Oder warum automatisierte Multicloud-Prozesse mit SD-WAN das Leben erleichtern Manch einer mag sich noch an die Fahrstühle der Sirius-Kybernetik-Corporation (siehe per Anhalter durch die Galaxis) erinnern, die durch das seltsame Prinzip der »entschärften zeitlichen Wahrnehmung « die Fähigkeit besitzen, jemanden auf der richtigen Etage aufzunehmen, noch ehe derjenige selber weiß, dass er das möchte. Führt […]
Oder warum automatisierte Multicloud-Prozesse mit SD-WAN das Leben erleichtern
Manch einer mag sich noch an die Fahrstühle der Sirius-Kybernetik-Corporation (siehe per Anhalter durch die Galaxis) erinnern, die durch das seltsame Prinzip der »entschärften zeitlichen Wahrnehmung « die Fähigkeit besitzen, jemanden auf der richtigen Etage aufzunehmen, noch ehe derjenige selber weiß, dass er das möchte. Führt man diesen Gedanken in unserer IT weiter, so wird man schlussendlich nicht um die Diskussion von automatisierten und selbststeuernden Multicloud-Netzen umhinkommen. Die Frage, die sich stellt ist: Sind heutige Infrastrukturen dazu in der Lage und welche Anforderungen werden an solch eine „Selbststeuereinheit“, sprich Controller gestellt?
Durch die Migration von Unternehmensanwendungen, Daten, Prozessen und sogar Online-Shops in die Cloud werden Unternehmen abhängiger von WAN-Ressourcen und müssen die Abläufe in den Zweigstellen sorgfältiger an ihre kommerziellen Anforderungen ausrichten. Zudem setzen sich Multicloud-Infrastrukturen stärker durch, die sichere, flexible und anwendungsorientierte WAN-, LAN- und WLAN-Verbindungen in modernen Zweigstellen erfordern.
Die Lösung ist ein softwaredefiniertes WAN (SD-WAN), das IT-Abteilungen und Endnutzern eine funktionsreiche und dynamische Anwendungsumgebung bietet und zudem die dringend notwendige WAN- und Zweigstellenmodernisierung unterstützt. SD-WAN muss also bestehende WAN- und Aussenstellenverbindungen als auch zahlreiche neue Funktionen für die automatisierte und schnelle Implementierung von Netzwerkgeräten und Services unterstützen, um die wachsenden und sich verändernden Anforderungen des Unternehmens zu erfüllen. Gleichzeitig sollen auch die Performance und Wirtschaftlichkeit der Anwendungen verbessert werden. Mit SD-WAN ergänzen Kommunikationsdienstleister (Communication Service Provider, CSP) ihr Portfolio um rentable Managed Services. Unternehmen, die zusätzliche Verbindungsoptionen für Zweigstellen und Multicloud anbieten möchten, können auf diese Weise die Servicebereitstellung vereinfachen und optimieren, die Kunden besser schützen, die Kosten senken sowie Monitor- und Report-Tools implementieren, um die Einhaltung der Service Level Agreements (SLA) sicherzustellen. Mit zentraler Orchestrierung und umfassendem,
geografisch verteiltem Zugang können Kommunikationsdienstleister zudem neue Services anbieten und sich schneller neue Umsatzquellen
erschließen.
Die Herausforderung
Die Märkte verändern sich stetig und damit auch die Anforderungen an das traditionelle WAN. Immer mehr Unternehmen verlagern ihre Prozesse in die Cloud und benötigen daher sichere Verbindungen mit hohen Bandbreiten. Diese müssen in der Preisgestaltung auf die Anwendungsanforderungen abgestimmt sein und schnell und einfach bereitgestellt werden können, um mit dem steigenden Tempo und Umfang der Migration in die Cloud Schritt zu halten.
