatie op draait niet goed werkt. In werkelijkheid is het access point van een afdeling het probleem.

Met machine reasoning kan vervolgens op basis van het beleid ook automatisch een oplossing worden uitgerold, of er kan een oplossing worden aangeboden aan de beheerder. Vervolgens kan de beheerder met één click de configuratiewijziging doorvoeren. Stel dat het een probleem is dat in meer access points zit, dan kan ook meteen worden aanbevolen om die wijziging in alle access points door te voeren. Wederom met één klik. Die oplossing kan overigens weer voortkomen uit de AI-technologie die is toegepast op de knowledge base. Al met al is het een samenspel van diverse nieuwe technologieën.

Wifi is probleem nummer één

We hebben van Cisco begrepen dat bij veel klanten op dit moment wifi het allergrootste probleem is. Veel bedrijven zijn bezig met hun weg naar de cloud, waarbij steeds meer on premise-oplossingen verdwijnen en deze worden vervangen door clouddiensten. Bedrijven maken bijvoorbeeld de overstap naar Office 365, Box en andere clouddiensten. Dat is in de basis niet heel erg complex, en vaak gaat een test met een kleine groep gebruikers heel goed. Als er echter ineens 5000 werknemers actief via wifi allerlei clouddiensten gaan gebruiken, dan moet het netwerk en de benodigde bandbreedte daar wel geschikt voor zijn. Het is namelijk een gegeven dat als een bedrijf meer online diensten gaat gebruiken, werknemers ook veel meer dataverkeer gaan genereren, omdat veel clouddiensten met elkaar samenwerken of aan elkaar geknoopt zijn. Het gebruik van media neemt vaak ook toe.

Het is dus van belang om problemen met een wifi-netwerk snel te tackelen. Door hierop AI toe te passen kunnen die problemen snel worden geïdentificeerd en kunnen problemen worden opgelost. In het geval van een persistent probleem kan zelfs worden meegereisd om problemen te detecteren. Verder heeft Cisco een samenwerking met Apple, waarbij het mogelijk is vanaf de client mee te kijken en zo de problemen effectiever op te lossen.

Cisco netwerken zijn zelflerend of kunnen getraind worden middels een workbook

Zodra er problemen worden gedetecteerd en een beheerder de oplossing aanreikt, zal het netwerk hiervan leren om in het vervolg zelf de oplossing toe te passen. Er is ook een alternatieve methode voor het geval dat de situatie dermate complex is, dat er een compleet script uitgevoerd moet worden met diverse acties om een probleem op te lossen. Netwerkbeheerders kunnen een workflow aanmaken, of wat Cisco een Workbook noemt. Hierin kunnen alle stappen en scripts worden gedefinieerd die bij een bepaalde gebeurtenis moeten worden uitgevoerd. Hiermee kan door de beheerder dus zelf een stukje network automation worden toegevoegd.

Cisco Application Centric Infrastructure ook naar de cloud

Cisco Application Centric Infrastructure is zoals eerder vermeld ook gebaseerd op Intent Based Networking, maar richtte zich tot voor kort puur op datacenters. Nu is Cisco begonnen om daar Azure en AWS aan toe te voegen. Hierdoor kunnen bepaalde native cloudservices ook worden aangestuurd vanuit Cisco Application Centric Infrastructure en kan het beleid dat is vastgesteld worden doorgetrokken naar de cloud. Bijvoorbeeld waar het gaat om SLA’s en compliance. Applicaties kunnen hierdoor eenvoudig uitwijken naar een cloudomgeving bij piekbelastingen of storingen. Hierdoor kunnen applicaties die altijd beschikbaar moeten zijn gewoon door draaien.

