Startseite > Netzwerke & IT-Infrastruktur > Ende der Dampflok-Ära im Netzwerk?

SD-WAN, ZTNA und Fabric to the Edge

Ende der Dampflok-Ära im Netzwerk?

26. Februar 2024, 10:00 Uhr | Autor: Olaf Hagemann / Redaktion: Diana Künstler

So bahnbrechend wie die Dampflokomotive war vor Jahrzehnten die Netzwerktechnik MPLS. Doch was für den Schienenverkehr die Luftfahrt war, ist für MPLS nun SD-WAN, meint Olaf Hagemann von Extreme Networks. In seinem Beitrag fokussiert er Anforderungen hybrider Multi-Cloud-Umgebungen und Sicherheit.

Der Artikel liefert unter anderem Antworten auf folgende Fragen:

Was ist SD-WAN?
Wie unterscheidet sich SD-WAN von Netzwerklösungen wie MPLS?
Warum ist SD-WAN für Unternehmen in der Hybrid-Cloud-Ära wichtig?
Was bedeutet Fabric to the Edge im Kontext von SD-WAN?
Wie funktioniert Zero Trust Network Access und warum ist es wichtig?
Was sollte bei der Auswahl einer SD-WAN-Lösung beachtet werden?
Wie trägt SD-WAN zur Zukunftssicherheit von Unternehmensnetzwerken bei?

Die Eisenbahn war einst eine wahre Revolution. Anfangs warnten sogar mahnende Stimmen vor Zugfahrten, denn der Mensch sei für dieses horrende Tempo – schneller als jedes Pferd! – nicht geschaffen. So bahnbrechend der Schienenverkehr früher auch war: Mit dem Luftverkehr konnte er nicht mithalten. Denn per Flugzeug ließen sich Orte schneller, bequemer, bald auch verlässlicher und sicherer verbinden – und der Umweg über die Wolken machte Ziele erreichbar, die dem Schienennetz unzugänglich blieben. Einen vergleichbaren Technologiesprung erleben derzeit die Unternehmensnetze. Das Flugzeug der IT heißt SD-WAN.

So bahnbrechend wie die Dampflokomotive war vor Jahrzehnten die Netzwerktechnik MPLS (Multiprotocol Label Switching): Sie ersetzte teure Telefon-Standleitungen durch eine schnelle, zuverlässige Vernetzung von Unternehmensstandorten und revolutionierte die Netzwerkwelt. Doch wie die Eisenbahn früher, so muss sich heute MPLS der fortschrittlicheren Technologie geschlagen geben: SD-WAN (Software-Defined WAN, softwaregesteuertes Weitverkehrsnetz) überflügelt die althergebrachten MPLS-Verbindungen. Denn das MPLS-Streckennetz ist nicht auf die aktuellen Geschäftsanforderungen der Unternehmen ausgelegt.

Matchmaker+ Anbieter zum Thema

zu Matchmaker+

Unternehmensvernetzung für die Hybrid-Cloud-Ära

Unternehmen arbeiten heute an zahllosen Standorten – über Remote- und Home-Office-Arbeitsplätze verteilt. Man spricht sogar schon vom „Infinite Enterprise“ oder „unbegrenzten Unternehmen“. Das Business fußt dabei auf hybriden Multi-Cloud-Umgebungen. „Hybrid“ bedeutet hier: Einige Applikationen laufen im Unternehmensnetz, andere in der Cloud – meist in mehreren, daher „Multi-Cloud“.

Schon innerhalb des klassischen Unternehmensnetzes bietet SD-WAN Vorteile gegenüber MPLS. Denn es gibt viele Anwendungen, für deren Nutzung aus der Ferne das Internet mehr als genug Leistung bietet. Internet-Konnektivität eignet sich hier also nicht nur als reine Failover-Option wie in der MPLS-Ära, sondern bietet oft die kostengünstigere Alternative für Fernzugriffe. Ein SD-WAN ermöglicht es, Internetverbindungen und MPLS-Leitungen flexibel – je nach Anwendungsbedarf und Netzauslastung – zu kombinieren und dabei den Anwendungs-Datenverkehr detailliert zu steuern. Oft können IT-Organisationen dank SD-WAN sogar ganz auf teure MPLS-Technik verzichten und ihr Budget umso stärker entlasten.

Der Hintergrund: Zunehmend setzen Unternehmen – mit einiger Verzögerung auch hierzulande – auf die Cloud. Bei der Nutzung von Cloud-Services kann SD-WAN seine Stärken umso besser ausspielen, ist hier doch der Zugriff per Internet der Regelfall. Herkömmliche Netzwerke weisen in der Regel eine Hub-and-Spoke-Architektur auf, Verbindungen von den Zweigstellen zur Cloud werden also durch die Firewall im Rechenzentrum der Unternehmenszentrale geleitet. Je stärker ein Unternehmen auf Cloud-Nutzung setzt, desto weniger effizient ist diese Netzwerkarchitektur. Denn sie bedingt stets einen Umweg über das zentrale RZ – eine erzwungene Zwischenlandung statt eines Direktflugs – und bremst damit die Benutzererfahrung aus. Deshalb bietet nicht MPLS, sondern SD-WAN die geeignete Startbahn für den Datenverkehr in der hybriden Multi-Cloud-Welt.

Funktionsweise und Vorteile von SD-WAN

Im SD-WAN sorgt eine Orchestrierungssoftware dafür, dass jeder Datenstrom im standortübergreifenden Unternehmensnetzwerk oder beim Zugriff auf Cloud-Umgebungen den jeweils besten Pfad für optimale Leistung nutzt. Diese automatischen Entscheidungen basieren auf dem Anforderungsprofil der Applikation und der aktuellen Auslastung der Netzwerkverbindungen. Eine regelbasierte Priorisierung von Applikationen garantiert dabei die beste Verbindungsqualität für geschäftskritische Anwendungen. Mittels integrierter Firewall und verschlüsselter Datentunnel schützt ein SD-WAN die Daten während der Übertragung. Dadurch eignet es sich auch für sicherheitssensible WAN-Anwendungsfälle.

Ein SD-WAN bietet mehrere Vorteile: Das SD-WAN-Netzwerkdesign gewährleistet standortspezifische Ausfallsicherheit, ermöglicht aber zugleich eine strikte Kostenkontrolle. Des Weiteren ebnet es den Weg für die einfache, risikoarme Migration zu Cloud- und Multi-Cloud-Angeboten: Ein Unternehmen kann zum Beispiel seine Geschäftsprozesse ohne Sicherheits- oder Leistungseinbußen auf SaaS-Anwendungen umstellen und so die Produktivität der Belegschaft steigern. Für Beschäftigte an Standorten abseits der Unternehmenszentrale ermöglicht ein SD-WAN sogenannte „Internet-Breakouts“: Es leitet Internet- oder Cloud-Datenverkehr von einer Zweigstelle direkt an die jeweiligen Cloud-Services. Nutzen Anwender z.B. SaaS-Anwendungen wie Salesforce, minimiert dies die Latenz, sorgt für flüssige Bedienung der Applikationen und verbessert so die Benutzererfahrung.

Auswahl einer SD-WAN-Lösung

Doch auch der moderne Datenflugverkehr kämpft immer mal wieder mit Turbulenzen: Vielen IT-Organisationen mangelt es an qualifiziertem Netzwerk-Fachpersonal; zugleich müssen sie auf die Kosten in der Multi-Cloud-Welt stets ein waches Auge richten; und das Thema Zugangssicherheit spielt im Weitverkehrsnetz keine geringere Rolle als am Flughafen. Deshalb gilt es, bei der Auswahl einer SD-WAN-Lösung einige Punkte besonders zu beachten.

Zunächst muss das IT-Team in einer SD-WAN-Umgebung – wie im gesamten Unternehmensnetz – das Reaktionsverhalten der Applikationen und damit die Qualität der Benutzererfahrung im Griff behalten. Schließlich gilt es zum Beispiel zu vermeiden, dass Entwicklungs- oder Vertriebsteams bei ihren regelmäßigen Online-Meetings mit ruckelnder Darstellung oder einer Bild/Ton-Schere zu kämpfen haben – oder gar, dass der CEO und der CFO Aussetzer in der Videokonferenz erleben, wenn sie die Quartalszahlen besprechen wollen. Deshalb führt im Unternehmensnetz – und Gleiches gilt für das SD-WAN – an einem leistungsstarken integrierten Application Performance Management (APM) kein Weg vorbei. Dieses APM sollte sämtliche gebräuchlichen Applikationen – und das sind heute Tausende von Anwendungen – abdecken, darunter nicht zuletzt unternehmensspezifische (oder „Custom“-) Applikationen. Auch sollte es den IT-Teams die Feinabstimmung von Parametern ermöglichen, um eine kontinuierlich hohe Qualität der Anwendererfahrung zu garantieren.

