In diesem Artikel möchte ich Ihnen aufzeigen, wie sich die Secure-Access Infrastruktur in unserem Office in Dietlikon, über die letzten 18 Monate verändert hat. Dieser Artikel befasst sich hauptsächlich mit den beiden Produkten FortiSwitch (FSW) und Fortinet Access Point (FAP). Fortinet hat bereits seit über 7 Jahren beide Produkte im Portfolio. Der Fokus auf die beiden Produkte, vor allem auf die Switches, nahm in den letzten 12 Monaten sehr stark zu, sodass wir heute ganz neue Möglichkeiten mit den jeweiligen Produkten haben.
Standalone vs. Managed
Die FortiGate (Firewall) kann bereits seit Jahren als Wireless Controller benützt werden. Dieser Ansatz wurde im Markt sehr gut aufgenommen und Fortinet entschied sich, dass die FortiGate (FGT) nun auch als Controller für die Switches dienen kann. Bevor wir dies implementierten, sah die Infrastruktur wie folgt aus:
Das zentrale Element in dieser Topologie bildet die Firewall. Sie diente als Default-Gateway und war die erste Instanz die vom Internet aus erreicht wird. Sie war gleichzeitig für das Management der Access Points verantwortlich. Die Switches hingegen waren im Standalone Modus konfiguriert. Standalone bedeutet, dass jeder einzelne Switch individuell verwaltet werden muss. Dabei muss die gleiche Konfigurationsänderung meist auf allen Switchen nacheinander durchgeführt werden. Die Benutzer verbinden sich via WLAN mit den Access Points oder via Ethernet mit den Access Switches.
Da Fortinet Schweiz stark gewachsen ist, stiegen auch die Anforderungen an unsere Infrastruktur. Mit dem neuen Firewall Operating System (FOS) 5.4 haben wir uns dazu entschieden, die Switches via FortiGate zu verwalten. Zum damaligen Zeitpunkt brachte dies schon viele Vorteile, leider war die Lösung aber noch sehr neu und es gab eine entscheidende Limitierung bezüglich unseres Wunschdesigns.
Neues Büro - bessere Infrastruktur
Anfang 2017 waren schon mehr als 20 Mitarbeiter bei Fortinet Schweiz beschäftigt. Um den Platzansprüchen gerecht zu werden, konnten wir im Q2 in den 2. Stock in unserem Bürogebäude umziehen. Gleichzeitig haben wir unser lokales Testlabor ausgebaut. Die erweiterte IT Infrastruktur sah nun folgendermassen aus:
Das neue Büro erstreckt sich über drei Stockwerke. Somit mussten wir die Anzahl der Switches und Access Points deutlich ausgebauen.
Multi-Chassis Link Aggregation (MC-LAG) war zu diesem Zeitpunkt leider erst in Entwicklungspatches verfügbar, sodass wir initial keine komplett redundante Infrastruktur aufbauen konnten. Als die Funktion dann wenig später mit einem Software Update verfügbar wurde, konnten wir unsere Infrastruktur um die fehlende Redundanz erweitern:
Dank diesem Setup hatten wir nun, abgesehen von der Firewall, komplette Redundanz und der Traffic wurde automatisch über die Uplink Ports zur Firewall verteilt. Es waren somit alle Switches aktiv und alle Links konnten zeitgleich genutzt werden. Zum Abschluss entschieden wir uns die Standalone Firewall durch einen Cluster zu ersetzen. Für die Switches und Access Points spielte dies keine Rolle, lediglich die Konfiguartion unserer ISPs-Anbindungen mussten wir anpassen.
Die Umgebung, welche sich über drei Stockwerke erstreckt, umfasst nun 10 Switches und 7 Access Points, welche alle via einem FortiGate Cluster (A-P) verwaltet werden.
Gerade bei vergleichsweise günstigen Netzwerkkomponenten wie Switches oder Access Points übersteigen die Betriebskosten schnell den Anschaffungspreis. Ein zentrales, einheitliches und automatisiertes Management reduziert den täglichen Betriebsaufwand enorm. Anstatt diverse, komplett unterschiedliche Systeme kennen zu müssen, kann sich ein Engineer auf eine Plattform fokusieren. Damit sinkt der Aufwand für Weiterbildungen aber auch für System Updates oder Troubleshooting.
Die integrierten Managementlösungen von Fortinet sind zudem ein weiterer Schritt in Richtung SDN und Automatisierung. Alle Funktionen aus dem GUI sind dabei auch zentral per CLI oder RestAPI verfügbar.
Weitere Vorteile einer Controller-basierten Umgebung und wie diese einen extremen Mehrwert generiert, sehen Sie im untenstehenden Video:
