Die Unternehmen gehen weg vom traditionellen MPLS-Netzwerk hin zu einem Multi-Technologie- und -TK-Stack aus MPLS, Internet, VPN und DSL. Zudem nutzen sie Virtualisierungstechnik, um das Netzwerk als kritischen Teil der IT-Infrastruktur dynamischer und sicherer zu machen. SD-WAN-Technologie (Software-Defined WAN) ist zum Mainstream geworden. Doch erst nach einem umfassenden Assessment für das jeweilige Unternehmen lässt sich die optimale Lösung finden.

Unternehmen mit mehreren deutschen oder internationalen Standorten geben nach einer Kundenbefragung meist zwischen 20 und 30 Prozent ihres IT-Budgets für die Vernetzung über weite Strecken aus. Dabei sind Weitverkehrsnetzwerke seit geraumer Zeit einem enormen Wandel unterzogen. So setzt der Zugriff auf geschäftskritische Systeme in der Cloud IT-Abteilungen unter Druck. Für Private Clouds, typischerweise im unternehmenseigenen oder im angemieteten RZ gehostet, bestimmen in vielen Fällen noch traditionelle MPLS-Verbindungen das Bild. Dagegen kommt bei Public-Cloud-basierten Dienstleistungen wie E-Mail, Telefonie, IaaS, PaaS oder SaaS in vielen Fällen VPN-Verbindungen über TLS/SSL zum Einsatz. Diese sind oft günstiger und flexibler, bieten aber nicht die hohen Sicherheitsfunktionen der MPLS-Netze.

Im Vergleich zum VPN erfolgt die Weiterleitung der Datenpakete in MPLS-Netzen nicht anhand einer IP-Adresse, sondern mithilfe spezieller Labels, die ein Label Edge Router den Datenpaketen hinzufügt. Sie sind nur auf der Verbindung zum nächsten Router gültig. Dieser ermittelt dann aus der Routing-Tabelle die dem Label zugeordnete Verbindung und ersetzt das ursprüngliche Label durch ein neues. MPLS bietet den Vorteil einer Kapselung des Datenverkehrs. So befindet sich das Unternehmens-MPLS durch diese Technik in einer „eigenen Wolke“.

Alles aus einer Hand oder Vendor Lock-in?

Sollen sich Unternehmen dabei für nur einen Telekommunikationsanbieter entscheiden? Ein Generalvertrag mit einem Provider bringt viele Vorteile wie eine individuelle Betreuung aus einer Hand, die Verlegung dedizierter Leitungen oder einen Anschluss abgelegener Standorte. Jedoch führt er auch zu einer großen Abhängigkeit hinsichtlich Kosten, Vorlaufzeiten und Flexibilität, dem gefürchteten „Vendor Lock-in“.

Mehrere große Provider bieten gut ausgebaute Backbone-Infrastrukturen an. Doch die letzte Meile gilt nach wie vor als kritisch. Denn typischerweise können TK-Anbieter nicht alle Standorte selbst versorgen, sondern müssen sich gegenseitig die letzte Meile vermieten. Das führt unter anderem dazu, dass es für Kunden Vorlaufzeiten von zwei bis mehr als sechs Monaten gibt, bis sie die gewünschte Bandbreite erhalten.

Software-Defined Everything

Wichtig ist die Bereitschaft des TK-Anbieters, zukunftsträchtige Technik wie „Software-Defined Everything“ zu nutzen. Der Begriff „Software-Defined“ (also softwaregesteuert) hat in vielen IT-Bereichen wie Storage, Datacenter und LAN bereits die Runde gemacht. Dank Entkoppelung von Hardware und Software befinden sich die Steuerungsfunktionen nicht mehr auf dem Gerät selbst, sondern auf einer zentralen Konsole. So muss man nicht mehr jedes Gerät einzeln konfigurieren und verwalten, sondern dies erfolgt über eine zentrale Steuerungssoftware für mehrere bis alle Geräte gleichzeitig. Das spart Zeit und Kosten.

Dies kommt auch für das WAN in Frage. Während bislang drei Geräte – Firewall, Proxy und Router – nötig sind, kann deren Aufgaben auch Software erledigen, die in virtuellen Maschinen (VMs) läuft. Die Erfahrung zeigt, dass Kunden neue Technik im WAN-Bereich spätestens ein Jahr nach Marktverfügbarkeit nutzen wollen. Daher sollte SD-WAN demnächst in Form zuverlässiger Lösungen bereitstehen.

Performance gewährleisten und optimieren

Die zunehmende Zentralisierung, Konsolidierung und die Verbreitung von WLAN führte zusätzlich zu IP-Telefonie und -Videoübertragung zu stark steigenden Datenvolumina – bei limitierter Bandbreite. Allein eine Cloud-Migration kann ein WAN zum Stillstand bringen. Denn der WAN-Datenverkehr verlagert sich vom „internen“ Unternehmensnetzwerk hin zu Cloud-Anbietern. Da durch die Nutzung von Cloud-Anwendungen und -Ressourcen sehr viel mehr Daten zwischen lokalen und externen Servern zu übertragen sind, belastet dies das WAN. Ist es nicht ausreichend dimensioniert, kann das zu Ausfällen führen.

Datenintensive Protokolle wie SMB verlangsamen deutlich das Lesen von Dateien, die auf dem Zentral-Server gespeichert sind. So setzen viele Unternehmen auf WAN-Optimierer und WAN-Beschleuniger, die Komprimierung von Protokoll-Overhead oder intelligente Caching-Mechanismen. Manchmal sind auch Terminal-Server das Mittel der Wahl, um Latenz- und Bandbreitenprobleme zu beheben. Zudem ist Load Balancing auf WAN-Ebene sowie die Nutzung einer redundanten zweiten WAN-Verbindung im normalen Betrieb mit dynamischen Routing-Lösungen und Path-Selection-Technik verbreitet.