Gartner schätzt, dass SD-WAN bis 2020 bei einer Vielzahl der CPE-Modernisierungen (Customer Premises Equipment) eine massive Rolle spielen wird. Allerdings werden große Unternehmen auch weiterhin MPLS/VPN nutzen und zusätzlich SD-WAN zur Verbesserung ihrer Geschäftsergebnisse integrieren. Manche kleinen und mittelständischen Unternehmen nutzen denselben Ansatz, während andere sich für ein komplettes SD-WAN-Overlay entscheiden. Für eine langfristige SD-WAN-Strategie muss also die Lösung in das vorhandene WAN eingebunden werden, damit die Zweigstellenverbindungen und später auch die SD-Branch-Services sowie das ganzheitliche Bedrohungsmanagement inclusive LAN und WLAN konsistent verwaltet werden können. Gleichzeitig sollte eine SD-WAN- oder SD-Branch-Lösung dank ihrer KI-gestützten Analysen und Automatisierung auch die Sicherstellung der Servicequalität und der Zuverlässigkeit vereinfachen.
Das ist aber leider nicht bei jeder Lösung der Fall. Auch die Zuverlässigkeit, Sicherheit und Betriebsgeschwindigkeit wird nicht von allen SD-WAN-Lösungen im gleichen Maße verbessert. Das liegt daran, dass nicht alle Angebote flexible Architekturen anbieten, die in oderne
WAN-Umgebungen integriert werden können. Auch bei der Reduzierung der Komplexität und der Gesamtkosten gibt es Unterschiede zwischen den verschiedenen Lösungen. Für einen erfolgreichen Wechsel zu SD-WAN benötigen Unternehmen eine flexible Plattform für die Bereitstellung von Netzwerkservices.
Zudem fürchten einige Kommunikationsdienstleister, durch SD-WAN die Einnahmen ihrer bisherigen MPLS- und Managed Services-Angebote zu verlieren. Diese Anbieter sind aufgrund des zunehmenden Wettbewerbs auf einem ausgereiften, standardisierten Markt dem Preisdruck durch günstigere Ethernet-basierte Services und sogar Standard-Internetverbindungen ausgesetzt. Sie können dies jedoch auch als Chance verstehen, neue Services anzubieten und zum Beispiel mit 5G-WLAN-Zugang neue Kunden zu gewinnen.
Einfachere Verbindungen und unkompliziertes Management
Die konsistente Verwaltung der Zweigstellenverbindungen ist schon schwierig genug, doch mit spezifischen Sicherheits- und Anwendungsrichtlinien werden die WAN-Konfigurationen äußerst komplex. Eine moderne Lösung wie z.B. die Contrail SD-WAN-Lösung
muss die folgenden Vorteile bieten:
• Eine nutzerfreundlichere Webkonsole
• Eine große Auswahl an Verbindungsoptionen, darunter Breitband-Internetverbindungen, MPLS, VPN, 4G/LTE und verschiedene ältere Schnittstellen
• Einfache LAN-Topologien mit Virtual Chassis-Unterstützung in Zweigstellen
• WLAN-Integration
• Vollständig automatisierte Bereitstellung von cloudbasierten Endgeräten und Geräten in Zweigstellen
• Integrierte Sicherheitsfunktionen
• Tools für den Entwurf, die Entwicklung und den Betrieb verschiedener Services
• Situationserkennung und -analysen
• Äußerst hohe Zuverlässigkeit
• Offene APIs für eine einfache Integration der Komponenten und Systeme von Drittanbietern
• Integration kompatibler, bisher ungenutzter WAN
Nach der Bereitstellung der Zweigstellengeräte profitieren die Betreiber von der vollkommen automatischen Aktivierung der SD-WAN-, Sicherheits- und Netzwerkfunktionen. Für Cloud-Endgeräte in AWS automatisiert z.B. Contrail Service Orchestration den Lebenszyklus der virtuellen Firewall vSRX mithilfe automatisch erstellter AWS CloudFormation-Vorlagen. LAN-Segmente und andere Services können für die gesamte Zweigstelle hinzugefügt, geändert oder entfernt werden. Dabei wird die Zweigstelle als Einheit betrachtet, sodass nicht jedes Gerät einzeln konfiguriert werden muss. Sicherheitsrichtlinien werden automatisch übernommen und auf alle WAN-Edge- und LAN-Ports angewendet. Daten, die über das Internet übertragen werden, werden vorab mit IPsec verschlüsselt.
