Tierney - stock.adobe.com

Die 8 Top-Tools für Netzwerkautomatisierung

Mit der richtigen Netzwerkautomatisierungs-Plattform können Admins Unternehmensnetzwerke aufbauen und überwachen. Erfahren Sie mehr über die Top-Lösungen und deren Vorteile.

Die in jüngerer Zeit stark zunehmenden Angebote an Netzwerkautomatisierungs-Tools markieren eine Trendwende, wie Administratoren Netzwerke aufbauen und verwalten. Während es Automatisierungs-Tools für Server und Anwendungen bereits seit geraumer Zeit auf dem Markt gibt, waren entsprechende Tools für Netzwerke bislang eher Mangelware.

In der Vergangenheit wurden Konfigurationseinstellungen und fortlaufende Netzwerkänderungen größtenteils mithilfe manueller Prozesse vorgenommen. Doch mit dem Aufkommen von Netzwerkautomatisierungs-Tools lassen sich immer mehr dieser manuellen Schritte reduzieren. Obwohl Netzwerkautomatisierungs-Tools verschiedene Ansätze bei der Automation verfolgen können, ist es ihr gemeinsames Ziel, den Zeitaufwand für einfache und wiederholte Konfigurationsprozesse zu verringern.

In diesem Artikel betrachten wir neben den Vorteilen von Netzwerkautomatisierungs-Tools, wie sich drei unterschiedliche Typen von Netzwerkautomatisierungs-Plattformen voneinander abgrenzen lassen. Außerdem stellen wir acht populäre Tools für die Automation von Multivendor-Netzwerken im Überblick vor.

Funktionen von Netzwerkautomatisierungs-Tools

Jedes Netzwerkautomatisierungs-Tool in dieser Top-8-Liste kann Konfigurationsänderungen in Multivendor-Umgebungen automatisieren. Zu diesem Zweck automatisieren die Tools die Kommandozeilensyntax. Dann senden sie die Änderungen an jedes Gerät, dessen Konfiguration geändert werden muss. Statt eines Netzwerkadmins, der auf allen Routern, Switches und Firewalls Secure Socket Shell (SSH) installiert, um die textbasierten Konfigurationen manuell zu modifizieren, erstellen Automatisierungs-Tools Konfigurationsskripte. Diese erreichen das gleiche Ziel in deutlich weniger Zeit und mit weniger Fehlern.

Eine API ist eine andere populäre Methode, wie Netzwerkautomatisierungs-Tools auf Konfigurationen von Netzwerkgeräten zugreifen und sie automatisieren. Diese modernere und elegantere Möglichkeit, mit Netzwerk-Equipment zu interagieren, kann die für häufige Netzwerkänderungen aufgewendete Zeit reduzieren.

Einige Netzwerkautomatisierungs-Tools gehen über den Prozess hinaus, Konfigurationsänderungen einfach zu automatisieren. Beispiele für weitere Funktionen zur Netzwerkautomation:

  • Konfigurations-Backups. Regelmäßig durchgeführte Backups werden verschlüsselt und sicher gespeichert, falls die Konfiguration einer Netzwerkkomponente wiederhergestellt oder auf einen früheren Stand zurückgesetzt werden muss.
  • Kontrolle des Tool-Zugriffs. Dieses Feature regelt, wer Konfigurationsänderungen für bestimmte Segmente des Netzwerks vornehmen darf. Zudem wird ein Accounting-Protokoll erzeugt, das die komplette Änderungshistorie zeigt.
  • Compliance Monitoring und Verifizierung. Admins können den Prozess automatisieren, mit dem festgestellt wird, ob ein Netzwerkgerät vorgegebene Compliance- und Regulierungsstandards erfüllt.
  • Dieser automatisierte Prozess identifiziert Firmware- und Konfigurationseinstellungen, die bekanntermaßen Ziel von Angriffen sind.
  • Performance Monitoring. Die IT kann für bestimmte Anbieterhardware Details zur Netzwerk-Performance auslesen und analysieren. Auf diese Weise lassen sich Konfigurationsempfehlungen ableiten, um die Performance weiter zu verbessern.
  • Diese Funktion erkennt automatisch Netzwerkgeräte für die zentralisierte Kontrolle und End-to-End-Koordination von Ergänzungen und Änderungen der LAN-Konfiguration.

