Im Interview: Rolf Bachmann, Controlware GmbH„Traditionelle Konzepte reichen nicht mehr aus, Automatisierung des Campus-Netzwerks ist gefragt.“
2. September 2019
Im Kielwasser der Digitalisierung kommen vollständig neue Anforderungen auf die Netzwerkinfrastruktur im Unternehmen zu. Daher sind traditionell betriebene Netzwerke kaum mehr in der Lage, die benötigte Flexibilität zu liefern. Im Interview mit line-of.biz (LoB) erläutert Rolf Bachmann, Head of Network Solutions Business Development bei der Controlware GmbH, wie das „Campus-Netzwerk der Zukunft“ aussehen könnte, und welche Vorteile es für Anwenderunternehmen mit sich bringt.
LoB: Welche speziellen Anforderungen durch die zunehmende Digitalisierung erhöhen den Druck auf die Netzwerkverantwortlichen?
Bachmann: Die Digitale Transformation ist besonders relevant in Märkten, die einem hohen Konkurrenzdruck bzw. Verdrängungswettbewerb ausgesetzt sind – bei gleichzeitiger eingeschränkter Möglichkeit der Differenzierung über Produktinnovationen. Aber auch alle anderen Märkte sind betroffen. Wir haben vier Themenbereiche identifiziert, die sich besonders auf die Netzwerkinfrastrukturen im LAN bzw. Campus auswirken und diese verändern: Connectivity / Mobility, IoT, Cloud bzw. Multi Cloud und Cyber Security.
LoB: Mit welchen Anforderungen haben die Netzwerkverantwortlichen zu kämpfen?
Bachmann: Konkret sehen sie sich neben dem permanenten Datenwachstum mit einer Vielzahl an Anforderungen konfrontiert. Dazu zählen die permanent weiter steigende Anzahl von Usern und Endpunkten in den IP-Netzen, der Bedarf an immer mehr VLANs und IP-Subnetzen – sprich Segmentierung und Mikrosegmentierung. Dazu kommt noch die zunehmende Komplexität bei der Verwaltung von Usern oder Endpunkten und deren Zugriffsrechten bzw. Interaktionsprofilen. Das ist unter anderem auch bedingt durch fragmentierte Management-Umgebungen und multiple Touch-Points, die separaten User-Policies für WLAN und kabelgebundene Netzwerke. Des Weiteren kommen neue Services bzw. Workloads in Cloud-Umgebungen dazu und damit verbundene neue Kommunikationswege und -profile, für die weder Erfahrungswerte noch handhabbare Analysemöglichkeiten bestehen, sowie ein aufwendiges Troubleshooting und damit verbundene langsame Problem- und Lösungsfindung.
LoB: Lassen sich diese Anforderungen mit bestehenden Konzepten abdecken?
Bachmann: Einige dieser Anforderungen können vielleicht mit traditionellen Netzwerken noch bewältigt werden, die Gesamtheit aller Anforderungen bei gleichbleibenden IT-Ressourcen aber definitiv nicht mehr. Der notwendige Gesamtaufwand und die Gefahr von Fehl- oder gar fehlenden Konfigurationen und eventuellen Sicherheitslücken oder Instabilitäten der Infrastruktur werden einfach zu groß. Darüber hinaus sollen sich die IT-Bereiche auch noch von Cost Centern zu Business Enablern entwickeln, sprich IT-Verantwortliche sollen aktiv eine bessere Positionierung der Unternehmen im Markt mit innovativen, IT-gestützten Produkten vorantreiben. Und hier schließt sich der Kreis: Die Unternehmen wollen oder müssen ihre eigenen Produkte zunehmend digitalisieren und benötigen dafür genau die IT-Ressourcen, die durch die Digitalisierung sowieso schon mit zusätzlichen Anforderungen belastet sind. Daraus wiederum resultiert der Bedarf, Netzwerkinfrastrukturen zukünftig anders zu betreiben und so viel wie möglich der zeitraubenden Routinetätigkeiten über Richtlinienmanagement und Netzwerkautomatisierung abzufangen, um damit den für die IT-Bereiche so dringend benötigten Freiraum zu schaffen.
LoB: Was verstehen Sie unter der „Automatisierung eines Campus-Netzwerks“?
Bachmann: Im Endeffekt geht es darum, autonome Netzwerke zu schaffen, auch wenn wir Stand heute davon noch ein gutes Stück entfernt sind. Ein autonomes Netzwerk „kennt“ sämtliche seiner Endpunkte mit allen zugehörigen Berechtigungen – das ist die Kommunikationsrichtlinie, die beschreibt, wer bzw. welches Gerät sich mit welcher Konfiguration wann und wie mit dem Netzwerk verbinden darf, welche Zugriffsrechte bestehen, welche Protokolle verwendet werden dürfen und mit welchen anderen Geräten in welcher Form kommuniziert werden darf. Weiterhin „kennt“ das Netzwerk die Applikationen, die auf ihm betrieben werden, mit den jeweiligen Qualitätsanforderungen – Stichwort Packet Loss, Delay, Jitter. Über entsprechende Analysefunktionen „weiß“ das Netzwerk darüber hinaus, in welchem Zustand sich jeder Teil des Netzwerkes befindet (on-/offline, verfügbare Bandbreiten, Congestions) und welche Verbindungsanforderungen von jedem Endpunkt bestehen.
