Heute herrscht die Erwartungshaltung, dass sich selbst komplexe unternehmensweite Netzwerkinfrastrukturen (Campus-Netzwerke) mit minimalem Aufwand und Risiko betreiben lassen. Doch die IT-Abteilungen stehen vor einer Vielzahl von Herausforderungen: Exponentiell wachsende Netzwerke, knappe IT-Budgets und konstante Bedrohungen der Sicherheit sorgen bei den Verantwortlichen für schlaflose Nächte. Ein sicheres automatisiertes Campus-Netz auf Fabric-Basis zeigt einen Ausweg.

Nicht nur die Zahl der Nutzer, sondern auch die der Netzwerkkomponenten und Endgeräte steigt ständig an. Heute trägt bereits jeder Mitarbeiter mehrere große und kleine Geräte mit unterschiedlichem Kommunikationsbedarf bei sich. Dabei werden die Grenzen zwischen dem Innen und Außen im Netz durch den Einsatz Cloud-basierter Dienste immer diffuser. Gleichzeitig sind durch das Internet of Things und Industrie 4.0 immer mehr Endgeräte im Netzwerk zu finden, die sicherheitstechnisch nur schwer in den Griff zu bekommen sind. So sind Administratoren mit IP-Kameras, Sensoren oder Smart Meters konfrontiert, die nicht für das Einspielen von Patches konzipiert und deshalb schwer zu aktualisieren sind. Bereits jetzt sind solche Systeme Angriffen ausgesetzt, und derartige Vorfälle nehmen sprunghaft zu.

Zudem belasten reduzierte Service-Zeiten die Netzwerkbetreiber. Denn die Netzwerke sollen selbstverständlich unterbrechungsfrei laufen. Die oft signifikante Anzahl unterschiedlicher Hard- und Software in einer Installation erfordert von den Betreibern einen hohen Arbeits- und Personaleinsatz. Ferner mündet das historisch bedingte, stückweise Wachsen eines Netzwerks häufig in einer Vielzahl von Werkzeugen, Prozessen und Technikkomponenten. Hohe Komplexität verhindert ein schnelles, effizientes Arbeiten der IT-Abteilungen und schränkt damit auch die Produktivität der Endanwender ein. Ziel ist es hier, die Anzahl der unterschiedlichen Komponenten zu reduzieren und Prozesse zu konsolidieren, um die Effizienz des Netzwerks zu steigern. Außerdem erweisen sich bei steigender Komplexität von Netzwerken traditionelle Betriebsmodelle leicht als Kostenfalle, da der Aufwand oft unverhältnismäßig steigt.

Eine weitere Herausforderung für Netzbetreiber stellt die Optimierung der Sicherheit, Zuverlässigkeit und Integrität der IT-Infrastruktur dar. Denn traditionelle Infrastrukturen mit ihrer Vielzahl separat verwalteter Komponenten erfordern die besondere Wachsamkeit jeder IT-Abteilung. Eine Möglichkeit, die Sicherheit zu erhöhen, besteht darin, für diese Komponenten gewissermaßen eine eigene Sicherheitszone einzurichten. Für diese Hypersegmentierung sind mandantenfähige Netze mit Gästezugriff erforderlich. Jedoch ist für diese sehr agilen und flexiblen Netze eine manuelle Provisionierung nicht mehr zeitgemäß, sodass eine neue Art von Automatisierung erfolgen muss. Die für diese Automatisierung erforderlichen Werkzeuge sind eine Fabric-basierte Netzwerkarchitektur, eine regelzentrierte Netzwerkadministration und ein modernes Netzwerk-Management – unter einer Oberfläche und mit Analysetechniken optimiert.

Fabric-basiertes Netzwerk

Die Automation der Netzwerkinfrastruktur geht einher mit einer Aufteilung des Netzwerks in Underlay und Overlay. Das Underlay sorgt für den Transport eines Datenpakets von A nach B und legt dazu fest, welchen Weg ein Datenpaket gehen muss. Für das Underlay sind verschiedene Strukturansätze möglich: Eine Option ist eine Infrastruktur mit BGP im Underlay und EVPN im Overlay; eine Alternative ist der Aufbau mit Shortest Path Bridging MAC (SPBM) und IS-IS, auch Fabric Connect genannt.

Fabric Connect – die Kombination von SPBM und IS-IS – bildet die Basis für zahlreiche VSN-Typen. Bild: Extreme Networks

Ein Fabric-basiertes Netzwerk bildet die Alternative zur konventionellen Netzwerkinfrastruktur. Man kann man es sich wie die Struktur eines Gewebes (englisch: „fabric“) vorstellen. Es gibt zahlreiche Gewebearten für unterschiedliche Einsatzzwecke. Allen gemeinsam ist aber der Faden als Grundbestandteil. Wichtig ist, dass der einzelne Faden innerhalb des Gesamtgewebes verschwindet, wodurch ein spezielles und individuelles Gewebe entsteht, das eine bestimmte Funktion erfüllt. In der Regel bestehen Fabric-basierte Netzwerke aus den Komponenten Access Point, Ethernet-Switch, Router und Software. Das traditionell übliche, aber sehr arbeitsintensive Provisionieren oder Konfigurieren jedes einzelnen Netzwerkelements entfällt: Alle Änderungen, einschließlich der Provisionierung bestimmter Dienste, erfolgen ausschließlich am Netzwerkrand. Der Kern des Netzwerks ist nur für spezielle, autorisierte Mitarbeiter sichtlich und befindet sich in der Core- wie auch in der Aggregationsebene im Zero-Touch-Betrieb.

