Wie viele andere Unternehmen sah sich Siemens mit der Herausforderung konfrontiert, dass die Infrastruktur des eigenen Corporate Networks nicht mehr zu den Anforderungen einer Cloud-First-Strategie passten. Zudem erforderten neue Applikationen ein verändertes Daten-Routing - etwa die neue Collaboration-Plattform MS Teams, die einen lokalen Outbound des Datenverkehrs erfordert. Letztlich zeigte sich, dass mit dramatischen Veränderungen der Verkehrsströme zu rechnen war.

Diesen veränderten Anforderungen wurde das Corporate Network in seiner vorhandenen Form auf Basis klassischer MPLS-Netze nicht mehr gerecht. Zudem stellte man sich die Frage, wie man die Kosten für die Infrastruktur senken könnte. Ferner sollte das neue Netz einen deutlich höheren Automatisierungsgrad aufweisen. Vor diesem Hintergrund entwickelte Siemens 2017 erste Ideen/Konzepte in Richtung SD-WAN. Von den ersten Gedanken bis zum fertigen Corporate Network auf SD-WAN-Basis sollte es dann doch fünf Jahre dauern, denn Corona und die Chipkrise machten die sorgfältige Planung schnell zur Makulatur.

SD-WAN statt MPLS

Beim Aufbau des SD-WANs entschied sich Siemens für Orange Business Services. Zum einen hatte man mit dem Netzbetreiber in der Vergangenheit in Sachen MPLS-Netzen schon gute Erfahrungen gemacht, zum anderen sollte es ein global agierender Partner sein. Der erwies sich denn auch in der späteren Projektphase als sehr nützlich, denn die Projektteams hatten in zahlreichen Ländern mit den unterschiedlichsten regulatorischen Restriktionen zu kämpfen. So mussten etwa in Algerien die Verschlüsselungs-Keys für die Tunnel bei der Regulierungsbehörde hinterlegt werden, in Pakistan muss ein Unternehmen seine verwendeten IP-Adressen erst bei einer staatlichen Stelle registrieren lassen, um nur zwei Beispiele zu nennen.

In Sachen SD-WAN-Hardware fiel die Entscheidung zugunsten Cisco aus, nachdem Siemens und Orange Business Services die Produkte zweier Hersteller im Labor auf Herz und Nieren geprüft hatten. Ein Hardwarekonzept auf x86-Basis - wie es gerade in der Anfangsphase von SD-WAN als kostengünstige Alternative zu den Produkten etablierter Markenhersteller propagiert wurde - schied schnell aus. "Die x86-Hardware konnte einfach nicht die Bandbreiten liefern, die für das Siemens-Projekt gefordert waren", erklärt Uwe Becker, der seitens Orange Business Services als Lead Architect an dem Migrationsprojekt beteiligt war. So sind etwa die Data Center mit zweimal 7 Gbit/s an das SD-WAN angebunden.

In Bezug auf die Netz-Topologie - es galt knapp 1.200 Standorte in 94 Ländern zu vernetzen - entschied man sich für ein flaches zentralistisches IP-Netz. Zudem sollte das Netz segmentierbar sein, so dass sich einzelne Netzsegmente - etwa ganze Länder - bei Bedarf vom restlichen Netz trennen lassen und autark funktionieren können. In Sachen SD-WAN-Controller wählten die Partner ebenfalls einen zentralistischen Ansatz, wobei es drei "Haupt"-Controller gibt, die sich untereinander synchronisieren und gegenseitig als Backup dienen. Über sie werden dann die Policies in die einzelnen Segmente und Standorte ausgerollt.

Backup per Satellit und 5G

Die Standorte selbst sind in der Regel redundant angebunden, wichtige Standorte sogar vierfach. Zudem wird darauf geachtet, wo möglich, dass die Anbindungen über verschiedene Peering Points laufen. Bei den Anbindungen handelt es sich meist um Direct Internet Access, also ein Business Class Internet. Klassisches Consumer-DSL kommt nur bei sehr kleinen Standorten zum Einsatz oder wenn gar keine andere Möglichkeit vorhanden ist. Eine solche Ersatztechnologie ist 5G, das auch als Backup verwendet wird. Eine andere Backup-Technologie sind Satelliten-Internetverbindungen wie StarLink und Co.

Je nach Applikation wird der Datenverkehr direkt vor Ort an den Standorten - etwa Public-Cloud-Anwendungen oder MS Teams - in das öffentliche Netz ausgeleitet. Interner Datenverkehr, der beispielsweise für die beiden großen Data Center bestimmt ist, wird über ein Overlay-Netz transportiert. Dank SD-WAN kommt man hier heute mit deutlich weniger Overlay-Tunnel aus als bei der bisherigen Netzstruktur.

Die entsprechende Policies gibt dabei Siemens vor, während sie Partner Orange Business Services in die SD-WAN-Controller einpflegt. Kleinere Veränderungen wie beispielsweise die Änderung einer IP-Adresse können dabei über eine API nach erfolgtem "Change Approval" automatisch durchgeführt werden. Ebenso übernimmt Orange die halbjährlichen Upgrade-Zyklen, um etwa neue Features wie ein Load Sharing ins Internet zu installieren. Die Kontrolle der Netz-Performance verbleibt dagegen bei Siemens. Allerdings müssen die Mitarbeiter nicht mehr wie früher selbst mühsam die Rohdaten sammeln und dann auswerten, sondern können jetzt den Netzzustand direkt über Dashboards monitoren.

Rollout unter Corona-Bedingungen

Doch bis es so weit war, mussten die Teams von Siemens und Orange Business Services erst den Rollout meistern. Und der erwies nach dem Beginn im Jahr 2019 als Herausforderung. Corona-bedingte Zugangsbeschränkungen erschwerten oder verhinderten gar komplett die Installationsarbeiten an zahlreichen Standorten. Erschwerend kam hinzu, dass aufgrund der Pandemie teilweise Vorleistungsprodukte wie Internet-Zugänge von den regionalen Service-Providern nicht zeitgerecht geliefert werden konnten. Und last, but not least wirkte sich noch die Chipkrise auf den Projektfortschritt negativ aus: Einige Hardwarekomponenten waren nur mit einem größeren Lieferverzug zu erhalten.

Doch nicht nur Corona entpuppte sich beim Rollout als Herausforderung, wie Lead Architect Becker zurückblickt: "So erwies sich auch das "Self-Install-Konzept", das wir für kleinere Standorte konzipiert hatten, als nicht trivial." Idee des Konzepts ist, dass vorkonfigurierte Geräte verschickt werden und diese vor Ort nur noch angesteckt werden. Doch aufgrund der Corona-Restriktionen waren häufig alle Mitarbeiter im Home-Office. Auch technisch, so Becker, gab es die eine oder andere Challenge zu lösen. So entpuppte sich etwa die Maximum Transmission Unit (MTU) als Stolperfalle. An einigen Stellen mussten die Techniker mit deutlich kürzeren Paketgrößen arbeiten. Dies hatte zur Folge, dass einige ältere Firewalls die PathMTU nicht korrekt erkannten und die Pakete einfach verwarfen. Mittlerweile sind alle Herausforderungen gemeistert und das SD-WAN steht.