SD-WAN-Migration

„Lokale Internet-Breakouts sind absolutes Muss“

28. September 2022, 7:30 Uhr | Interview: Diana Künstler | Kommentar(e)
Server Rechenzentrum
© Daisy Reillet

Für Unternehmen, die die Vorteile von Cloud- und Internetdiensten ausschöpfen möchten, bietet sich Software-defined Networking im Weitverkehrsnetz an. Welche Aspekte dabei migrationsseitig berücksichtig werden sollten, weiß Uwe Becker von Orange Business Services zu berichten.

funkschau: Welche Ziele lagen dem Mammutprojekt bei Siemens zugrunde?

Uwe Becker: Bei Siemens wurden insgesamt 1.168 Standorte in 94 Ländern vernetzt. Allein aufgrund des Umfangs kann man dabei in der Tat von einem Mammutprojekt sprechen. Ausgangspunkt war, dass Siemens auf eine Cloud-First-Strategie setzte, um mehr Flexibilität im Betrieb, schnellere Innovationen, Skalierbarkeit, Performance und eine steigende Mitarbeiterproduktivität zu erreichen. Das Unternehmensnetzwerk auf MPLS-Basis konnte diesen Anforderungen nicht mehr gerecht werden. Deshalb fiel die Entscheidung, auf eine SD-WAN-Infrastruktur zu migrieren. Mit der Konstellation aus aktuellen Anforderungen und herkömmlichen, kostspieligen MPLS-Netzwerken hatte jedoch nicht nur Siemens zu kämpfen; sie zieht sich durch unterschiedlichste Branchen hindurch.

Uwer Becker, Orange Business
Uwe Becker ist Head of Business Services Germany and Austria bei Orange Business Services, der Geschäftskundensparte der Orange-Gruppe. Als Lead Architect hat er das Migrationsprojekt bei Siemens von Beginn an begleitet. Aus dieser und vielen weiteren Umstellungen kennt er die Herausforderungen von SD-WAN-Migrationen in multinationalen Konzernen.
© Orange Business Services

funkschau: Inwiefern konnte Siemens seine Ziele mittels der flexiblen SD-WAN-Lösung erreichen?

Becker: Bei SD-WAN handelt es sich um eine zentral administrierte und konfigurierte Technologie. Mit dieser können unterschiedliche Netze wie Internet und MPLS-Netzwerke genutzt und verbunden werden, um sie zu orchestrieren und in logische Segmente aufzuteilen. Mit diesen Kernfunktionalitäten lässt sich über zahlreiche Standorte hinweg ein zuverlässiges, flexibles, sicheres sowie zukunftsfähiges Kommunikationsnetz aufbauen. Unternehmen können die steigenden Datenvolumen aus der fortschreitenden Digitalisierung bewältigen und Anwendungen wie MS Teams integrieren, um das mobile Arbeiten zu ermöglichen.

Für Siemens als Manufacturer ging es außerdem um Makrosegmentierung beziehungsweise die Segmentierung für Netzwerke im Bereich Operational Technology (OT). Zudem wollte das Unternehmen technische Maschinen- beziehungsweise Produktionsdaten über speziell abgesicherte Cloud-Anbindungen in einen Data Lake einspeisen. Zu Beginn des Projektes stand schnell fest, dass wir durch die Cisco SD-WAN-Lösung die entsprechenden notwendigen Features – wie Segmentierung, automatisierte Konfiguration, flexibler Access, zentrale und regionale Data Policy Rules, Local Breakouts zum Internet und Application Aware Routing, also intelligentes Routing – umsetzen können.

funkschau: Was sind die Besonderheiten der flexiblen SD-WAN- Lösung, die auf der Cisco-Technologie basiert?

Becker: Zu Beginn des Projektes führten wir Vergleichstests mit verschiedenen SD-WAN-Lösungen durch. Die Entscheidung fiel zugunsten von Cisco, weil das Unternehmen 2017 bereits die Viptela-Technologie gekauft und integriert hatte. So konnte Cisco zum damaligen Zeitpunkt als erster und einziger Anbieter eine allumfassende Lösung bereitstellen. Letztendlich hat uns Cisco durch seine Möglichkeiten zur Applikationspriorisierung, dynamischen Wegewahl und Makrosegmentierung über Weitverkehrsnetze überzeugt. Mittlerweile haben wir die Lösungen der drei großen Anbieter – Cisco, Palo Alto und Fortinet – gleichwertig im Portfolio. Je nach Kundenanforderungen passen einzelne Funktionalitäten der einen oder anderen Lösung besser zum Einsatzszenario des jeweiligen Kunden. Da geht es dann beispielsweise um die Integration von Security, die durch das zunehmende remote Arbeiten massiv an Bedeutung gewinnt. Ein eindeutiger Vorteil von Cisco sind auch die umfassenden Integrationsmöglichkeiten für LAN oder Datacenter.