Virtualisierung

Eine extrem wichtige Entwicklung der letzten Jahre ist die Virtualisierung von Netzwerkfunktionen (Network Functions Virtualization, NFV). Unternehmen benötigen dadurch nicht mehr für jede Funktion ein eigenes Gerät. Ein einfaches Beispiel bildet der lokale Internet-Breakout in einer Zweigstelle: Hier lässt sich einfach ein virtueller Proxy installieren – schon wird der Internet-Traffic nicht mehr durch das Unternehmens-WAN, sondern direkt über das Internet geroutet. Zur Sicherheit ist dabei eine virtuelle Firewall in der Zweigstelle zu installieren.

Zu beachten sind dabei jedoch organisatorische und vertragliche Aspekte. Entwickeln IT-Silos unterschiedliche Konzepte für VoIP, Zentralisierung und Cloud-Migration, ist der nachträgliche Aufwand groß, die fehlenden Teile des Puzzles zu definieren und zu implementieren. Sind die Verträge für Netzwerk, Cloud und Hosting nicht synchronisiert, verursacht das in der Regel höhere Gesamtkosten, selbst wenn die einzelnen Verträge in ihrem Kostenrahmen bleiben.

Wichtige Erfolgsfaktoren

Diverse Techniken für die redundante WAN-Anbindung von Standorten lassen sich nutzen, um eine optimale Lösung zu finden:

  1. TIS (Transport Independent Site) als Basis: Hier können Unternehmen MPLS oder Internet Connectivity in beliebiger Kombination nutzen und je nach Preis und SLA zu entscheiden, welche Kombination von Internet und MPLS sie verwenden. Ein zusätzlicher Vorteil ist die Möglichkeit, einfacher zwischen WAN-Anbietern zu migrieren, da Unternehmen weitgehend unabhängig vom Protokoll sind. Durch ein transportneutrales SD-WAN kann ein Unternehmen flexibel auf neue Techniken umschwenken, zum Beispiel von einer primären MPLS-Verbindung zum Backup Link. Zunehmend ersetzt eine Internet-Verbindung diesen MPLS-Backup-Link, ermöglicht durch Technik wie Ciscos Intelligent WAN (IWAN).
  2. Load Balancing: TIS bildet auch die Grundlage zur Nutzung von MPLS und Internet Connectivity mit Load Balancing, um Bandbreite, SLAs und Kosten zu optimieren. Dazu muss eine Path-Selection-Technik wie Cisco IWAN oder Talari zum Einsatz kommen, die per dynamischem Routing eine Lastverteilung ermöglicht. Typischerweise erlauben diese Lösungen, den besten Pfad anhand von Parametern wie Paketverlust, Jitter, bevorzugter Pfad und anderen auszuwählen.
  1. WAN-Optimierung: Zur Verringerung der Datenströme und Verbesserung der Anwendungs-Performance sollte man eine WAN-Optimierungstechnik einsetzen, die den Applikations-Datenverkehr selektiv optimiert. Denn Protokolle wie SMB erzeugen sehr viel Overhead bei der Kommunikation; Protokolloptimierer reduzieren diese Datenmenge. Das steigert die Geschwindigkeit und verringert den Datenverkehr auf der WAN-Verbindung. Hier kommen typischerweise Lösungen von Riverbed, Cisco oder Silver Peak zum Einsatz.
  1. Internet-Breakout: Reiner Internet-Traffic, zum Beispiel von Microsoft Office 365 oder Google G Suite, kann per Proxy direkt ins Internet geroutet werden und muss dann nicht mehr über das Unternehmens-WAN laufen. Dazu bietet sich in der Regel eine Cloud-Security- oder Cloud-Proxy-Lösung mit Verschlüsselung an, zum Beispiel von Citrix, Zscaler oder Symantec/Blue Coat.

Schrittweises Vorgehen

Die SD-WAN-Lösung sollte aus einem Guss sein, um optimale Performance und Sicherheit zu gewährleisten. Mit folgenden Schritten können Unternehmen die richtigen Komponenten dieses Baukastens auswählen und implementieren:

  • Analyse, wie sich der Datenverkehr durch neue Projekte wie Digitalisierung der Geschäftsprozesse und Cloud-Nutzung verändern wird. Dies geschieht am besten in einem kleinen, interdisziplinären Team.
  • Aufbau von Kernkompetenzen in den verschiedenen IT-Bereichen, um einen Überblick über mögliche Lösungsansätze und Technologien zu erhalten
  • Auswahl des richtigen Partners, der den Ansatz mitentwickelt und trägt. Aufgrund der Komplexität der Anforderungen und Lösungen sind viele Unternehmen mit der Entwicklung des optimalen Ansatzes überfordert. Hier kann ein etablierter, erfahrener Dienstleister helfen.
  • Übergreifendes Denken zwischen Abteilungen und Dienstleistern etablieren. Nur mit einer umfassenden Zusammenarbeit lassen sich die Kenntnisse aus allen Bereichen bündeln.
  • Anhand der individuellen Problemstellungen die optimale Lösung aussuchen. Diese sollte vor allem Komponenten für Virtualisierung und WAN-Optimierung enthalten und vom Transportprotokoll unabhängig arbeiten.
Stefan Krampen ist Regional CTO DACH bei HCL ().