Umfassende Sicherheitsmaßnahmen
Die Bedrohungen nehmen täglich zu. Da für den SD-WAN-Verkehr zunehmend Internetverbindungen genutzt werden, müssen Unternehmen unbedingt eine Sicherheitsstrategie ausarbeiten. Mit der leistungsstarken NGFW-Software bietet Contrail SD-WAN dasselbe Sicherheitsniveau für die physischen Firewalls der SRX-Serie und die virtuelle Firewall vSRX. Die vSRX ist auch auf den uCPE-Plattformen (universal CPE) der NFX-Serie vorinstalliert.
Nahtlose Integration in Ihr WAN Wenn Sie SD-WAN zu einer WAN-Umgebung hinzufügen, die bereits über MPLS, Sicherheitsfunktionen und WAN-Optimierung verfügt, muss sich die neue Lösung nahtlos in das bestehende System integrieren lassen und zudem dafür sorgen, dass die neue Infrastruktur zukunftssicher ist. Das Routing von Contrail SD-WAN lässt sich mithilfe von offenen Standardprotokollen problemlos in anderen Netzwerken nutzen (sowohl in softwaredefinierten als auch in älteren Umgebungen). Alle API-gestützten Komponenten sind offen und können durch die Automatisierung oder Integration zu einem übergeordneten IT-System oder BSS/OSS (Business and Operational Support System) ausgebaut werden.
Zuverlässigkeit und hohe Performance für mehrere Mandaten
Für Unternehmenskunden ist die Zuverlässigkeit des Service bei SD-WAN ein wichtigeres Thema als zum Beispiel bei den IP-VPN-Services eines Anbieters mit etablierten SLAs und Modellen für die Servicequalität. Mit SD-WAN lassen sich Kosten einsparen, da für den Verkehr zwischen Zweigstellen und dem Internet sowie zwischen verschiedenen Zweigstellen günstigere Internet-WAN-Verbindungen mit IPsec genutzt werden können. Contrail SD-WAN bietet stets Zuverlässigkeit der Carrier-Klasse. Eine umfasssende SD-WAN-Lösung von Juniper Networks Es bedarf also einer SD-WAN Lösung, z.B. Juniper® Contrail®, die eine einfache, sichere, mandantenfähige SD-WAN- und SDBranch-Lösung über mehrere Standorte sowie die Multicloud unterstützt. Alternativ unterstützt eine „As-a-Service“ Lösung dieselben Funktionen, jedoch wird die Software für die Kontrolle und das Management des SDN von Juniper selbst verwaltet. Die Kunden brauchen sich daher weder um die Administration noch um die Wartung kümmern. Stattdessen bauen sie einfach nur eine Verbindung zwischen ihrer WAN-Edge- und Zweigstelleninfrastruktur und dem Cloud-Service von Juniper auf.
