Tierney - stock.adobe.com

Die 8 Top-Tools für Netzwerkautomatisierung

Mit der richtigen Netzwerkautomatisierungs-Plattform können Admins Unternehmensnetzwerke aufbauen und überwachen. Erfahren Sie mehr über die Top-Lösungen und deren Vorteile.

Die in jüngerer Zeit stark zunehmenden Angebote an Netzwerkautomatisierungs-Tools markieren eine Trendwende, wie Administratoren Netzwerke aufbauen und verwalten. Während es Automatisierungs-Tools für Server und Anwendungen bereits seit geraumer Zeit auf dem Markt gibt, waren entsprechende Tools für Netzwerke bislang eher Mangelware.

In der Vergangenheit wurden Konfigurationseinstellungen und fortlaufende Netzwerkänderungen größtenteils mithilfe manueller Prozesse vorgenommen. Doch mit dem Aufkommen von Netzwerkautomatisierungs-Tools lassen sich immer mehr dieser manuellen Schritte reduzieren.

Obwohl Netzwerkautomatisierungs-Tools verschiedene Ansätze bei der Automation verfolgen können, ist es ihr gemeinsames Ziel, den Zeitaufwand für einfache und wiederholte Konfigurationsprozesse zu verringern. In diesem Artikel betrachten wir neben den Vorteilen von Netzwerkautomatisierungs-Tools, wie sich drei unterschiedliche Typen von Netzwerkautomatisierungs-Plattformen voneinander abgrenzen lassen. Außerdem stellen wir acht populäre Tools für die Automation von Multivendor-Netzwerken im Überblick vor.

Funktionen von Netzwerkautomatisierungs-Tools

Jedes Netzwerkautomatisierungs-Tool in dieser Top-8-Liste kann Konfigurationsänderungen in Multivendor-Umgebungen automatisieren. Zu diesem Zweck automatisieren die Tools die Kommandozeilensyntax. Dann senden sie die Änderungen an jedes Gerät, dessen Konfiguration geändert werden muss.

Statt eines Netzwerkadmins, der auf allen Routern, Switches und Firewalls Secure Socket Shell (SSH) installiert, um die textbasierten Konfigurationen manuell zu modifizieren, erstellen Automatisierungs-Tools Konfigurationsskripte. Diese erreichen das gleiche Ziel in deutlich weniger Zeit und mit weniger Fehlern.

Eine API ist eine andere populäre Methode, wie Netzwerkautomatisierungs-Tools auf Konfigurationen von Netzwerkgeräten zugreifen und sie automatisieren. Diese modernere und elegantere Möglichkeit, mit Netzwerk-Equipment zu interagieren, kann die für häufige Netzwerkänderungen aufgewendete Zeit reduzieren.

Einige Netzwerkautomatisierungs-Tools gehen über den Prozess hinaus, Konfigurationsänderungen einfach zu automatisieren. Beispiele für weitere Funktionen zur Netzwerkautomation:

  • Konfigurations-Backups. Regelmäßig durchgeführte Backups werden verschlüsselt und sicher gespeichert, falls die Konfiguration einer Netzwerkkomponente wiederhergestellt oder auf einen früheren Stand zurückgesetzt werden muss.
  • Kontrolle des Tool-Zugriffs. Dieses Feature regelt, wer Konfigurationsänderungen für bestimmte Segmente des Netzwerks vornehmen darf. Zudem wird ein Accounting-Protokoll erzeugt, das die komplette Änderungshistorie zeigt.
  • Compliance Monitoring und Verifizierung. Admins können den Prozess automatisieren, mit dem festgestellt wird, ob ein Netzwerkgerät vorgegebene Compliance- und Regulierungsstandards erfüllt.
  • Dieser automatisierte Prozess identifiziert Firmware- und Konfigurationseinstellungen, die bekanntermaßen Ziel von Angriffen sind.
  • Performance Monitoring. Die IT kann für bestimmte Anbieterhardware Details zur Netzwerk-Performance auslesen und analysieren. Auf diese Weise lassen sich Konfigurationsempfehlungen ableiten, um die Performance weiter zu verbessern.
  • Diese Funktion erkennt automatisch Netzwerkgeräte für die zentralisierte Kontrolle und End-to-End-Koordination von Ergänzungen und Änderungen der LAN-Konfiguration.

Die drei Typen von Netzwerkautomatisierungs-Tools

Netzwerkautomatisierungs-Tools können in eine von drei Kategorien fallen. Zur ersten Kategorie gehören Tools, die in erster Linie für die Automatisierung von Servern und Anwendungen gedacht waren, mittlerweile aber auch das Netzwerk umfassen.

