Cisco Schweiz Blog
Share

SD-WAN als Intranet service?? (Teil 2)


25. May 2018


Willkommen zurück!

Im ersten Teil habe ich versucht, etwas plakativ aufzuzeigen, wie man ein Intranet (= Firmennetzwerk) als Schichten-Modell betrachten kann und habe angetönt, dass SD-WAN ein Service für diese Art von Netzwerken sein kann, obwohl diese Lösung normalerweise immer im Zusammenhang mit WAN Netzwerken positioniert wird.

Hier ist als Erinnerung nochmals das von mir erstellte Schichtenmodell:

Somit – was wären denn nun die Gründe für eine Betrachtung von SD-WAN als Intranet Service?

Moderne Intranet Netzwerke müssen heute Aspekte wie Segmentierung, Redundanz, Skalierung und Intelligenz aufweisen – Anforderungen wie Gäste-Zutritt und die Digitalisierung zwingen die Firmen mehr und mehr dazu. Die Wichtigkeit von hochverfügbaren Netzen nimmt allgemein zu, denn immer mehr Automatisierungs-Komponenten und Sensoren werden an die heutigen Netze angeschlossen.

Das Schichtenmodell oben geht allgemein auf die Aspekte des Betriebs ein. Im ersten Teil habe ich auch geschrieben, dass es aus Sicht Betrieb interessant wäre, eine Lösung und keine Funktionalität betreiben zu können.

Werden wir konkret:

Nehmen wir an, Sie sind CIO einer Software Firma mit einem eigenen Firmen-Netzwerk (Intranet), das einige Standorte verbindet und sie haben für Gäste im WLAN bereits eine Lösung in Betrieb – soweit so gut.

Neue Anforderungen….:

Nun kommen jedoch neue, zusätzliche Anforderungen auf Sie zu:

  • Die Gebäude-Infrastruktur wird mehr und mehr mit Netzwerk-basierenden IP Sensoren und Aktoren aufgerüstet. In einem ersten Schritt sollen die Klimaanlagen, Fenster sowie Beschattungen digitalisiert und automatisiert werden.
  • Die Software Entwicklung möchte Applikations-Testing über mehrere Standorte zwischen Clients und Server durchführen. Diese sollen logisch vom normalen Büro-Datenverkehr getrennt laufen, da auch neue, experimentelle Protokolle und Redundanz-Szenarien getestet werden sollen.
  • Um die Firmenkommunikation besser zu schützen, wird eine Verschlüsselung der relevanten und wichtigen Datenverbindungen zwischen den Standorten geprüft.
  • Die aktuellen Netzwerk Komponenten sowie die WAN Verbindungen sind gut ausgelegt und müssten auch für die neuen Anforderungen nicht ersetzt werden. Was kann nun gemacht werden um all diese Anforderungen umzusetzen?

…benötigen neue Lösungen:

Auf Basis des Schichtenmodelles wird schnell klar, dass das Transport-Netzwerk selbst nicht aktualisiert, jedoch im Bereich der Segmentierung eine Anpassung vorgenommen werden muss. Sie erteilen darum dem IT-Leiter den Auftrag, ein Lösungskonzept auszuarbeiten.

Die IT schlägt als Lösung folgende Ansätze vor:

  • MPLS für die firmenweite Segmentierung
  • MacSec oder IPSec für die Verschlüsselung

Eine genauere Prüfung dieser Lösungen ergibt jedoch:

  • MPLS ist eine neue Funktionalität und muss pro Gerät konfiguriert werden – das entsprechende Know-how muss erarbeitet werden – teilweise bedingt eine Einführung von MPLS auch den Ersatz von älteren Komponenten, da diese nicht nachgerüstet werden können.
  • MacSec WAN bedingt einen neuen Provider-Service, da dies nicht über die bestehenden Leitungen betrieben werden kann, monatliche Mehrkosten sind die Folge
  • IPSec bedingt neue, zusätzliche Komponenten, da die Verschlüsselung auf den aktuellen Geräten nicht durchgeführt werden kann
  • Der Betrieb des neuen Netzwerkes wird weiterhin via CLI erfolgen, der Betriebsaufwand steigt durch die neuen Funktionen an und wird komplexer.

=> tönt alles nicht sehr zufriedenstellend….

Was wäre, wenn es eine weitere Methode geben würde die als Lösung alle Anforderungen erfüllen würde?

Teil drei beantwortet diese Möglichkeit!

Tags:
Kommentar hinterlassen