LoB: Was hat das zur Folge?
Bachmann: Das autonome Netzwerk konfiguriert sich nun selbst entsprechend dieser Anforderungen und auf Basis der festgelegten Richtlinien. Das heißt, Verbindungsanforderungen führen ohne manuellen Eingriff zu einer Ad-hoc-Konfiguration der dafür erforderlichen Hard- und Software. Verschlechterungen der Service-Qualität, z. B. durch Ausfall oder Überlastung einer Komponente führen automatisch zur Rekonfiguration des Netzwerkes. Das Beenden von Verbindungen führt zu einer automatischen Dekonfiguration der zugehörigen Einstellungen.
LoB: Inwieweit handelt es sich dabei noch um „Zukunftsmusik“?
Bachmann: Derzeit ist dieser Regelkreis noch nicht geschlossen. In softwaredefinierten Campus-Netzwerken nutzen wir bereits die Kommunikationsrichtlinie und rollen diese unter Zuhilfenahme von Zero-Touch-Provisioning automatisch auf die Netzwerkhardware (z. B. Router, Switch, Access Point, Controller) aus. Die üblichen Redundanzmechanismen bei Ausfall von Komponenten funktionieren sowieso. Unter Ausnutzung der Programmierschnittstellen (API) gibt es erste Ansätze, Workflows komponentenübergreifend abzubilden – etwa die automatische Zugangsbeschränkung eines Gerätes, das über keine aktuelle Virensignatur verfügt und dadurch nur Zugang zum Signaturserver zwecks Update erhält. Monitoring- und Analytics-Software verbessern das Verständnis des Netzwerkverhaltens und die Netzwerkmanagementsoftware unterstützt beim Troubleshooting – ebenfalls komponentenübergreifend (übrigens besser, als wir anfangs vermutet haben). Allerdings erfolgt die Anpassung der Policies noch manuell. Und auch bei der automatischen Re- und Dekonfiguration von Netzwerkeinstellungen besteht noch reichlich Potenzial zur Weiterentwicklung.
LoB: Welche Auswirkungen hat das auf die Sicherheit und Zuverlässigkeit der Netzwerke?
Bachmann: Hält man sich vor Augen, dass laut einer Studie von Cisco aus dem Jahr 2017 rund 70 Prozent der Richtlinienverletzungen ihre Ursache in menschlicher Fehlprogrammierung haben, dann sind die Auswirkungen erheblich. Dadurch, dass das Netzwerk sich selbst auf Basis der vorgegeben Policies programmiert, fallen diese Fehlprogrammierungen komplett weg. Das führt zu einer konsequenten Umsetzung der Security-Policy und auch zu einer höheren Stabilität des gesamten Netzwerkes.
LoB: Was sind nach Ihrer Einschätzung dabei die größten Vorteile für die Netzwerkverwaltung?
Bachmann: Die Netzwerkverantwortlichen sollen ein immer höheres Arbeitspensum in kürzerer Zeit bewältigen. Gleichzeitig werden die Anforderungen komplexer und zusätzliche Ressourcen stehen nur selten zur Verfügung. Diesem Fehlverhältnis lässt sich nach heutigem Wissen nur mit Automatisierung begegnen. Automatisierung wiederum funktioniert nur in IT-Landschaften, die zuvor auf ein handhabbares Maß verschlankt wurden. Damit ergeben sich drei wesentliche Vorteile: Allein durch die Entlastung der Infrastrukturen von hinderlicher Komplexität – also einer Verschlankung – ergibt sich ein einfacherer und stabilerer Netzwerkbetrieb. Lästige Routineaufgaben können durch das Netzwerk autonom, schneller und mit einer höheren Qualität erledigt werden. Und last but not least: Die Automatisierung bringt einen Zeitgewinn – direkt für die IT-Mitarbeiter und indirekt für alle, die von der Arbeit der IT abhängig sind. Dieser Zeitgewinn schafft die Voraussetzung für eine höhere Innovationskraft des gesamten Unternehmens.
LoB: Was bringt die neuartige Herangehensweise für Benefits in Sachen Performance und Kostenreduzierung?
