Network Function Virtualization (NFV)

Bachelor-Studiengang IT Security

Dominik Handl, BSc

Betreuer: Dipl.-Ing. Dipl.-Ing. Christoph Lang-Muhr, BSc

Ausgangslage

Network Function Virtualisierung (NFV) dient zur leichteren Bewältigung der immer steigenden Anforderungen an eine IT-Landschaft durch neue Applikationen. Netzwerkgeräte, die mittels spezieller Hardware durch Hersteller realisiert sind, werden als virtuelle Maschinen (auch Virtual Appliance genannt) auf Standardservern virtuell betrieben. Dies ermöglicht die Nutzung für Applikationen von zum Teil bereits vorhandenen Ressourcen sowie die Einsparung von Kosten.

Neben den Vorteilen von NFV-Implementierungen bestehen auch diverse Herausforderungen für die virtuellen Systeme. Unter anderem besteht bei virtuellen Implementierungen die Gefahr, nicht die Durchsatzraten einer herstellerspezifischen Hardware-Implementierung zu erreichen. Dies beruht auf der Tatsache, dass virtuelle Maschinen nicht die eigens entworfenen anwendungsspezifischen Prozessoren verwenden, welche bei den Hardwaregeräten oft schon implementiert sind.

Ziel

Ziel dieser Arbeit ist es festzustellen, inwiefern die unterschiedlichen Vorteile und Herausforderungen im Speziellen auf eine virtuell implementierte Next-Generation-Firewall zutreffen. Hierfür werden die Anschaffungskosten unterschiedlicher Varianten verglichen und ausgewertet. Für die Analyse des oft befürchteten Performanceverlustes durch virtuelle Maschinen wird eine Testumgebung aufgebaut. Die realen Durchsatzraten einer virtuellen Firewall im Vergleich zu einer herstellerspezifischen Hardware-Implementierung werden anhand verschiedener Testszenarien gemessen. Zusätzlich wird überprüft, welcher Aufwand durch eine Migration von einem Hardwaregerät zu einer virtuellen Lösung entstehen kann und ob mögliche Anpassungen in der vorhandenen Infrastruktur notwendig sind.

Ergebnis

Im Zuge dieser Arbeit konnte festgestellt werden, dass unter gewissen Voraussetzungen bereits bei der Anschaffung einer Next-Generation-Firewall ein Kostenvorteil durch die virtuelle Implementierung erreicht werden kann. Bei den darauffolgenden Durchsatzmessungen konnte analysiert werden, dass eine virtuelle Firewall in bestimmten Funktionsbereichen einen höheren Durchsatz als ein herstellerspezifisches Gerät erreichen kann. Schlussendlich wurde eine Migration, ohne Anpassungen an der vorhandenen Infrastruktur, von einem Hardwaregerät auf eine virtuelle Lösung erfolgreich durchgeführt.