Zeitgleich müssen IT-Organisationen allein schon wegen des akuten Fachkräftemangels heute darauf achten, dass das Netzwerk möglichst einfach und effizient zu verwalten ist. Der Alltag sieht aber leider anders aus: Das eine Interface dient dem Management der Datacenter-Switches, ein zweites dem der LAN-Switches, ein drittes dem WLAN-Management, ein weiteres der Verwaltung der Weitverkehrsverbindungen. Viel nützlicher ist es hier, wenn sich Datacenter-Netzwerk, LAN, WLAN und SD-WAN aus einer einzigen Oberfläche heraus einrichten, überwachen und steuern lassen. Denn ein solches einheitliches Management reduziert die Komplexität, vereinfacht Abläufe und kann damit die Netzwerkwerk-Betriebskosten deutlich senken.

Auch die Erstkonfiguration des SD-WANs muss möglichst einfach gestaltet sein. Von Anfang an muss das IT-Team dabei über eine granulare Ansicht der Leistung jeder Anwendung verfügen, sodass die Anwender ihre benötigten Applikationen ohne Unterbrechung schnell und problemlos nutzen können. Aus dem gleichen Grund sind Tools zur Störungsdiagnose mit einem einfachen, intuitiven Workflow unabdingbar.

Ebenso einfach muss es für das IT-Team sein, lokale Breakouts für SaaS- und sonstige Cloud-Zugriffe einzurichten. Schließlich senken diese Breakouts die Netzwerkkosten, beschleunigen die Geschäftsabläufe und schränken zugleich die Möglichkeiten von Schatten-IT ein. Denn möglich sind diese Abkürzungen zu Internet und Cloud eben nur, wenn die IT-Abteilung sie genehmigt hat.

Die SD-WAN-Lösung sollte zudem wartungsfreie On-Ramps (Zugangsmöglichkeiten) zu den Cloud-Giganten AWS und Azure umfassen und hierfür eine integrierte Leistungsüberwachung bieten. Dies erspart es dem IT-Team, beim Public-Cloud-Einsatz wie heute üblich erst einmal Überwachungs-VMs in IaaS-Instanzen bereitstellen zu müssen.

Die größte Erleichterung für das Netzwerkteam aber bietet eine Netzwerk-Fabric, wie man sie bislang vor allem von klug konzipierten Rechenzentren her kennt. Eine Fabric ist eine skalierbare, standardbasierte Netzwerklösung, die den Netzwerkbetrieb mittels hochgradiger Automation vereinfacht und dadurch den Verwaltungsaufwand, Bedienfehler und somit Risiken minimiert. Eine solche Fabric sollte per Cloud zentral zu managen sein und eine Reihe wichtiger Services unterstützen. Dazu zählen eine Hypersegmentierung des Netzwerks, um für maximale Sicherheit und Compliance zu sorgen; Zero-Touch-Provisioning, um bei der Einrichtung neuer Gerätschaft den Zeitaufwand der Netzwerktechniker vor Ort zu verringern; oder auch Failover in weniger als einer Sekunde, um ungeplante Ausfallzeiten des Netzwerks zu minimieren.

Idealerweise lässt sich die Fabric vom Data Center eines Unternehmens nahtlos auf das Campus-LAN und – per Zusammenspiel mit dem SD-WAN – sogar bis auf die entfernten Unternehmensstandorte ausdehnen. Dieses innovative Netzwerkdesign nennt sich „Fabric to the Edge“. Hierbei ist es heute üblich, auf Internet-Breakouts zu verzichten, da es sich in der Regel um Umgebungen handelt, bei denen direkter Internetverkehr von Filialen aus nicht gewünscht ist, zum Beispiel Einzelhandels- oder Tankstellenketten. Der Fokus der frühen Anwender von Fabric to the Edge liegt vorrangig darauf, die Betriebsvorteile wie Zero-Touch-Provisioning, Hypersegmentierung und Sub-Sekunden-Failover über das gesamte Unternehmensnetz hinweg erzielen zu können – also auch im SD-WAN. Eine „Fabric to the Edge“-Architektur bietet damit heute das Nonplusultra im unternehmensweiten Datenflugverkehr.