Die drei Typen von Netzwerkautomatisierungs-Tools

Tools zur Netzwerkautomatisierung lassen sich in drei Kategorien einteilen: Tools zur Infrastrukturautomatisierung, zweckgebundene Netzwerkautomatisierung und Tools für softwaredefinierte Plattformen.

Zur ersten Kategorie gehören Tools, die in erster Linie für die Automatisierung von Servern und Anwendungen gedacht waren, mittlerweile aber auch das Netzwerk umfassen. Viele IT-Abteilungen setzen womöglich einige dieser Tools bereits für Infrastruktur- und DevOps-Zwecke ein. Der Vorteil dieser Tools besteht darin, dass sie bereits intern zur Verfügung stehen. Zudem sind die IT-Mitarbeiter häufig versiert im Umgang mit ihnen. Deshalb wäre es unter Kosten- und Implementierungsaspekten sowie unter Berücksichtigung der Lernkurve kein allzu großer Aufwand, Prozesse zur Netzwerkautomation in ein vorhandenes Tool einzubinden. Dennoch mangelt es einigen dieser Tools zur Automatisierung der Infrastruktur an Netzwerkautomatisierungs-Funktionen und Kompatibilität mit diverser Netzwerkhardware und -software.

Einen anderen Typ von Netzwerkautomatisierungs-Plattform stellen Tools dar, die speziell für das Netzwerk konzipiert sind. Diese Tools bieten die netzwerkspezifischsten Eigenschaften und Funktionalitäten. Damit stellt sich allerdings auch ein Problem: Es ist ein weiteres Einzel-Tool für genau diesen spezifischen Zweck. IT-Abteilungen, die ohnehin schon über eine Fülle von Utilities verfügen, sollten sich lieber woanders umsehen.

Der letzte Typ sind Software-defined Plattformen, die ein Software-Overlay über LAN-Hardware legen. Dieses Overlay ermöglicht es Admins, Konfigurationen von einem einzelnen Managementbereich aus zentral zu verwalten und zu orchestrieren. Dadurch bleiben die zugrunde liegenden Konfigurationsbefehle innerhalb des Underlay verborgen. Diese Option eignet sich hervorragend, um Multivendor-Umgebungen zu vereinfachen, die häufige Änderungen an LAN-Konfigurationseinstellungen erfordern.

Eine Übersicht zu den verschiedenen Kategorien von Netzwerkautomatisierungs-Tools.
Abbildung 1: Eine Übersicht zu den verschiedenen Kategorien von Netzwerkautomatisierungs-Tools.

Evaluierung der besten Netzwerkautomatisierungs-Tools

  1. Ansible for Network Automation

Ansible ist eine Open-Source-Plattform, die ursprünglich als Automations-Tool für Linux-basierte Systeme entstand. Die Plattform wurde 2015 von Red Hat übernommen. Seitdem hat Red Hat die Ansible-Funktionen so erweitert, dass sie auch andere Teile der Enterprise-IT-Infrastruktur automatisieren, einschließlich Netzwerkgeräte. Ansible enthält spezielle Module für die Automatisierung einer Vielzahl von Netzwerkanbietern und -geräten. Diese Module umfassen automatisierte Netzwerkfunktionen wie die Erkennung von Netzwerkgeräten, die Konfiguration, die Prüfung/Validierung und die Identifizierung von Konfigurationsabweichungen.

Da Ansible eine agentenlose Architektur nutzt, funktioniert die Lösung gut, wenn es um die Automatisierung von gehärteten und proprietären Systemen geht, zum Beispiel Netzwerk-Appliances. Folglich werden Interaktionen zwischen der Ansible-Plattform und beliebigem Netzwerkequipment, das sie automatisiert, per SSH oder über eine offene API durchgeführt.

