Ohne einheitliches Netzdesign ist eine Automatisierung kaum möglich

Image by Pezibear from Pixabay

Netzwerke sind wie Schneeflocken in einem Schneesturm. Aus der Ferne sieht ein solches Gebilde kompakt und undurchdringlich aus. Bei genauerer Betrachtung zeigen sich jedoch die Schwachstellen und viele Unterschiede.

Ein Netzwerk aus Schneeflocken besteht typischerweise aus vielen unterschiedlichen Schneekristallen. Diese sind vergleichbar mit unterschiedlichen Hardwaremodellen von Koppelkomponenten in einem Datennetz, auf denen verschiedene Betriebssystemversionen arbeiten und die untereinander über unterschiedliche Verbindungsmethoden und Schnittstellen die Informationen austauschen. Auch die Konfigurationen dieser Netzkomponenten unterscheiden sich in der Regel voneinander.

Ein solches Schneeflocken-Netzwerk kann man auch als „opportunistisches Networking“ bezeichnen. Unternehmen, die solche Schneeflocken-Netze nutzen, neigen dazu, immer die kostengünstigsten Produkte zu beschaffen und zu installieren. Damit werden Beschaffungskosten eingespart, was jedoch zu höheren Betriebskosten führt, denn solche inhomogenen Netze lassen sich viel schwieriger verwalten als Netzwerke mit einem durchgehenden Designkonzept.

Schneeflocken-Designs entstehen sowohl in LAN- als auch WAN-Umgebungen. Dabei stellt jedes Stockwerk eines Gebäudes das funktionale Äquivalent zu einer WAN-Zweigstelle darstellt. Die Praxis hat bewiesen, dass sowohl im LAN- als auch im WAN das beste Netzwerkdesign immer nur sehr wenige Varianten aufweist. Bei den Variablen handelt es sich um die Loadbalancer, die Firewalls und die Access-Switches. Diese Systeme sollten im Unternehmen auf einem einheitliche Design basieren. Weisen diese Komponenten Unterschiede auf, hat das zur Folge, dass die Betriebsprozesse an jede einzelne Standardabweichung angepasst werden müssen. Mit anderen Worten: Sind die Bestandteile eines Netzwerkdesigns konsistent umgesetzt, wissen die Netzadministratoren, welche Schnittstellen an einem bestimmten Standort genutzt werden. Somit führt ein konsistentes Netzdesign zu einer besseren Problemerkennung und schnelleren Fehlerbehebung.

Bei der Bereitstellung von neuen Netzwerkdiensten oder bei der Behebung von Problemen nehmen Netzadministratoren oftmals gleichzeitig kleine Änderungen vor. Diese Änderungen führen in der Praxis zu großen Unterschieden im Netzdesign. Daher basieren viele Netze auf einem ähnlichen High-Level-Design, aber unterscheiden sich durch Implementierungsdetails erheblich voneinander.

So können beispielsweise Schnittstellen, die eine ähnliche Funktionalität bereitstellen, aber aufgrund der verwendeten Netzwerkhardware von Standort zu Standort unterschiedlich sein. Eine weitere häufige Variante ist die WAN-Konnektivität an abgesetzten Standorten, bei der einige Standorte mit zwei Rechenzentren (Dual-Homed) verbunden sind, während andere Standorte nur mit benachbarten Standorten verbunden sind. Letztere Designvariante ist besonders problematisch, da ein Ausfall der Verbindung zum Hauptrechenzentrums dazu führt, dass der Backup-Verkehr zum benachbarten Standort geleitet wird und dessen Verbindungen überlastet werden bzw. sich negativ auf den Betrieb auswirken. In diesem Fall sind zwei Standorte von dem Ausfall betroffen. Das Redundanzdesign wird schnell kompliziert und die Service-Level-Agreements für beide Niederlassungen sind schwer zu pflegen.

 

Standardisierte Netzwerkdesigns

Standardisierte Netzwerkdesigns reduzieren den Arbeitsaufwand, da das Netzwerkteam feste Betriebsverfahren (auch Betriebshandbuch genannt) für häufige Aufgaben (beispielsweise die Fehlersuche) festlegen kann. Die Netzwerksicherheit wird verbessert, da an mehreren Standorten die gleichen Regeln für die Firewalls und Zugriffskontrolllisten (ACL) gelten, was die Arbeitsbelastung des Sicherheitsteams reduziert.

