Experten-Interview: Cisco Digital Network Architecture

Nov 24, 2020 | Solutions

Cisco DNA (Digital Network Architecture) bietet dutzende Vorteile bezüglich Automatisierung, Security und Skalierbarkeit. Dominik Jonas ist ein erfahrener Network Engineer mit Fokus DNA und erklärt, warum seine Kunden die Software-orientierte Netzwerkvariante bevorzugen.

Dominik, Cisco DNA wird als «neue Ära im Netzwerk» beschreiben. Was heisst das genau?

Die Art und Weise wie Netzwerke bis anhin installiert und konfiguriert werden, hat sich in den letzten Jahrzehnten leider kaum verändert. Jeder kennt und nutzt die blauen, seriellen Kabel, um die Switches, Router und weitere Komponenten zu konfigurieren. Cisco hat sich vor einigen Jahren entschieden, einen anderen Weg einzuschlagen, weg von der starren CLI, hin zu einem moderneren, Software-basierenden Ansatz. Viele Aufgaben, die wir bisher manuell erledigt haben, übernimmt nun im Campus LAN ein Stück Software für uns, das sogenannte DNA Center; im WAN-Umfeld das SD-WAN vManage. Das DNA Center bietet unseren Kunden die Fähigkeit, ihr gesamtes Campus-Netzwerk nicht nur automatisiert und komplett ohne Nutzung der seriellen Kabel zu installieren, sondern auch eine neue Plattform zum Management und zur Überwachung ihrer Netzwerke. Analog hierfür bietet das vManage diese Möglichkeiten für die WAN-Umgebung.

Was konkret wird dank DNA einfacher bzw. ist mit weniger Aufwand verbunden?

Das lässt sich am besten mit dem Begriff bzw. der Philosophie hinter „Intent-Based Networking“ erklären. Intent aus dem Englischen ist mit Absicht, Zweck oder Vorhaben zu übersetzen. Der Fokus liegt nicht mehr auf einer manuellen und aufwendigen Konfiguration, wie Verbindungen über einzelne IP-Adressen und den dazugehörigen Protokollen herstellt werden. Es geht viel mehr in die Richtung, was die Netzwerkinfrastruktur leisten muss. Das Ziel ist es, Geschäftszwecke zu erkennen (was soll erreicht werden), diese in Richtlinien/Konfigurationen zu übersetzen und automatisiert über das gesamte Netzwerk abzubilden (wie soll es erreicht werden). Das wie soll möglichst automatisiert durchgeführt werden können. Aber nicht als einmaliger Prozess. Das Netzwerk muss sich kontinuierlich selbst überwachen und sich den Gegebenheiten oder Veränderungen anpassen, um die gewünschte Stabilität, Geschwindigkeit und Sicherheit zu gewährleisten.

Ein Blick auf die beiden erwähnten Programme, die uns Cisco zur Verfügung stellt, zeigt uns genau diese neue Denkweise auf. Ich teile dem System mit, was ich erreichen will. Das System übernimmt für mich die Konfiguration der einzelnen Netzwerkkomponenten, egal ob es sich um eine kleine oder grosse Umgebung handelt.

Um den zweiten Teil der anfänglichen Frage zu beantworten, ob es mit weniger Aufwand verbunden ist, muss man fair sein. Neue Technologien und neue Software bedeuten automatisch Aufwand. Die eigene Denkweise zu ändern (weg von der CLI) und auch einem bis dato unbekannten System über eine webbasierte Oberfläche beizubringen, was es für mich leisten soll, generiert ebenso Aufwand. Allerdings verschiebt sich dieser Aufwand bis zur fertigen Lösung, weg von der manuellen Konfiguration hin zur Konfiguration des DNA Centers bzw. des vManage.

Aber lohnt sich denn dieser Aufwand schlussendlich?

Da kann ich nur ein klares Ja als Antwort zurückgeben. Die neuen Systeme bieten nicht nur die Möglichkeit, die Konfigurationen automatisch durchzuführen. Diese liefern auch eine hohe Transparenz der Infrastruktur. Informationen diverser Umsysteme werden gesammelt und mit wenigen Klicks aufbereitet zur Verfügung gestellt. Als weiteres Beispiel steht das komplette Inventar inklusive Seriennummern, Softwarestände und Konfigurationsbackup zur Verfügung. Ebenso lassen sich mit wenigen Klicks Software Updates automatisiert durchführen. Ein grosser Vorteil durch das Sammeln von Informationen verschiedener Umsysteme ist das Monitoring. Mit geringem Aufwand ist es dadurch möglich, alle Angaben z.B. zu bestimmten Endgeräten zu bekommen und im Fehlerfall schnell reagieren zu können.

Das klingt so, als ob man nach der Migration bequem die Beine auf den Tisch legen könnte, weil es dann läuft?

Das wäre natürlich schön, aber bekanntlich ist nach der Migration vor der Migration. Das DNA Center und auch das vManage sparen viel Zeit im operativem Betrieb ein, gleichzeitig zeigen sie auch viel Verbesserungspotential im Umgang mit dem Netzwerk und anderen Services im Firmennetz. Eine stetige Weiterentwicklung und Verbesserung wird zeitlich ermöglicht, indem der Fokus nicht mehr auf intensiver Problemanalyse/Problemkorrektur liegt, sondern vielmehr auf weiterführenden Projekten. Und Projekte im Netzwerk gibt es genügend, die so endlich aktiv angegangen werden können.

Wie steht es um die Security?

Ein wesentlicher Bestandteil des DNA Center ist der Part «Policy». Dort werden alle Einstellungen zu den im Konzept festgelegten Virtual Networks und Secure Group Tags konfiguriert, auch Micro- und Macro-Segmentierung genannt. Alles in Zusammenspiel mit Cisco Identity Service Engine (ISE). Jedes Endgerät im Netzwerk bekommt eine Kennzeichnung, mit der die Zugriffe untereinander oder auch auf andere Systeme, wie z.B. Ressourcen im Datacenter, gefiltert werden können.

Ein neuer Ansatz, viele neue Möglichkeiten und Funktionen; ist Cisco DNA denn überhaupt erschwinglich?

Pauschal ist die Frage schwierig zu beantworten. Natürlich hat eine solche umfangreiche, neue Lösung seinen Preis. Ich denke, es macht am meisten Sinn, die Grösse und Komplexität der Umgebung zu betrachten. Denn je grösser und komplexer, umso höher fällt auch der Nutzen dieser Technologie aus. Man muss hier definitiv von Fall zu Fall entscheiden und mit Hilfe unserer Spezialisten die Lösung erarbeiten.

Sie haben Fragen zu Cisco DNA? Dann wenden Sie sich direkt an Dominik Jonas via jonas@netcloud.ch.