Bachmann: Die Reduzierung von Kosten steht hier eher im Hintergrund. Vorrangig geht es darum, den Anforderungen der Digitalisierung gerecht zu werden und das Unternehmen im Markt zumindest ausreichend wettbewerbsfähig zu halten. Konsequent umgesetzt ergibt sich ein Vorteil in der Innovationsfähigkeit und damit in der Differenzierung gegenüber dem Wettbewerb. Bezüglich der Frage zur Performance möchte ich aus einer Kundenstudie von Extreme Networks zitieren, die die Vorteile recht transparent – und vor allem konkret gemessen – darstellt. Der zuvor erwähnte Zeitgewinn für das Gesamtunternehmen wird danach erzeugt durch:
• von Wochen auf Tage verkürzte Implementierungszeiten,
• von Tagen auf Stunden reduzierte Konfigurationszeiten,
• einen 85 % geringeren Zeitaufwand für Troubleshooting,
• von Minuten auf Millisekunden reduzierte Failover-Zeiten,
• 100 % Reduzierung von Ausfällen durch menschliche Fehlprogrammierung und
• die Reduzierung von Wartezeiten um 97 % (von Monaten auf einen Tag).
LoB: Wie können Anwenderunternehmen auf eine derartige Netzwerkkonzeption umsteigen?
Bachmann: Wir haben gute Erfahrungen damit gemacht, wenn zwar eine Gesamtplanung für die Ziel-Architektur vorgenommen, die Umstellung dann aber nur in Teilbereichen begonnen wird – z. B. wenn sowieso ein Hardware-Refresh oder ein Neubau anstehen. Glücklicherweise erlauben die Systeme eine Ankopplung von „Altbeständen“. Danach werden sukzessive weitere Bereiche hinzugenommen. Auf diese Weise ist es möglich, sich in überschaubaren Schritten mit der neuen Arbeitsweise „anzufreunden“. Begonnen werden sollte in jedem Fall damit, bei einem Refresh nur noch Komponenten einzusetzen, die die neue Technologie unterstützen. Auch ist es sinnvoll, möglichst schnell zumindest Teile der Backbone-Infrastruktur zu einer Fabric-Umgebung zu migrieren und mit dem Einsatz von Analytics-Software zu beginnen. Insbesondere letztere kann hilfreich für den weiteren Migrationspfad sein, da es in der Regel einfacher fällt, genau die Stellen des Netzwerkes oder auch die Applikationen zu identifizieren, die am dringendsten einer Revision bedürfen. Die Integration von mindestens einem 3rd-Party-Hersteller sollte relativ früh eingeplant werden, um ein Gefühl für die Vorteile und den Aufwand zu bekommen. Ob man mit der Einbindung der Firewall beginnt oder vielleicht doch lieber mit der Netzwerkzugangskontrolle (sofern sie nicht bereits integriert ist) oder dem IP-Adress-Management, unterliegt dem eigenen Gusto, aber wer einmal damit angefangen hat, wird relativ schnell Geschmack daran finden.
LoB: Wer kann den Anwenderunternehmen bei einer Umstellung helfen und welche Kompetenzen sind dazu nötig?
Bachmann: Das Betriebsmodell unterscheidet sich tatsächlich deutlich von der gewohnten Arbeitsweise. Die Policy wird zum Dreh- und Angelpunkt des gesamten Systems und Nachlässigkeiten bei der Definition fallen einem im späteren Betrieb früher auf die Füße, als man glauben kann. Insofern kann ich nur raten, sich an die Empfehlungen der Hersteller zu halten. Neben dem Wissen um die Kopplung von APIs mit den zugehörigen Programmiersprachen ist auch weiterhin profundes Netzwerk-Know-how der Grundstein. Die Hauptschwierigkeit liegt für die handelnden Personen aber typischerweise darin, die gewohnte Arbeitsweise erst einmal zu „vergessen“, sich noch einmal auf die Schulbank zu setzen und sich mit der neuen Methodik gewissenhaft auseinanderzusetzen. Das Ganze lässt sich etwas vereinfachen und beschleunigen, wenn ein qualifizierter Systemintegrator hinzugezogen wird, der solche Umgebungen bereits aufgesetzt hat und auch über Erfahrungen im produktiven Betrieb eines Software Defined Campus verfügt. Damit ist es möglich, die Lernkurve, die dieser bereits bei Installationen anderer Kunden durchlaufen hat, für sich zu nutzen und einige Fallstricke zu umgehen, die eventuell viel Zeit kosten. Und im Rahmen der Digitalen Transformation ist „Zeit“ – wie bereits zuvor ausgeführt – eines der Kernprobleme der IT-Abteilungen.
Rainer Huttenloher
Zum Webcast „SD-Campus-Lösungen“
Gründe für den Einsatz von SD-Campus-Lösungen verdeutlicht der Webcast „SD-Campus-Lösungen“. Mehr Informationen (inklusive Anmeldemöglichkeit) sind hier zu finden.