Standardisierte Netzwerke basieren auf definierte Stücklisten und eindeutigen Dokumentationen. Darüber hinaus reduziert ein Standarddesign, das nur durch eine Reihe von Subnetzen und VLANs variiert, den für die Dokumentation notwendigen Zeitaufwand. Möglicherweise müssen generalüberholte Geräte für einen neuen Standort beschafft werden, wenn man noch nicht auf ein neues Standortdesign wechseln kann. Die Änderungen am Standortdesign erfordert die enge Zusammenarbeit mit dem jeweiligen Gerätelieferanten, um die Langlebigkeit eines Netzdesigns zu maximieren.

So weit wie möglich sollten die Standortkonfigurationen vereinheitlicht werden. So sollten sich beispielsweise die Schnittstellenbeschreibungen aus dem Standortnamen ableiten lassen und sich die ACLs und Firewall-Regeln aus den genutzten IP-Subnetzen und VLANs herleiten lassen. Mit Hilfe eines IP-Adressverwaltungssystems sollten die einem Standort zugewiesen IP-Address-Subnetze zugeordnet werden.

 

Die Automatisierung macht den Unterschied

Die Standardisierung erleichtert die Netzwerkautomatisierung und die Automatisierung reduziert den Aufwand für die Netzwerkwartung, was zu geringeren Betriebskosten führt. Im Idealfall verfügt ein Unternehmen nur über zwei Designvarianten für alle Niederlassungen und nur zwei Automatisierungsvarianten für die Bereitstellung, Konfiguration, Überprüfung und Fehlerbehebung aller Standorte. Die Anzahl der Variablen je entferntem Standort kann gering sein. Beispielsweise bestehen die Unterschiede nur in den Subnet-IDs, die für den Standort verwendet werden sollen. Dadurch vereinfacht und verbessert sich die Netzwerksicherheit, da die Firewall-Regeln und die ACLs standardisiert und automatisch aus den in der Niederlassung verwendeten IP-Adressen gewonnen werden können.

Nach der Installation vor Ort bestätigt das Automatisierungssystem, dass alle Niederlassungen (ob neu oder alt) dem geplanten Design entsprechen. Weitere Automatisierungsskripte können die Konnektivität des Netzwerks überprüfen, indem untersucht wird, ob die Kommunikationsnachbarn, die Routingtabellen und die Root-Brücken korrekt arbeiten. Unterscheidet sich die Designs der Niederlassungen nur durch das IP-Subnetz, lassen sich solche Prüfungen leicht automatisieren.

Standardisierte Netzdesigns erleichtern auch die Bereitstellung von Testsystemen für die Netzwerke. Eine solche Spielwiese kann zum Testen von geänderten Konfigurationen genutzt werden, bevor diese in einem produktiven Netzwerk eingesetzt werden. Die Hersteller von Netzkomponenten stellen hierzu virtuelle Instanzen ihrer Betriebssysteme zur Verfügung. Damit lässt sich eine automatisierte Testumgebungen aufbauen, ohne dass man eine größere Anzahl von Netzkomponenten beschaffen muss.

Umgekehrt erschweren uneinheitliche Netzwerkdesigns die Automatisierung. Es müssen eine Vielzahl von zusätzlichen Informationen bereitgestellt werden, um die Überprüfung der Netzwerkkonnektivität erledigen zu können. In einem solchen uneinheitlichen Netzumfeld lassen sich die Vorteile der Automatisierung nur schlecht nutzen. Der Aufwand für die Automatisierung in nicht einheitlichen Netzwerken erhöht sich, da jeder einzelne Standort und die zugehörigen Automatisierungssysteme permanent synchron gehalten werden müssen.

Zusammenfassung

Mathias Hein, Consultant, Buchautor, Redakteur

Die Konsistenz von Netzdesigns reduziert den Aufwand für den Betrieb eines Netzwerks erheblich. Hierzu muss jedoch für jedes Netzdesign die gleiche Hardware, die gleiche Software, die gleichen Schnittstellen und die gleichen Designregeln genutzt werden. Nur so lassen sich die Betriebskosten langfristig und nachhaltig senken.