Im letzten von mir erschienenen Beitrag zur Automatisierung von Arbeitsabläufen beim Betrieb von Netzen wies ich darauf hin, dass für eine vielversprechende Netzautomatisierung die Arbeitsabläufe in allen relevanten Werkzeugen und Lösungen abzudecken sind, nicht nur in der Administration von Switches.
Ja, man kann sich für eine proprietäre Lösung passend zu den Switches entscheiden, die man nutzt. Wenn man ein Netz auf grüner Wiese baut, kann man eine Art Software-Defined Network (SDN) einkaufen, je nach Fabrikat mit den passenden Controllern dazu bzw. mit der Management-Lösung aus dem Portfolio des Herstellers der Switches. Und ja, in einem solchen Netz kann, im Vergleich zur klassischen Administration jedes einzelnen Switches mittels eines CLI (Command Line Interface), eine Reihe von Betriebsaufgaben erleichtert werden, zum Beispiel das Anlegen eines neuen Virtual Local Area Network (VLAN) im ganzen Netz, etwa für einen neuen Mandanten. Bei einer neuen virtuellen Routing-Instanz (Virtual Routing and Forwarding, VRF) wird es schon schwieriger, denn dafür muss klar sein, welche IP-Adressen die VRF-Instanzen auf jedem Switch erhalten. Wie schon im oben genannten Beitrag erwähnt ist für eine weitgehende Automatisierung eine Schnittstelle zum IP Address Management (IPAM) erforderlich.
Einige SDN-Lösungen bieten auch Funktionen für Mikrosegmentierung. Manchmal braucht man aber komplexere Firewall-Regeln als die statusbewussten Paketfilter in einem SDN. Wenn neben dem SDN auch Next Generation Firewalls (NG-FW) zum Einsatz kommen, wäre eine Schnittstelle der Netzautomatisierung zum Firewall-Management von Vorteil.
Eine homogene Switch-Landschaft, was meistens nur in neuen Netzen erreicht werden kann, ist somit für eine Netzautomatisierung, die den Namen verdient, nicht ausreichend. Reale Netze bestehen aus Komponenten verschiedener Baureihen und Hersteller. Eine Automatisierungssoftware sollte offen genug sein, um administrative Zugriffe auf ebendiese heterogenen Produkte zu ersetzen.
Aus der Praxis der Planung und Ausschreibung von Netzautomatisierung weiß ich, dass hier zwei Kompetenzbereiche zu kombinieren sind: Software-Entwicklung und Netz-Verständnis. Software Engineering gemäß Best Practice allein ist noch keine Gewähr dafür, dass eine den Anforderungen heutiger Netze entsprechende Lösung für Netzautomatisierung realisiert wird. Eine weitere Bedingung besteht darin, dass die Entwickler verstehen, wie heutige Netze und deren Betrieb funktionieren.