Overlay-Provisionierung

Basierend auf dem Underlay können Betreiber logische Overlay-Netze provisionieren. Das Overlay legt fest, welcher logische Weg bei der Datenübermittlung beschritten wird und welche beiden Endpunkte ein Dienst dabei miteinander verknüpfen soll. Es entstehen jederzeit verfügbare Datenautobahnen, mit deren Hilfe man die Datenverbindungen flexibel und automatisch provisioniert. Mittels Policies trägt das Overlay-Netz dem jeweiligen Security-Reglement Rechnung. So erreicht man zwei Ziele: Zum einen entsteht eine leistungsfähige und stabile Datenverbindung, die zum anderen durch das automatisierte, Policy-getriebene Regelwerk nur den vom Betreiber vorgegebenen logischen Services folgt. Dies funktioniert in kabelgebundenen ebenso wie in kabellosen Infrastrukturen.

Ein gutes Beispiel für das Potenzial solcher Netzwerke stellen Krankenhäuser dar, weil dort die Mandantenfähigkeit und Sicherheit der Lösungen besonders wichtig sind. So ist es hier entscheidend, etwa Patientendaten, Röntgenbilder und den Betrieb medizintechnischer Geräte strikt von Patientenanwendungen wie Entertainment-Angeboten zu trennen und für eine klare Priorisierung der medizinischen Anwendungen zu sorgen. Diese benötigen absoluten Vorrang beim Datentransfer, weil unter Umständen von einer reibungslosen und raschen Datenübermittlung Leben abhängen.

Die Vorteile eines sicheren, automatisierten Campus-Netzwerks äußern sich in gesteigerter Produktivität der IT-Abteilung: Fabric-basierte Netzwerke erlauben eine schnellere Implementierung, Konfiguration, Fehlersuche und Bereitstellung von Anwendungen. Eine verringerte Fehleranfälligkeit verbessert die Stabilität und senkt die Betriebskosten. Ferner kann die IT Netzwerkdienste einfacher definieren und provisionieren sowie Veränderungen und Updates im laufenden Betrieb – ohne Netzwerkunterbrechung – durchführen.

Zugleich profitieren Betreiber von vereinfachtem On-Boarding von Nutzern und Geräten. Durch die Kombination eines Regelwerks mit Fabric-Technik lassen sich neue Nutzer und neue Geräte einfach identifizieren und dann automatisch mit den Netzwerkdiensten verbinden, auf die sie Zugriff haben dürfen. Die Fabric formt sich sozusagen selbst.

Dies alles ist unabhängig davon, wo und wann sich die Endgeräte innerhalb des Netzwerks verbinden. Damit entfällt die sonst notwendige vorherige Konfiguration aller für diese Nutzer eventuell nutzbaren Anschluss-Ports an den Switches oder Access Points.

IS-IS steuert automatisch die gesamte Topologie einer Domäne. Die Konfiguration von VSNs (Virtual Service Networks) erfolgt dabei nur am Netzwerkrand (Edge). Bild: Extreme Networks

Die Steigerung der Netzwerkleistung ist ein weiterer Vorteil sicherer automatisierter Campus-Netzwerke. Sie geht über die einfache Verbesserung des Datendurchsatzes hinaus. Fabric-basierte automatisierte Campus-Netzwerke optimieren zusätzlich das Antwortzeitverhalten sowie die Fähigkeit, Echtzeitdatenverkehr wie Telefonie und HD-Video zu übertragen. Der Schlüssel dazu ist die intelligente Wahl der Verbindungswege.

Weitere Verbesserungen bringen solche Netzwerke bei der Zuverlässigkeit und Robustheit. Während Hardwarefehler bei heutigen Endgeräten immer seltener auftreten, kommt es immer wieder zu unbeabsichtigtem Entfernen von Kabeln. Dies erfordert vom Netzwerk die Unterstützung von Load Balancing und die Fähigkeit, Datenverkehr automatisch zumzuleiten. Ein automatisierter Campus bietet hier höhere Robustheit, da die Underlay-Protokolle eines traditionellen Netzwerks (also STP, OSPF und dann PIM) nicht mehr nötig sind. Sämtliche Dienste wie auch Änderungen oder andere Rekonfigurationen erfolgen nur am Netzwerkrand, der Kern des Netzwerks bleibt unangetastet.

Außerdem zeichnen sich „Secure Automated Campus“-Netzwerke durch erhöhte Sicherheit aus. Gewährleistet wird dies zum einen durch Hypersegementierung der Infrastruktur-Bausteine und zum anderen durch das sogenannte „Stealth Networking“ im Overlay. Unter Hypersegmentierung versteht man die Aufteilung und Isolierung des Datenverkehrs in Micro-Services, die Dienste, Informationen und Mandanten voneinander trennen. Sollte es einem Hacker gelingen, in einen Datenstrom einzubrechen, bleibt er auf dieses Netzwerksegment und damit diesen Datenstrom beschränkt: Er kann die anderen Segmente aus diesem Netzwerksegment heraus nicht angreifen.

Der Begriff „Stealth“ bezeichnet die Unsichtbarkeit von Komponenten im Netzwerk. Diese Unsichtbarkeit erzielt man, indem innerhalb der Fabric keine Protokolle wie IP, OSPF oder PIM zum Einsatz kommen. Damit ist die Fabric von außen für einen Angreifer nicht sichtbar. Innerhalb des Netzwerks kann der Angreifer nur die unmittelbar betroffenen Endgeräte sehen und attackieren, etwa eine IP-Kamera und den zugehörigen Video-Server. Nicht zuletzt erleichtern Mechanismen wie Hypersegmentierung und Stealth Networking die Einhaltung gesetzlicher Vorschriften wie HIPAA, PCI, SOX oder DSGVO.

Olaf Hagemann ist Director Systems Engineering DACH bei Extreme Networks, www.extremenetworks.com.