SD-WAN mit hoher Sicherheit

Am Flughafen müssen die Passagiere mehrere Security-Schleusen durchlaufen, bevor sie im Flugzeug Platz nehmen dürfen. Ein noch höheres Schutzniveau findet gerade Einzug in die Unternehmensnetze, und zwar unter dem Namen ZTNA, kurz für „Zero Trust Network Access“. Die Grundidee: Anders als im klassischen Netzwerk (wer drin ist, dem wird vertraut, vergleichbar dem Passagierbereich eines Flughafens) vertraut das Netzwerk beim ZTNA-Ansatz prinzipiell keinem Nutzer und keinem Endgerät. Alle, die Zugang zum Netzwerk erhalten wollen, müssen sich zunächst authentifizieren (möglichst per Mehr-Faktor-Authentifizierung, MFA); im Anschluss überwacht Sicherheitssoftware den Netzwerkverkehr, um den Nutzer bei Auffälligkeiten nach erneutem oder weitergehendem Identitiätsnachweis zu fragen – oder aber im Extremfall, etwa bei einem laufenden Angriff, den schnellen Ausschluss aus dem Netzwerk zu ermöglichen.

Mit einer ZTNA-Lösung können IT-Teams einfach Richtlinien erstellen, um den Benutzerzugriff zu beschränken, sichere Zugriffe für (Gast-)Gruppen zu etablieren, vertrauenswürdige IoT-Geräte einzurichten und deren jeweilige Berechtigung bei Bedarf wieder zu entziehen. Remote-Datenverkehr wird verschlüsselt per Cloud übertragen, ein traditionelles VPN ist also nicht mehr vonnöten.

Idealerweise sollte ein SD-WAN-Angebot neben integrierter Security-Funktionalität und ZTNA-Architektur auch Schnittstellen für die Nutzung externer Identitätsprovider (Azure ID, Google Workspace etc.) und für die Zusammenarbeit mit den führenden Security-Anbietern aufweisen. So können Unternehmen die Identitäts- und Security-Lösungen ihrer Wahl in das Gesamtkonzept einbinden und das Sicherheitsniveau nochmals steigern.

Last but not least sollte die SD-WAN-Lösung über ein benutzerfreundliches Abonnementmodell bereitstehen, wie es bei ExtremeCloud SD-WAN und ExtremeCloud Universal ZTNA von Extreme Networks der Fall ist. Denn solch ein Abonnementmodell, dessen Vorteile die Unternehmen längst von den Public-Cloud-Angeboten her kennen, ersetzt hohe Anfangsinvestitionen durch laufende Betriebskosten. So steht einem Anwenderunternehmen mehr Budget für seine Geschäftstätigkeit zur Verfügung.

Durchstarten mit SD-WAN

Eine fortschrittliche SD-WAN-Lösung ermöglicht die flexible, sichere und vor allem einfach via Cloud verwaltbare Vernetzung von Unternehmensstandorten. Zugleich können remote Beschäftigte per Breakout Internetzugänge und Cloud-Services ohne Umweg über die Unternehmenszentrale und damit ohne unnötige Latenzzeiten nutzen. Gemäß dem „Fabric to the Edge“-Ansatz kann ein solches SD-WAN die Fabric-Netzwerkarchitektur eines Unternehmens bis zur entlegensten Zweigstelle ausdehnen. Damit stehen Funktionen wie Zero-Touch Deployment, Hypersegmentierung und schnelles Failover unternehmensweit zur Verfügung. Integrierte Security-Funktionalität und ein Zero-Trust-Modell sorgen für maximale Sicherheit. Die Lizenzierung im Abonnementmodell hält die Kosten niedrig.

Ein SD-WAN entlastet somit – insbesondere im Zusammenspiel mit einer „Fabric to the Edge“-Architektur – das Netzwerkteam. Es optimiert die IT-Prozesse wie etwa die Provisionierung neuer Verbindungen, schont das IT-Budget des Unternehmens und ermöglicht es der Belegschaft zugleich, schneller, effizienter und ohne Stress zu arbeiten – unabhängig davon, ob die Beschäftigten innerhalb des Campus-LANs oder aber per SD-WAN auf die jeweils benötigten Ressourcen zugreifen. SD-WAN sorgt also für die direkte „Flugverbindung“ zum zukunftssicheren Unternehmensnetzwerk.

Olaf Hagemann, Director of Systems Engineering DACH bei Extreme Networks