Viele Organisationen befinden sich mitten in der digitalen Transformation. Besonders betroffen sind dabei die Unternehmensnetzwerke durch die vielen neuen Anforderungen von Cloud und Co. Sie müssen flexibel sein und agiler werden.
SD-WAN gilt bei vielen als die künftige Lösung, aber wie sieht es aktuell in der Praxis aus? Sind die SD-WAN-Lösungen schon ausgereift oder ist Abwarten das Gebot der Stunde? Ist SD-WAN überhaupt eine Lösung, die für jeden Mehrwert generiert?
Betrachten wir den Use Case „Filialnetz“ und die Ergebnisse einer hierzu durchgeführten SD-WAN-Markterkundung.
Abb.: Anforderungsskizze des Filialnetzes
Zielumgebung
Die Zielumgebung für das geplante WAN in diesem Use Case sollte wie folgt aussehen. Das ca. 100 Standorte (kleine und große Filialen) umfassende Netz sollte so aufgebaut werden, dass alle Filialen zukünftig möglichst mit Lichtwellenleitern (LWL) ohne redundante Anbindung erschlossen sind. Mehrere Verwaltungsstandorte und ein Rechenzentrum (VoIP-TK-Anlage, zentrale Dienste, Citrix Server) wurden mit redundanter Anbindung geplant.
Wichtig für die zukünftige Umsetzungsvariante war besonders die intensive Nutzung von Cloud Services wie Microsoft 365 und Amazon AWS. Als Anforderung an die Dienste sollten die Umsetzung von 80 % der Netzverkehre aus den Filialen über Cloud-Anwendungen bzw. per direktem Zugang ins Internet erfolgen und die Datenströme optimiert werden. Zudem gab es eine Realzeitanforderung für VoIP (Any-to-Any-Kommunikation). Eine wichtige Bedingung war weiterhin die Berücksichtigung von „BYOC“ (Bring your own connectivity (access)) für den Zugang zum Netz.
Sicherheit
Eine zentrale Anforderung war die zu gewährleistende Sicherheit. Der Sicherheitsbedarf in den Filialen musste auf öffentliche Gastnetze und das Firmennetz, inkl. des Schutzes aller kritischen Daten, zugeschnitten werden. Die schnelle Umsetzung von aktuellen einheitlichen Policies an allen Standorten (Compliance Tracking und Reporting) war eine weitere wichtige Voraussetzung. Die Sicherheitsanforderungen für Verbindungen, die über das öffentliche Internet geführt werden, waren zwingend und bezogen sich hier auf folgende umzusetzende Punkte:
- Threat Prevention wie Web Filtering, Anti-Malware
- Intrusion Prevention (IPS)
- Threat Detection wie SSL verschlüsselte Traffic Inspection
- Sandboxing
- DDOS Prevention
Ergebnis der Markterkundung bezogen auf diesen Use Case
In dem dargestellten Use Case handelt es sich nicht um ein klassisches Szenario für eine SD-WAN-Lösung: Die Filialen sind lediglich über eine einzige LWL-Strecke anzubinden und benötigen Zugriff auf Cloud-Dienste im Internet und Applikationen im eigenen Rechenzentrum. Eine Path Selection über parallele MPLS- und Internetverbindungen, welche einen zentralen Mehrwert einer SD-WAN-Lösung darstellt, kann hier nicht zum Einsatz kommen. Nichtsdestotrotz sind eine hohe Qualität (QoS), deren Monitoring und ein zentraler Controller zum Ausbringen einheitlicher Policies in Echtzeit gefordert.
Dieser bezüglich der Lösung nicht eindeutige Anwendungsfall spiegelt sich in den angebotenen Lösungsarchitekturen wider:
- SD-WAN-Lösungen unter Einsatz von Internet-Zugängen für die Filialen und für das Rechenzentrum und den Produkten Cisco Meraki, Nokia Nuage, FortiGate, 128 Technology oder Open Systems
- Einer klassischen WAN-Lösung unter Einsatz von MPLS-Konnektivität zwischen Filialen und Rechenzentrum und zentralem Internet-Breakout im Rechenzentrum
Cisco Meraki und Nokia Nuage folgen dem klassischen SD-WAN-Ansatz.
Die Fortigate SD-WAN-Lösung basiert auf der Next Generation Firewall des Herstellers Fortinet.