Darüber hinaus bietet Ansible Hunderte von vordefinierten Netzwerkmodulen, die den Großteil der Arbeit zur Erstellung von Automatisierungsprozessen übernehmen. Zu den vordefinierten Modulen zählen Automationsvorlagen für etliche Anbieter, unter anderem A10, Cisco, Dell, Extreme, Juniper and Fortinet. Ansible for Network Automation ist eine besonders gute Option, wenn sie bereits von Server-, Anwendungs- und Entwicklungsteams eingesetzt wird.

  1. BeyondEdge Networks

Die Anfänge von BeyondEdge Networks – ehemals iPhotonix – gehen auf Technologien für Carrier Access Networking zurück. Da das Unternehmen die sich abzeichnenden Veränderungen bei der Netzwerkarchitektur früh erkannte, kaufte es die SD-WAN-Technologie von Netsocket, um die Fähigkeit zur Verwaltung von Netzwerken mit seiner Software-definierten Netzwerkvision weiter zu verbessern.

Auf der Grundlage des Frameworks und der Erfahrungen aus dem Software-definierten Markt hat das Unternehmen sein Produkt auf Unternehmens-LANs erweitert. Das Ergebnis ist eine SD-LAN-Plattform (Software-defined LAN), die mit allen vorhandenen Switching-Anbietern oder White-Box-Technologien kombiniert werden kann. Da die Plattform herstellerunabhängig ist, kann sie auf praktisch jedem zugrunde liegenden Netzwerk, einschließlich Kupfer- oder Glasfasernetzen, betrieben werden. Damit bietet sie Unternehmen die Möglichkeiten der Netzwerkautomatisierung, die Software-definierte Netzwerke bieten, zu geringeren Kosten.

BeyondEdge SD-LAN erkennt automatisch alle Layer-2-Verbindungen in einem Netzwerk und fügt die zugrunde liegende Topologie des Netzwerks dynamisch in ein visuelles Modell ein. Gleichzeitig werden Vorlagen für die Netzwerkautomatisierung verwendet, um die LAN-Dienste direkt an den jeweiligen Endpunkten zu konfigurieren. Sobald die Konfiguration abgeschlossen ist, können Netzwerkadministratoren netzwerkweite Änderungen direkt von der BeyondEdge-Benutzeroberfläche aus zentral verwalten.

  1. BMC TrueSight Automation for Networks

TrueSight Automation for Networks von BMC ist eine eigenständige, spezifische Plattform, die generell einen sicherheitszentrierten Ansatz für die Netzwerkautomation verfolgt. Das Tool Set lässt sich in die größere BMC-Plattform TrueSight AIOps integrieren. Diese enthält Tools für die Automatisierung von Operations Management, Netzwerkorchestrierung und Servern.

Automation for Networks umfasst außerdem Tools zur automatischen Schwachstellenerkennung für Netzwerk-Equipment sowie zur Automation von Compliance-Checks, Konfigurationsüberprüfungen und anderen sicherheitsorientierten Provisioning-Aufgaben. Das Produkt integriert sich in Netzwerkerkennungs-Tools, etwa BMC Discovery, sowie in Drittanbieterlösungen von Cisco, Entuity und Ipswitch.

Was die Kompatibilität mit Netzwerkausrüstern angeht, so unterstützt TrueSight eine breite Palette von Anbietern, unter anderem Arista Networks, Check Point, Cisco, Dell, HPE und Juniper. Es lassen sich auch Prozesse in Software-definierten Netzwerken integrieren und automatisieren, darunter VMware NSX und Cisco Application Centric Infrastructure.