SD-WAN, in dem Fall, Contrail nutzt zur Anbindung der Zweigstellen Hybrid-WANVerbindungen – MPLS, Breitband, ältere Schnittstellen und mobiles 4G/LTE. Die Lösung kombiniert Sicherheits- und Netzwerkfunktionen von Juniper und Drittanbietern, die vollständig automatisiert auf sicheren CPE-Geräten bereitgestellt werden, und unterstützt virtuelle, CPE-ähnliche Multicloud-Endpunkte in Clouds wie AWS und Azure. Sie ermittelt anhand der vorgegebenen Richtlinien dynamisch den optimalen Pfad für bestimmten Anwendungsdatenverkehr und sorgt mithilfe von Nutzer- und Applikationskontrolle, Analysen zur Qualität des Aktiv/Passiv-Betriebs für konsistente und zuverlässige WAN-Services. Die zentrale Komponente ist die Contrail Service Orchestration-Software von Juniper, mit der sichere WAN- und Zweigstellen-Services entworfen, entwickelt und koordiniert werden können. Kunden haben die Wahl zwischen dem von Juniper verwalteten Contrail SD-WAN as a Service, von Juniper-Partnern bereit gestellten Angeboten (MSP) oder der eigenständigen Implementierung und Verwaltung von Contrail Service Orchestration. Diese sowohl „On Premises“ oder in einer virtuellen privaten Cloud.
Grundvoraussetzung einer solchen Lösung ist die Hochverfügbarkeit, die einfache Skalierung je nach Bedarf und dass sie mehrere Mandanten mit rollenbasierten Zugriffsrechten unterstützt. Aufgrund der Mehrfachmandantenfähigkeit ist auch eine Aufgabentrennung
(Separation of Concerns) unter den Teams und individuellen Anwenderumgebungen erforderlich. Kommunikationsdienstleister sind auf die Mehrfachmandantenfähigkeit angewiesen, wenn sie ihre SD-WAN- und Zweigstellenservices ausbauen wollen, um ihre Wettbewerbsfähigkeit zu verbessern und die Umsätze zu steigern.
Eine SD-WAN Implementierung sollte alle gängigen WAN-Netzwerkarchitekturen und Underlay-Transportprotokolle unterstützen. So verwendet zum Beispiel Contrail SDWAN in den Spoke-Systemen der Zweigstellen die Network Services Platform der NFXSerie von Juniper Networks, die Services Gateways der SRX-Serie und die virtuelle Firewall vSRX, um einheitliche Sicherheitsmaßnahmen für das gesamte Unternehmen zu implementieren. In der Cloud oder auf einer Virtualisierungsplattform werden virtuelle vSRX-Firewalls als Spoke-Systeme verwendet. Zur Unterstützung großer WANTopologien fungieren physische Firewalls der SRX-Serie, virtuelle vSRX-Firewalls oder die universellen 5G-Routing-Plattformen der MX-Serie von Juniper Networks als Routing-Hubs.
Contrail SD-WAN endet nicht am WAN-Perimeter. Es vereinheitlicht die Sicherheitsfunktionen und das Management sowohl innerhalb der Zweigstelle als auch für das LAN und WLAN. Die Lösung koordiniert die Ethernet-Switches der EX-Serie von Juniper Networks, um LAN-Services für Nutzer, IoT-Geräte und WLAN Access Points bereitzustellen. Die Contrail-Management-Oberfläche ist auch mit den WLAN-Produkten von MIST Systems kompatibel. Sie dient als Schnittstelle zur MIST Cloud und bietet auf den MIST Access Points einen Überblick über die WLAN-Aktivitäten, ordnet diese den Zweigstellen zu und ermöglicht die Suche nach drahtlosen Endgeräten. Über die Contrail-Oberfläche können Administratoren auf den richtigen Bereich der MIST Cloud zugreifen und sich auch dort einen Überblick über die Zweigstellen-Switches und WANAnalysen verschaffen.
Dank dieser neuen Architektur ist die Bereitstellung komplexer Netzwerkservices in Zweigstellen einfacher als je zuvor. Wobei wir letztlich wieder bei den autonomen und selbststeuernden Multicloud-Netzen sind, die in Zukunft vielleicht auch mit dem seltsamen Prinzip einer „entschärften zeitlichen Wahrnehmung“ die Fähigkeit besitzen, Verbindung mit der bestmöglichsten Qualität und Bandbreite zum geringsten Preis zur Verfügung zu stellen.
Autor: Karl-Heinz Lutz, Partner Consultant DACH bei Juniper Networks