Viele IT-Abteilungen setzen womöglich einige dieser Tools bereits für Infrastruktur- und DevOps-Zwecke ein. Der Vorteil dieser Tools besteht darin, dass sie bereits intern zur Verfügung stehen. Zudem sind die IT-Mitarbeiter häufig versiert im Umgang mit ihnen.

Deshalb wäre es unter Kosten- und Implementierungsaspekten sowie unter Berücksichtigung der Lernkurve kein allzu großer Aufwand, Prozesse zur Netzwerkautomation in ein vorhandenes Tool einzubinden. Dennoch mangelt es einigen dieser Tools zur Automatisierung der Infrastruktur an Netzwerkautomatisierungs-Funktionen und Kompatibilität mit diverser Netzwerkhardware und -software.

Einen anderen Typ von Netzwerkautomatisierungs-Plattform stellen Tools dar, die speziell für das Netzwerk konzipiert sind. Diese Tools bieten die netzwerkspezifischsten Eigenschaften und Funktionalitäten. Damit stellt sich allerdings auch ein Problem: Es ist ein weiteres Einzel-Tool für genau diesen spezifischen Zweck. IT-Abteilungen, die ohnehin schon über eine Fülle von Utilities verfügen, sollten sich lieber woanders umsehen.

Der letzte Typ sind Software-defined Plattformen, die ein Software-Overlay über LAN-Hardware legen. Dieses Overlay ermöglicht es Admins, Konfigurationen von einem einzelnen Managementbereich aus zentral zu verwalten und zu orchestrieren.

Dadurch bleiben die zugrunde liegenden Konfigurationsbefehle innerhalb des Underlay verborgen. Diese Option eignet sich hervorragend, um Multivendor-Umgebungen zu vereinfachen, die häufige Änderungen an LAN-Konfigurationseinstellungen erfordern.

Abbildung 1: Die drei Typen von Tools für Netzwerkautomation.
Abbildung 1: Die drei Typen von Tools für Netzwerkautomation.

Evaluierung der besten Netzwerkautomatisierungs-Tools

Ansible Tower

Ansible ist eine Open-Source-Plattform, die ursprünglich als Automations-Tool für Linux-basierte Systeme entstand. Die Plattform wurde 2015 von Red Hat übernommen. Seitdem hat Red Hat die Ansible-Funktionen so erweitert, dass sie auch andere Teile der Enterprise-IT-Infrastruktur automatisieren, einschließlich Netzwerkgeräte. Ansible Tower ist die kommerzielle Version des Produkts. Dieses Tool-Set für den Enterprise-Bereich umfasst Funktionen für Zugriffskontrollen, Sicherheit sowie Auditing und Reporting, die für die meisten IT-Abteilungen notwendig sind.

Da Ansible eine agentenlose Architektur nutzt, funktioniert die Lösung gut, wenn es um die Automatisierung von gehärteten und proprietären Systemen geht, zum Beispiel Netzwerk-Appliances. Folglich werden Interaktionen zwischen der Ansible-Tower-Plattform und beliebigem Netzwerkequipment, das sie automatisiert, per SSH oder über eine offene API durchgeführt.

Darüber hinaus bietet Ansible Hunderte von vordefinierten Netzwerkmodulen, die den Großteil der Arbeit zur Erstellung von Automatisierungsprozessen übernehmen. Zu den vordefinierten Modulen zählen Automationsvorlagen für etliche Anbieter, unter anderem A10, Cisco, Dell und Fortinet. Ansible Tower ist eine besonders gute Option, wenn sie bereits von Server-, Anwendungs- und Entwicklungsteams eingesetzt wird.

BeyondEdge Networks##

Die Anfänge von BeyondEdge Networks – ehemals iPhotonix – gehen auf Technologien für Carrier Access Networking zurück. Da das Unternehmen die sich abzeichnenden Veränderungen bei der Netzwerkarchitektur früh erkannte, kaufte es die SD-WAN-Technologie von Netsocket, um die Vision seiner Art von Netzwerkverwaltung auf Basis von Software-defined Networking (SDN) weiter voranzutreiben.

Mithilfe der Grundlage und der Erfahrung vom Software-defined-Markt machte die Firma ihr Produkt fit für das Enterprise-LAN. Das Ergebnis ist eine SD-LAN-Plattform (Software-defined LAN), die als Overlay für alle existierenden Technologien von Switching-Anbietern oder White-Box-Verfahren dienen kann. Weil die Plattform anbieterneutral ist, kann sie weitgehend unabhängig vom zugrunde liegenden Netzwerk, einschließlich Kupfer oder Glasfaser, arbeiten. Unternehmen erhalten somit die in Software-defined Networks inhärenten Netzwerkautomatisierungs-Fähigkeiten zu geringeren Kosten.

Die SD-LAN-Lösung von BeyondEdge erkennt automatisch die gesamte Layer-2-Konnektivität in einem Netzwerk, indem sie die zugrunde liegende Topologie des Netzwerks dynamisch in ein visuelles Modell überführt. Gleichzeitig werden Vorlagen für die Netzwerkautomation genutzt, um die LAN-Services direkt für ihre entsprechenden Endpunkte zu konfigurieren. Nachdem alles eingerichtet ist, können die Admins netzwerkweite Änderungen direkt vom BeyondEdge-UI aus zentral verwalten.

BMC TrueSight Automation for Networks

TrueSight Automation for Networks von BMC ist eine eigenständige, spezifische Plattform, die generell einen sicherheitszentrierten Ansatz für die Netzwerkautomation verfolgt. Das Tool Set lässt sich in die größere BMC-Plattform TrueSight AIOps integrieren. Diese enthält Tools für die Automatisierung von Operations Management, Netzwerkorchestrierung und Servern.

Automation for Networks umfasst außerdem Tools zur automatischen Schwachstellenerkennung für Netzwerk-Equipment sowie zur Automation von Compliance-Checks, Konfigurationsüberprüfungen und anderen sicherheitsorientierten Provisioning-Aufgaben. Das Produkt integriert sich in Netzwerkerkennungs-Tools, etwa BMC Discovery, sowie in Third-Party-Lösungen von Cisco, Entuity und Ipswitch.

Was die Kompatibilität mit Netzwerkausrüstern angeht, so unterstützt TrueSight eine breite Palette von Anbietern, unter anderem Arista, Check Point, Cisco, Dell, Hewlett Packard Enterprise (HPE) und Juniper. Es lässt sich zudem in Software-defined Networks integrieren, zum Beispiel VMware NSX und Cisco Application Centric Infrastructure, und kann dort Prozesse automatisieren.

Chef Enterprise Automation Stack

Chef ist ein Automatisierungs-Tool-Set, das vollständig auf Open Source basiert. Allerdings sollten die meisten Unternehmen, die sich mit Netzwerkautomation beschäftigen, das kommerziell verfügbare Chef Enterprise Automation Stack berücksichtigen.

Das Produkt ergänzt viele Funktionen, die in heutigen IT-Abteilungen unverzichtbar sind, beispielsweise professionellen Support. Das Tool Set unterstützt Admins dabei, verschiedene Server-, Anwendungs-, und Netzwerkrichtlinien zu optimieren und zu managen. Das kann sowohl On-Premises als auch in der Cloud erfolgen. Chef wird gerne von Server- und Entwicklungsteams eingesetzt, so dass einige IT-Teams wahrscheinlich bereits Chef Enterprise Automation Stack nutzen.

Im Gegensatz zu anderen hier vorgestellten Lösungen verwendet Chef Agenten, die auf den Netzwerkgeräten installiert werden. Die Agenten arbeiten mit der Chef-Plattform zusammen, um diverse Netzwerkkonfigurationsaufgaben zu automatisieren. Dazu zählen Änderungen an Router- sowie Switch-Ports und virtuellen LANs (VLAN) oder an QoS-Policies (Quality of Service) im Netzwerk. Da ein installierter Agent Voraussetzung ist, unterstützt Chef im Vergleich zu anderen Lösungen weniger Netzwerkanbieter, obwohl es kompatibel mit einigen der größeren Netzwerkausrüster ist. Dazu gehören Arista, Cisco, Juniper und F5.

ManageEngine Network Configuration Manager

ManageEngine, Teil der Zoho Corporation, entwickelt IT-Management-Plattformen für den Enterprise-Bereich. Der Network Configuration Manager des Unternehmens ist eine spezifische Plattform mit mehreren nützlichen Funktionen. Das Produkt ist nicht nur eine Automatisierungsplattform für die Konfiguration von Multivendor-Netzwerken.

Es verfügt auch über Tools, um Netzwerkänderungen zu verwalten und zu kontrollieren, Konfigurationen sicher zu speichern sowie Netzwerk-Compliance und -Auditing zu realisieren sowie durchzusetzen. ManageEngine unterstützt die Automatisierung von Routern, Switches, Firewalls und anderen Netzwerkgeräten von Anbietern wie Cisco, Dell, Juniper und Fortinet.

Der Network Configuration Manager setzt auf sogenannte Configlets. Dabei handelt es sich um Automatisierungs-Templates, die Admins erstellen können, um viele Routineaufgaben zu automatisieren. Das Tool kann auch etliche Compliance-Monitoring- und Verifizierungsprozesse automatisieren, um gesetzliche Vorgaben von Sarbanes-Oxley Act, Payment Card Industry und HIPAA zu unterstützen.

