Die Campus-Netzwerke der Unternehmen müssen sich ständig an die schnellen Veränderungen anpassen, die die digitale Transformation ausgelöst hat. Aus dieser Erkenntnis heraus entstand SD-LAN (Software-Defined LAN). Aufbauend auf den SDN-Prinzipien (Software-Defined Networking) im Rechenzentrum und SD-WAN bietet es einen neuen Ansatz für anpassungsfähige, flexible und kostengünstige drahtlose und drahtgebundene Zugangsnetze.

Software-Defined Networking zielt auf die Möglichkeit ab, per Software Regeln für das Netzwerk zu erstellen, die sich technologie- und hardwareunabhängig anwenden lassen. Im Idealfall kann die IT so über das gesamte Netzwerk („End-to-End“) Services definieren. Die Konfiguration der Switches, Router und Firewall-Systeme übernimmt dann die SDN-Software.

Beim Prinzip SDN ist der Hersteller des Systems irrelevant. Damit ein SDN funktioniert, benötigt man von allen Herstellern unterstützte Standardschnittstellen. Allerdings fürchten gerade die großen Hardwarehersteller um ihre Alleinstellungsmerkmale. Daher haben sie teils an der Standardisierung von SDN wenig Interesse. Die SD-LAN-Technik setzt deshalb darauf, den Datenverkehr im Zugang entsprechend definierter Regeln zu klassifizieren und zu markieren. Da die Markierung der Daten auf Basis von Standardtechnik erfolgt, ist Herstellerunabhängigkeit im Netzwerk-Core erreichbar.

Aufbau eines Software-Defined LANs. Bild: Aerohive

Ein SD-LAN bietet nützliche Eigenschaften für die Netzwerke digital transformierter Unternehmen, wenn es folgende Anforderungen erfüllt:

Anwendungsoptimierung: Netzwerke leben von den Anwendungen, die darin laufen. Damit die Netzwerkressourcen dort zur Verfügung stehen, wo sie den wichtigsten Aktivitäten optimal nutzen, muss ein SD-LAN die Anwendungen am Netzwerkzugang erkennen, sie im Access Point priorisieren und entsprechend markieren. Die Markierung und Priorisierung der Datenpakete erfolgt über Standardtechniken wie 802.1p auf OSI-Layer 2, DSCP auf OSI-Layer 3 und 802.11e im WLAN. SD-LAN basiert also rein auf der Intelligenz im Access-Layer. Zur Weiterleitung des Datenverkehrs mit der entsprechenden Priorität kommt Standardtechnik zum Einsatz. Dies ermöglicht eine Ende-zu-Ende-Klassifizierung des Datenverkehrs bis auf Nutzer- und Anwendungsebene über heterogene Netze.

Identitätssteuerung: Unternehmen müssen jederzeit wissen, wer sich mit welchen Geräten im Netzwerk befindet. Eine SD-LAN-Lösung muss dynamisch definieren, was einzelne Benutzer, Endgeräte und Dinge (im Sinne von Internet of Things, IoT) tun können, wenn sie auf das Netzwerk zugreifen. Dabei sollte es möglich sein, dass granulare kontextbasierte Zugriffsrichtlinien auf nur einen Benutzer oder ein Gerät oder auch auf Benutzergruppen und -geräte Anwendung finden. So ermöglicht PPSK-Technik (Private Pre-Shared Key) es beispielsweise jedem Gerät oder Benutzer, einen eindeutigen Schlüssel zu erhalten. Damit lässt sich das Gerät identifizieren und integrieren. Außerdem kann dieser zur sicheren Entfernung eines Geräts aus dem Netzwerk oder der Einschränkung des Zugriffs nach einer definierten Zeit automatisch ablaufen. Dies wendet viele Risiken ab, die mit der Integration von IoT- und BYOD-Geräten (Bring Your Own Device) verbunden sind.

Offene APIs: Damit eine enge Integration von Netzwerk- und Applikationsinfrastrukturen gelingt, benötigt eine SD-LAN-Lösung programmierbare Schnittstellen. So kann das Netzwerk neue Erkenntnisse liefern und sich in das übrige Operations-Framework integrieren.

Cloud-Managed: Cloud-Management ermöglicht eine zentralisierte Verwaltung von Betriebsabläufen und Richtlinien. So sorgt es für eine straffe Verwaltung und den kostengünstigen Betrieb von Netzwerken. Richtlinienänderungen müssen sich dabei in Echtzeit auf Switches und Access Points in der gesamten Infrastruktur des Zugangsnetzes verteilen lassen.