Die Produkte von 128 Technology setzen bei der Generierung eines Overlay-Netzes nicht auf die üblichen IPSec-Tunnel, sondern auf eine eigene innovative Technologie – ein dynamisches, zustands- und sitzungsorientiertes „Session Smart Routing“. Diese Lösung soll sich einen Vorsprung gegenüber IPSec-Lösungen verschaffen, indem sie deren Nachteile (Overhead, begrenzte Skalierbarkeit) vermeidet.
Open Systems zielt mit einer eigenentwickelten SD-WAN-Lösung sowie einem standardisierten Rollout und Betrieb auf Kunden ab, welche ihre eigenen WAN-Zugänge mitbringen (BYOC).
Die SD-WAN-Lösungen mit dezentralen Internet-Zugängen beinhalten das erforderliche applikationsabhängige Routing für die Priorisierung von Anwendungen in der Cloud und im Rechenzentrum. Dieses bietet die folgenden Vorteile:
- Bevorzugte Übertragung von QoS-kritischem Verkehr wie z. B. Voice
- Reduzierung von unnötig langen Latenzen
- Vermeidung des Flaschenhalses Rechenzentrum durch direkte Konnektivität der Filialen zu den Cloud-Diensten
- RZ-Bandbreite steht für die RZ-gehosteten Applikationen zur Verfügung
- Höhere Internet-Verfügbarkeit durch dezentrale direkte Zugänge in den Filialen
SD-WAN ermöglicht es zudem, die Komponenten in den Filialen durch einen zentralen Controller zu steuern und durch zentrales Monitoring einen detaillierten Gesamtüberblick über alle Netzverkehre zu erhalten.
Die betrachteten Lösungen ermöglichen, dass der Kunde auch eigene Internet-Zugänge in das gemanagte Netz einbringen kann. Das Management der entsprechenden Provider kann ebenfalls übernommen werden.
Die oben genannten marktüblichen Sicherheitsmechanismen können – bis auf die DDoS-Abwehr, welche eher beim Provider angesiedelt werden sollte – von allen Lösungsarchitekturen unterstützt werden.
Kostenstruktur
SD-WAN-Lösungen generieren ein intelligentes Overlay-Netz auf klassischen Plattformen wie MPLS oder Internet. In die hierzu benötigte intelligente Netzwerk-Hardware an den Übergabepunkten zwischen LAN und WAN ist zu investieren. Es gibt bereits Ansätze am Markt, SD-WAN-Funktionalität auf CE-Router-Hardware abzubilden.
In klassischen SD-WAN-Projekten lassen sich durchaus Einsparpotenziale identifizieren. Es können z. B. kostenintensive MPLS-Bandbreiten für Anwendungen, welche keine hohen QoS- oder SLA-Anforderungen haben, durch günstige Internet-Bandbreite ersetzt werden. Dies trifft auf den betrachteten Use Case nicht zu, da die Filialen lediglich über einen einzigen Zugang angebunden werden. Hier ist zu prüfen, ob eine MPLS-Lösung mit einem zentralen Internet-Zugang einen Kostenvorteil gegenüber einer SD-WAN-Lösung mit dezentralen Internet-Zugängen besitzt.
Grundsätzlich ist festzuhalten, dass die modernsten Lösungen für das eigene Unternehmen nicht zwingend die passendsten sind. Eine individuelle Prüfung ist unbedingt zu empfehlen. Das Ziel, zufriedene Nutzer zu haben (User Experience), muss hier neben der Erfüllung der Compliance-Anforderungen hoch angesiedelt sein.
DOK SYSTEME unterstützt Unternehmen gerne bei der Identifizierung der optimalen Netzlösung. Wir zeigen passende Marktteilnehmer, Netzarchitekturen und Betriebsmodelle auf und unterstützen dabei, den unternehmensspezifischen Vorgaben entsprechend, die richtige Wahl zu treffen. Hierfür analysieren wir vorab den aktuellen Stand der Unternehmensnetze und die jeweils relevanten Anforderungen, orientiert an den zukünftigen Bedarfen.
Felix Fehlau
Senior Executive Consultant |
fehlau@doksysteme.de
Marc Wiesner
Senior Consultant |
wiesner@doksysteme.de
Ingo Hagemeister
Lead Consultant |
hagemeister@doksysteme.de