Het grote voordeel van deze cloudondersteuning is dat alles nog steeds werkt vanuit één control panel. Cisco wordt gekoppeld met AWS en Azure en gebruikt de cloud native API’s om de cloud te configureren. Qua networking werkt het in de cloud allemaal net wat anders. Cisco heeft besloten de cloud native API’s te ondersteunen en niet zijn eigen netwerk bovenop het virtuele netwerk van de cloudprovider te bouwen, want dat heeft een negatief effect op de prestaties. Wel is deze manier van cloud-ondersteuning nog redelijk nieuw voor Cisco. We gaan hier ongetwijfeld nog meer over horen in de nabije toekomst.

Op papier is het allemaal goed, in de praktijk is er nog werk te doen

Om alles in perspectief te plaatsen is het bij dit soort nieuwe technologieën altijd goed om even met wat partners te praten. Dat hebben we dan ook gedaan. Zij zijn over het algemeen positief over de ingeslagen weg. Ze geloven echt dat SDN de toekomst heeft en het IBN-verhaal zijn vruchten zal gaan afwerpen.

Wat sommige partners ook zeggen is dat het uitrollen van een dergelijk netwerk en bijvoorbeeld het inrichten van Cisco ACI of Cisco DNA niet altijd zo eenvoudig is als Cisco het laat overkomen. Als je dit wil uitrollen bij een bestaande enterprise omgeving ga je in feite het complete netwerk vervangen, tenzij er gebruik wordt gemaakt van Cisco-hardware van de laatste jaren. Dit proces is de afgelopen jaren al wel efficiënter geworden, maar er zijn nog een aantal uitdagingen.

Vooral bij enterprise organisaties die geen idee hebben welke applicaties het bedrijf allemaal in gebruik heeft, welke applicaties waar draaien, welke gebruikersgroepen er zijn of horen te zijn. Er zijn nog veel slecht gedocumenteerde en onoverzichtelijke netwerken. Er zijn maar weinig enterprise organisaties die dit wel goed hebben gedocumenteerd of die echt een goed totaaloverzicht hebben van hun netwerk. Dat uitzoeken kost veel tijd. We vroegen om een reactie van Cisco. Het bedrijf erkende dat dit vaak slecht is gedocumenteerd maar dat partners met de monitoringsfunctionaliteiten van DNA en ACI de applicaties en endpoints in kaart kunnen brengen.

Sommige partners waren ook van mening dat Cisco nog lang niet alles kan herkennen. Bedrijven hebben bijvoorbeeld industriële machines staan die niet worden herkend, maar die wel verbonden moeten worden. Cisco laat weten dat het steeds beter wordt in het herkennen van apparaten, maar dat er ook nog veel legacy is. Dat probleem heeft elke netwerkleverancier. Hoe meer apparaten er worden verbonden, hoe beter de herkenning zal worden.

Als we samen moeten vatten wat partners graag zouden willen, is het een nog snellere manier om een intent based netwerk uit te rollen. Ze zijn nog niet tevreden met de totale tijd die het kost om een intent based netwerk te bouwen. We hebben hierover gesproken met Cisco en die wijzen er vooral op dat er al heel veel tijdwinst is geboekt de afgelopen jaren, maar dat er altijd ruimte is voor verbetering.

Voor bedrijven die beginnen aan Intent Based Networking is het ook vooral goed om de voordelen in het oog te houden voor als het draait. Tegenover een misschien wat uitdagend implementatietraject staat het voordeel dat dan de kostenbesparing pas echt begint. Als er iets nieuws in het netwerk moet worden geknoopt kan dat in 10 minuten geregeld zijn, terwijl dat eerst een paar uur zou kosten. Verder wordt de komende jaren steeds meer via automation geregeld, waardoor veel beheeruren bespaard worden. Tot slot is door SDN, de policies en segmentatie, het netwerk veel veiliger en overzichtelijker.

De cloud staat centraal in Cisco’s strategie

We hebben ook redelijk wat gesprekken gevoerd over Cisco over de cloud. We spraken onder meer met Vijoy Pandey, verantwoordelijke voor de cloud- en software-strategie. Hij gaf aan dat enterprises een paar jaar geleden allemaal focusten op een enkele cloudomgeving, terwijl ze nu allemaal praten over hybrid- en multicloud. De beleving en het gebruik van de cloud is veranderd. Ook moet je volgens Pandey geen lift en shift willen doen van on premise naar de cloud. Je moet effectief gebruikmaken van de mogelijkheden die de cloud te bieden heeft en daarbovenop cloud native applicaties bouwen.