Bei Siemens kommt für kleinere, reine Office-Standorte, für die keine Makrosegmentierung erforderlich ist, Meraki von Cisco zum Einsatz. Die Out-of-the-Box-Lösung ist zwar nicht ganz so flexibel, aber einfach zu konfigurieren – LAN und WAN sind eine Einheit. Der Trend, Meraki für einfachere Standorte einzusetzen, nimmt stark zu.

Norbert Wieland, Siemens
Norbert Wieland, Service Group Manager für den Siemens WAN Service
© Siemens

Siemens-Statement:
Die größte Herausforderung war, einer der Ersten zu sein

Neue Produkte, die neue Konzepte einführen, kommen mit einem größeren Risiko als beim Einsatz von etablierten Technologien. Wir haben zu einem sehr frühen Zeitpunkt eines der größten Industrienetzwerke auf SD-WAN-Technologie umgestellt und betrieben. Unerwartete Limitierungen machten es notwendig, dass Architekturen umgeplant wurden – um zum Beispiel zusätzliche Gateways zu errichten. Unsere Provider waren dabei ein verlässlicher Partner, um selbst bei größten Herausforderungen das Projekt weiter am Laufen zu halten. Ebenso herausfordernd war die Transformationsphase, denn dabei musste sowohl die bestehende wie die neue Lösung betrieben werden. Um eine Kommunikation über beide Technologien zu ermöglichen, wurden Gateways installiert. Das verursacht zusätzliche Latenzzeiten, wenn sich Quelle und Ziel in unterschiedlichen Segmenten befinden. 

funkschau: Welche weiteren technischen Features waren für die Planung des SD-WAN ausschlaggebend?

Becker: Es gibt bei Projekten dieser Art noch viele weitere technische Fragen zu klären:

  1. Welche Netztopologie kommt zum Einsatz?
  2. Wie werden die unterschiedlichen Standorte ans Internet angebunden?
  3. Wie soll das Back-up für die Standorte der einzelnen Güteklassen aussehen?

Siemens bindet Standorte redundant über Business-Class-Internet an, sehr wichtige Standorte vierfach. 5G oder auch Satelliten-Internetverbindungen fungieren als Back-up-Technologie. Ebenso wichtig bei der Planung: Welcher Datenverkehr kann ins öffentliche Internet ausgeleitet und welcher muss über Overlay-Netzwerke geführt werden? Für Public-Cloud-Anwendungen oder MS Teams kann man in der Regel auf das Internet setzen, während zeitkritischer Datenverkehr aus SAP oder aus PLM (Product Lifecycle Management)-Applikationen meist über Overlay-Netze transportiert wird. In puncto Netzwerkmanagement gilt es zu entscheiden, ob dieses ausschließlich oder in Teilen der Dienstleister übernimmt. Besonderer Fokus liegt auf der Planung und Durchführung des Rollouts.

funkschau: Vor welchen Herausforderungen stand man während des Projektes und wie ließen sich diese bewältigen?

Becker: Der Rollout bei Siemens stand unter dem Zeichen der Corona-Pandemie. Zum einen wurde Hardware aufgrund des Chipmangels verspätet geliefert und es gab für Installationsarbeiten Zugangsbeschränkungen. Zudem hatten wir für kleinere Standorte ein „Self-Install-Konzept“ entwickelt. Die vorkonfigurierten Geräte verschickten wir an die Niederlassungen. Diese mussten vor Ort eigentlich nur eingesteckt werden. Sehr häufig waren die Mitarbeiter aber im Homeoffice, dann war das schwierig.

funkschau: Welche Learnings gibt es aus diesem Projekt? Oder anders gefragt: Welche allgemeingültigen Handlungsempfehlungen für globale Großkonzerne und deren Transformationsvorhaben lassen sich daraus ableiten?

Becker: Grundsätzlich ist es wichtig, für jeden Standort eine passende Internetanbindung sicherzustellen. Da immer mehr Applikationen in der Cloud liegen, sind lokale Internet-Breakouts heutzutage ein absolutes Muss. Doch nicht nur deshalb sollte man sich die Applikationslandschaft genau ansehen. Es muss auch geprüft werden, ob die einzelnen Anwendungen mit der SD-WAN-Tunneltechnologie, die die Paketgrößen für den Transport reduziert, kompatibel sind. Kritisch wird es hier oft bei Legacy-Anwendungen, die nicht für SD-WAN ausgelegt sind. Ein banales Beispiel mit großer Auswirkung, auf das wir schon bei mehreren Kunden gestoßen sind, ist die WLAN-Authentifizierung über RADIUS-Systeme (Anm. d. Red.: Remote Authentication Dial-In User Service). Es sind oft noch alte LAN-Switches von unterschiedlichen Herstellern im Einsatz, die mit der dynamischen Ermittlung der maximalen Paketgrößen nicht zurechtkommen. Die Folge ist, dass sich die Anwender nicht mehr im WLAN authentifizieren können. Das Rollout-Team muss dann die Switches austauschen oder auf dem klassischen Weg jeden einzelnen Switch manuell umkonfigurieren.


Das könnte Sie auch interessieren

Verwandte Artikel

Siemens AG Erlangen, Orange Business Germany GmbH

IntelligenteNetzwerke

Matchmaker+