  1. Chef Enterprise Automation Stack

Chef ist ein Automatisierungs-Tool-Set, das vollständig auf Open Source basiert. Allerdings sollten die meisten Unternehmen, die sich mit Netzwerkautomation beschäftigen, das kommerziell verfügbare Chef Enterprise Automation Stack (EAS) berücksichtigen. Das Produkt ergänzt viele Funktionen, die in heutigen IT-Abteilungen unverzichtbar sind, beispielsweise professionellen Support.

Das Tool Set unterstützt Admins dabei, verschiedene Server-, Anwendungs-, und Netzwerkrichtlinien zu optimieren und zu managen. Das kann sowohl On-Premises als auch in der Cloud erfolgen. Chef wird gerne von Server- und Entwicklungsteams eingesetzt, so dass einige IT-Teams wahrscheinlich bereits Chef Enterprise Automation Stack nutzen.

Im Gegensatz zu anderen hier vorgestellten Lösungen verwendet Chef Agenten, die auf den Netzwerkgeräten installiert werden. Die Agenten arbeiten mit der Chef-Plattform zusammen, um diverse Netzwerkkonfigurationsaufgaben zu automatisieren. Dazu zählen Änderungen an Router- sowie Switch-Ports und virtuellen LANs (VLAN) oder an QoS-Policies (Quality of Service) im Netzwerk.

Da ein installierter Agent Voraussetzung ist, unterstützt Chef im Vergleich zu anderen Lösungen weniger Netzwerkanbieter, obwohl es kompatibel mit einigen der größeren Netzwerkausrüster ist. Dazu gehören Arista, Cisco, Juniper und F5.

  1. ManageEngine Network Configuration Manager

ManageEngine, Teil der Zoho Corporation, entwickelt IT-Management-Plattformen für den Enterprise-Bereich. Der Network Configuration Manager des Unternehmens ist eine spezifische Plattform mit mehreren nützlichen Funktionen. Das Produkt ist nicht nur eine Automatisierungsplattform für die Konfiguration von Multivendor-Netzwerken. Es verfügt auch über Tools, um Netzwerkänderungen zu verwalten und zu kontrollieren, Konfigurationen sicher zu speichern sowie Netzwerk-Compliance und -Auditing zu realisieren sowie durchzusetzen. ManageEngine unterstützt die Automatisierung von Routern, Switches, Firewalls und anderen Netzwerkgeräten von Anbietern wie Cisco, Dell, Juniper und Fortinet.

Der Network Configuration Manager setzt auf sogenannte Configlets. Dabei handelt es sich um Automatisierungs-Templates, die Admins erstellen können, um viele Routineaufgaben zu automatisieren. Das Tool kann auch etliche Compliance-Monitoring- und Verifizierungsprozesse automatisieren, um gesetzliche Vorgaben von Sarbanes-Oxley Act, Payment Card Industry und HIPAA zu unterstützen. Es kann zudem detaillierte Berichte erstellen, wenn von Admins festgelegte Konfigurations-Policies verletzt werden. Ein Beispiel dafür ist die Überprüfung, ob SNMP-Communities (Simple Network Management Protocol) mit der entsprechenden Passwortstärke festlegt wurden.

Die Plattform bietet sogar eine Smartphone-App, mit der Sie die Konfigurationsautomatisierung und -Compliance von unterwegs aus verwalten können. ManageEngine ist seit geraumer Zeit im Bereich Netzwerkautomation tätig und verfügt über eine große Kundenbasis.

  1. Puppet Enterprise

Puppet ist ein weiteres Tool zur Automatisierung der Infrastruktur, das für Server und in der Anwendungsentwicklung populär ist. Für Netzwerkadmins, die versuchen, Tools zu konsolidieren, kann Puppet Enterprise hilfreich sein, da andere IT-Teams im Unternehmen es wahrscheinlich bereits nutzen. Durch die Installation von einem oder mehreren Netzwerkmodulen lässt sich die Plattform immerhin auch um einige grundlegende Funktionen zur Netzwerkautomation aufrüsten.