Anpassungsfähige Infrastruktur: Wireless Access Points und Access Switches sollten intelligent auf Änderungen der Netzwerkkonfiguration und -anforderungen reagieren können. Die Infrastruktur sollte dazu Protokolle für softwaregesteuerte Geräteverhaltensweisen wie Selbstoptimierung und Selbstheilung umfassen. Zudem sollten softwaredefinierte Funkverbindungen in den Access Points es ermöglichen, die Abdeckung dynamisch zu optimieren und die maximale Kapazität zu gewährleisten.

Organisierter Zugang: Auf WLAN-Seite muss eine „Cooperative Control“-Architektur ein selbstorganisierendes, selbstoptimierendes und selbstkorrigierendes WLAN ermöglichen. Diese sollte ein zentrales Management-System, in dem die Regeln für den Zugang zum Netzwerk festgelegt sind, ebenso umfassen wie Zugangsgeräte für die Anbindung der Clients. Im Client-Access-Bereich erfolgt dieser Zugang meist über intelligente Access Points, die die im Management-System definierten Regeln anwenden. Die IT sollte Regeln pro Nutzergruppe definieren können, die Anwendungen priorisieren, erlauben oder verbieten sowie die Zugangsrechte verwalten. Diese Zugangsregeln müssen auch variabel nach Standort und Zeit definierbar sein.

Diese Faktoren erfordern eine Veränderung in der Architektur von LANs und WLANs. Dabei wird vor allem intelligente Sicherheit künftig ein besonders wichtiger Vorteil sein. Unternehmen jeder Größe müssen sich mit IoT-Connectivity und -Sicherheit auseinandersetzen. Die identitätsgesteuerten Zugriffsrichtlinien von SD-LAN können die Schaffung einer sichereren Umgebung für IoT und BYOD ohne die Verwendung von Gast-SSIDs vereinfachen. Ein weiterer wichtiger Punkt zur Erhöhung der Sicherheit ist der Überblick: Im SD-LAN ist jeder Nutzer authentisiert und bekannt, Anwendungen und deren Nutzung in Bezug auf Zeit, Volumen und Ort sind sichtbar und lassen sich auf den Nutzer beziehen. Bei erhöhter Mobilität der Mitarbeiter ist es oft der Fall, dass sie Endgeräte auch außerhalb des Unternehmensnetzes verwenden. Mit diesen Geräten können Probleme ins Netz eingeschleppt werden. Ein Fehlverhalten solcher Geräte sollte sich durch hohe Transparenz im SD-LAN einfach analysieren lassen, um Gegenmaßnahmen zu ermöglichen.

Anforderungen an Geräte im Software-Defined Wireless LAN. Bild: Aerohive

Damit ein Unternehmen mit dem schnellen Entwicklungstempo der Sicherheitsanforderungen Schritt halten kann, braucht es ein zukunftssicheres Campus- und Zweigstellennetzwerk. Ein Merkmal von SD-LAN hilft hier besonders: ein hohes Maß an Sicherheit und Policy-Automatisierung, ergänzt um eine anpassungsfähige Infrastruktur, Anwendungsoptimierung und offene APIs in einem selbstorganisierenden, Cloud-verwalteten Netzwerk.

Jede Veränderung in der IT-Infrastruktur eines Unternehmens ist mit Lernkurven und Herausforderungen verbunden. So löst auch die Implementierung einer neuen LAN- oder WLAN-Architektur möglicherweise seit Langem etablierte Netzwerk-Verwaltungsprozesse auf. Diese Abkehr von bewährten Methoden erfordert neue Fähigkeiten, die es zu erlernen gilt, sowie eine Anpassungsphase nach der Implementierung der Technik.

Damit dieser Wandel gelingt, ist ein solides Change-Management ebenso wichtig wie gezielte Aufklärung. Im Zweifelsfall sollte ein Unternehmen Reseller, Integratoren und/oder Service-Partner mit einer nachweisbaren Historie erfolgreicher Integrationen zu Hilfe holen. Um Herstellerunabhängigkeit zu gewährleisten, sollte man unbedingt darauf achten, dass keine proprietäre Technik zum Einsatz kommt und alle eingesetzten Komponenten die Standards zur Priorisierung und Segmentierung des Datenverkehrs unterstützen.

Im Zuge der digitalen Transformation ist eine Neubewertung der Fähigkeiten von Unternehmensnetzwerken gefragt. Vor allem die Unterstützung von Geräten und Anwendungen der nächsten Generation sollte dabei im Fokus stehen. Wichtig sind Funktionen zur Automatisierung, Programmierbarkeit, Segmentierung und Analyse des Netzwerks sowie API-Kompatibilität.

Martin Scheller ist Senior Director Sales Central Europe bei Aerohive Networks, www.aerohive.com.