Es kann zudem detaillierte Berichte erstellen, wenn von Admins festgelegte Konfigurations-Policies verletzt werden. Ein Beispiel dafür ist die Überprüfung, ob SNMP-Communities (Simple Network Management Protocol) mit der entsprechenden Passwortstärke festlegt wurden.

Die Plattform bietet sogar eine Smartphone-App, mit der Sie die Konfigurationsautomatisierung und -Compliance von unterwegs aus verwalten können. ManageEngine ist seit geraumer Zeit im Bereich Netzwerkautomation tätig und verfügt über eine große Kundenbasis.

Puppet Enterprise

Puppet ist ein weiteres Tool zur Automatisierung der Infrastruktur, das für Server und in der Anwendungsentwicklung populär ist. Für Netzwerkadmins, die versuchen, Tools zu konsolidieren, kann Puppet Enterprise hilfreich sein, da andere IT-Teams im Unternehmen es wahrscheinlich bereits nutzen.

Durch die Installation von einem oder mehreren Netzwerkmodulen lässt sich die Plattform immerhin auch um einige grundlegende Funktionen zur Netzwerkautomation aufrüsten. Puppet ist Open Source, doch die meisten Organisationen haben sich vermutlich für die Bezahlvariante Puppet Enterprise entschieden. Die Enterprise-Version ist auch notwendig, um die Add-on-Module für die Netzwerkautomation zu erhalten. Obwohl Puppet sonst zum größten Teil agentenbasiert ist, kommen die Netzwerkautomatisierungsmodule zudem vollkommen ohne Agenten aus.

Die Module für die Netzwerkautomation enthalten Unterstützung für Cisco Internetwork Operating System, IOS XE und Nexus-Hardware. Andere Module gibt es für Firewalls mit Palo Alto PAN-OS, Lenovo-Switches und Load Balancer mit dem F5 Local Traffic Manager. Diese Liste ist zwar nicht so umfangreich wie bei einigen anderen Produkten, doch dies kann eine Low-Cost-Option für Organisationen sein, die bereits Puppet Enterprise gekauft haben und ein Netzwerk betreiben, das überwiegend aus Komponenten dieses Anbieters besteht.

SaltStack Enterprise

SaltStack entwickelt und verkauft IT-Operations- und Security-Software-Tools, die das Infrastrukturmanagement und die Datensicherheit vereinfachen sollen. Das Produkt SaltStack Enterprise beruht auf der unter dem Namen Salt bekannten, Python-basierten Automatisierungssoftware.

SaltStack gehört – ähnlich wie Puppet, Chef und Ansible – zu jenen Plattformen für die Automatisierung der Infrastruktur, die ihr Tool Set um ein gewisses Maß an Netzwerkautomation ergänzt haben. Entsprechend verfügt die Lösung zwar nicht über die breite Funktionalität, durch die sich spezielle Netzwerkautomatisierungs-Tools auszeichnen, kann Admins aber vielleicht genau die benötigten Basis-Features liefern.

Bei SaltStack Enterprise steht ebenfalls die Sicherheit im Mittelpunkt. Nutzer können damit Firmware-Checks gegen bekannte angreifbare Versionen durchführen sowie kommandozeilenbasierte Netzwerkkonfigurationen durchsuchen, um Netzwerkeinstellungen zu identifizieren, die die Compliance nicht mehr erfüllen.

SolarWinds Network Configuration Manager

SolarWinds war bereits im Bereich Netzwerkautomation aktiv, lange bevor dies zum Mainstream-Thema wurde. Der Network Configuration Manager des Unternehmens ist mit einer Reihe von Netzwerkausrüstern kompatibel. Bei den erweiterten Funktionen gibt es aber eine Tendenz zu Cisco und Palo Alto. Zu anderen unterstützten Anbietern gehören Juniper, HPE/Aruba, Dell und F5.

Wie ManageEngine enthält auch der SolarWinds Network Configuration Manager neben typischen Netzwerkautomatisierungs-Features etliche Sicherheitsfunktionen. Zu den eher spezielleren Features des Network Configuration Managers gehört die Integration in die National Vulnerability Database. Mithilfe dieser kontinuierlich aktualisierten Datenbank kann die Plattform die Identifizierung von unsicherer Firmware automatisieren oder Services für vernetzte Geräte aktivieren.

Der Network Configuration Manager lässt sich in andere SolarWinds-Tools aus dem Produktportfolio des Anbieters integrieren, etwa den Network Performance Monitor.

Erfahren Sie mehr über Software-defined Networking

ComputerWeekly.de

Close