Puppet ist Open Source, doch die meisten Organisationen haben sich vermutlich für die Bezahlvariante Puppet Enterprise entschieden. Die Enterprise-Version ist auch notwendig, um die Add-on-Module für die Netzwerkautomation zu erhalten. Obwohl Puppet sonst zum größten Teil agentenbasiert ist, kommen die Netzwerkautomatisierungsmodule zudem vollkommen ohne Agenten aus.

Die Module für die Netzwerkautomation enthalten Unterstützung für Cisco Internetwork Operating System, IOS XE und Nexus-Hardware. Andere Module gibt es für Firewalls mit Palo Alto PAN-OS, Lenovo-Switches und Load Balancer mit dem F5 Local Traffic Manager. Diese Liste ist zwar nicht so umfangreich wie bei einigen anderen Produkten, doch dies kann eine Low-Cost-Option für Organisationen sein, die bereits Puppet Enterprise gekauft haben und ein Netzwerk betreiben, das überwiegend aus Komponenten dieses Anbieters besteht.

  1. SolarWinds Network Configuration Manager

SolarWinds war bereits im Bereich Netzwerkautomation aktiv, lange bevor dies zum Mainstream-Thema wurde. Der Network Configuration Manager des Unternehmens ist mit einer Reihe von Netzwerkausrüstern kompatibel. Bei den erweiterten Funktionen gibt es aber eine Tendenz zu Cisco und Palo Alto. Zu anderen unterstützten Anbietern gehören Juniper, HPE/Aruba, Dell und F5.

Wie ManageEngine enthält auch der SolarWinds Network Configuration Manager neben typischen Netzwerkautomatisierungs-Features etliche Sicherheitsfunktionen. Zu den eher spezielleren Features des Network Configuration Managers gehört die Integration in die National Vulnerability Database. Mithilfe dieser kontinuierlich aktualisierten Datenbank kann die Plattform die Identifizierung von unsicherer Firmware automatisieren oder Services für vernetzte Geräte aktivieren.

Der Network Configuration Manager lässt sich in andere SolarWinds-Tools aus dem Produktportfolio des Anbieters integrieren, etwa den Network Performance Monitor.

  1. VMware vRealize Automation

Nachdem die Übernahme von SaltStack Ende 2020 abgeschlossen war, nahm VMware Änderungen am Automatisierungstool vor. Diese Veränderungen wurden durchgeführt, um Sicherheits- und Netzwerkautomatisierungsaufgaben nahtlos in die beliebte SDN-Overlay-Plattform von NSX des Unternehmens integrieren zu können. Die Automatisierungskomponente wurde in vRealize Automation umbenannt und dient dazu, NSX-gesteuerte hybride und Multi-Cloud-Rechenzentrumsumgebungen schnell einzurichten und zu verwalten.

VRealize umfasst Tools, die den Zugriff auf andere Aspekte des Rechenzentrums, einschließlich VMs, Kubernetes-Cluster/Namespaces und Sicherheitsrichtlinien, automatisieren und über ein Self-Service-Portal bereitstellen. Es umfasst auch einen zentralen Verwaltungspunkt, von dem aus die Erstellung von virtuellen Netzwerken und zugehörigen Netzwerksicherheitsrichtlinien automatisiert werden kann. Diese Richtlinien lassen sich dann auf mehrere öffentliche und private Clouds innerhalb des NSX-Overlays übertragen. Dadurch wird sichergestellt, dass die Netzwerk- und Netzwerksicherheitsrichtlinien über alle Anwendungen und Services hinweg konsistent sind, unabhängig davon, wo sich diese Services lokal oder in der Cloud befinden.

Für Unternehmen, die sich in hohem Maße auf VMware NSX verlassen, ist vRealize Automation eine einfache Möglichkeit, um sicherzustellen, dass Netzwerk- und Netzwerksicherheitsdienste automatisch bereitgestellt und im Gleichschritt mit den Anwendungen und Services verwaltet werden, die sie unterstützen.

Erfahren Sie mehr über Netzwerksoftware

ComputerWeekly.de
Close