Wat hij daarmee wilde zeggen is dat de focus van Cisco meer ligt op het ondersteunen van cloud native netwerken en instances, gecombineerd met een on premise campus- en datacenteromgeving. Iets waar het bedrijf recent aan begonnen is.

Zo is het al mogelijk om een Cisco firewall virtueel in de cloud uit te rollen, dat kan een klant zelf doen, maar ook door een Cisco firewall via de Marketplace van AWS of Azure te bestellen naast de fysieke firewalls die de klant zelf al in de eigen omgeving heeft draaien. Cisco Defense Orchistrator zorgt dan voor consistente security policies over al deze security appliances.

Het beleid dat on premise wordt gevoerd kan worden doorgetrokken naar een private cloud omgeving in AWS of Azure, waar bijvoorbeeld diverse applicaties draaien.

Security staat aan de basis van Cisco Networking

De security-afdeling van Cisco is een beetje een ondergeschoven kindje als men over Cisco praat. Dat komt mede door de financiële resultaten. Cisco Security doet het erg goed, maar in verhouding tot de netwerkafdeling is het maar een klein gedeelte van het resultaat. Feit is echter dat zonder al die security oplossinge, de netwerkproducten lang niet zo goed zouden zijn, of zo goed zouden verkopen.

Zo zijn oplossingen als Stealwatch en Tetration zeer belangrijk voor Cisco. Tetration is goed in het in kaart brengen van applicaties in een netwerk, terwijl Stealwatch zich meer richt op het ip-verkeer, metadata en het hostgedrag. Als bijvoorbeeld een endpoint is gedetecteerd als een printer, maar zijn gedrag wijkt hier vanaf doordat die met de ERP- en CRM-servers gaat verbinden, dan kan de intent worden geverificeerd op het netwerk en kan die worden buitengesloten op het netwerk.

Tot slot speelt Cisco Talos een grote rol in alle oplossingen van Cisco. De netwerkproducten en de beveiligingsoplossingen hebben een koppeling met Talos. Talos is volgens Cisco de grootste beveiligingsdatabase ter wereld. Hierin wordt enorm veel data samengebracht en daaruit wordt weer intelligentie verzameld die de beveiliging naar een hoger niveau moet brengen. Dankzij Talos kan Cisco bijvoorbeeld in versleuteld netwerkverkeer ook ongewenst gedrag herkennen.

Bedrijven die gebruikmaken van Cisco-oplossingen hebben zelf de keuze of ze die actief willen koppelen met Talos, iets wat Cisco wel aanbeveelt. Hierdoor is het mogelijk om een grote berg loginformatie met Cisco te delen, wat weer de nodige voordelen met zich mee brengt.

Clouddiensten maken standaard gebruik van Talos en de on premise-klanten kunnen zelf de keuze maken of en wanneer.

Zijn wij geraakt?

Als er bijvoorbeeld een grote uitbraak of beveiligingsrisico is, dan volgt vaak de vraag van het management: hebben wij daar last van? Is er iets op ons netwerk gesignaleerd wat daarmee te maken heeft? Denk bijvoorbeeld aan de WannaCry-ransomware. Met Cisco Treathresponse kunnen klanten zelf onderzoek doen of zij geraakt zijn. Hier zit Cisco Talos ook achter.

Deze sterke security-propositie zorgt er mede voor dat Cisco zich kan differentiëren van andere netwerkleveranciers. Het is een stevig verkoopargument om voor Cisco te kiezen. De komende jaren blijft Cisco ongetwijfeld sleutelen aan zijn Intent Based Networking-producten en de integratie daarvan, inclusief de combinatie met de security-oplossingen.