Netz und Security: Aktuelle Aussagen der Hersteller

Neues von HPE

Nach der Juniper-Übernahme durch HPE gibt es „HPE Juniper Networking“ und den uns schon vertrauten Unternehmensbereich „HPE Aruba Networking“. Es darf darüber spekuliert werden, wie der Netzbereich bei HPE künftig heißen wird: HPE Networking?

Passend zum Titel der Veranstaltung war die Information über einen Top-of-Rack-Switch (ToR) mit Firewall-Funktionalität. Schließlich sind wir alle auf der Zero-Trust-Reise. Sie führt von offenen internen Netzen über segmentierte Netze bis zu dem Zustand, in dem jede Ressource so geschützt sein wird, als ob sie an das Internet angeschlossen wäre. Das Reiseziel ist somit gleich dem Ausgangspunkt, was die Netze betrifft. So weit sind wir aber nicht, weshalb wir den Schutz so nah wie möglich an die zu schützenden Ressourcen bewegen müssen, in diesem Fall also in den Rack, nah bei den Servern.

In der Veranstaltung war viel von KI-gestütztem Betrieb (AI-Ops) die Rede. Die ehrliche Aussage von HPE: Eigentlich braucht man gewerkübergreifende AI-Ops, vom Server und Storage über das Netz bis zum Endgerät. Das ist Zukunftsmusik. Es wird gerade mit AI Ops für Netze begonnen.

Die NAC-Lösung von HPE ist vielen bekannt. Es klang bei HPE so, dass NAC aus der Cloud möglicherweise OnPrem-NAC ablösen kann. Ich gehe jedoch nicht davon aus. Selbst bei KI sagt HPE, dass die mit KI-Funktionen versehene Management-Plattform „Central“ auch OnPrem realisierbar ist. Dafür werden 3 bis 7 Server gebraucht. Mich hat das nicht überrascht. Kleine KI-Modelle sind der Renner, erst recht nach dem DeepSeek-Schock. IBM macht Werbung für kleine LLM, auch in den Massenmedien.

Angereichert wurde der HPE-Vortrag mit einer Demonstration in einem Netz mit 311 Devices. Highlights: Insights mit AI-Empfehlungen, z.B. Erkennung von WPA3-fähigen Clients, damit man weiß, wann man die Access Points auf den bessern Sicherheitsstandard umstellen kann (wenn nämlich alle angezeigten Clients WPA3-fähig sind).

Die schlechte Nachricht: Auch HPE hat die Subscription-Lizenzen lieb gewonnen. Mit der Netz-Hardware kann man die Foundation oder die Advanced Subscription kaufen.

Arista überwacht Transceiver

Viele Netzprobleme lassen sich auf Transceiver-Ausfälle zurückführen. Bisher ist das Vorgehen überwiegend reaktiv: Der Link fällt aus, und der Transceiver muss ausgetauscht werden. Der Hersteller verspricht, dass die KI aufkommende Transceiver-Probleme im Vorfeld erkennen kann, etwa durch die Langzeitüberwachung der Temperatur und die Analyse der Entwicklung.

Wer wie Arista ein kleineres Produktspektrum als zum Beispiel Cisco oder HPE hat, kann dasselbe Betriebssystem (Extensible Operating System, EOS) auf allen Modellen laufen lassen. So wird es auch für das zentrale Management (Cloud Vision, CV) leichter, alle Komponenten zu verwalten.

Die WLAN-Lösung kommt ohne Controller aus, da die Access Points über eine vollwertige Control Plane verfügen, jedoch selbstredend nicht ohne Management. Dieses gibt es in zwei Varianten: OnPrem oder in der Cloud.

Software-Updates sollen laut Anbieter im laufenden Betrieb mit einer Unterbrechung von weniger als 100 Millisekunden in der Data Plane (der Paketweiterleitung) möglich sein.

Es gab einige Momente in der Veranstaltung, wo ich dachte: allein dafür hat es sich gelohnt, dabei zu sein. So ein Moment war bei mir, als Arista ankündigte, statt „Spaghetti Code“ besser strukturierte Ensembles von Software-Modulen zu nutzen. Wer als zweiten Gang Spaghetti Code konsumiert, hat sicher als ersten Gang Kabelsalat genossen.

Wenn Sie bei diesem oder anderen Herstellern auf den Begriff NetDL stoßen, hier die Erklärung: Network Data Lake. Aus dem NetDL wird Input für KI generiert.

Bereits verfügbar ist AVA (Autonomous Virual Assistant), der in natürlicher Sprache spricht. Künftig soll es die Insights geben, mit denen man nicht nur die besagte Transceiver-Überwachung bekommt.

Der NAC-Bestandteil von Arista CV heißt AGNI (Arista Guardian for Network Identity) und ist sowohl OnPrem als auch in der Cloud verfügbar.

Die Arista ZTX Appliance wird zur Erfassung des Verkehrs und darauf basierend für Empfehlungen genutzt. ZTX greift den Datenverkehr zum Beispiel durch klassische Mirror Ports ab.

Über die Velocloud-Akquisition, mit der Arista seit Juli 2025 die SD-WAN-Sparte von VMware (Broadcom) übernommen hat, haben wir aufgrund der Kürze der Zeit in der Veranstaltung wenig erfahren. Ich habe jedoch an anderer Stelle diese Übernahme (positiv) bewertet.

Cisco: Smart Switches

Natürlich waren bei Cisco die neuen Smart Switches ein Thema. Mit diesen neuen Produkten und den darin verbauten Chips lassen sich Applikationen erkennen – kein Wunder, denn die DPU-Chips müssen ebenfalls die Intelligenz für statusbewusste Mikrosegmentierung mitbringen. Laut Angaben lassen sich 80-90% der Applikationen automatisch erkennen.

Mit der Lösung Firepower Threat Defense (FTD) lässt sich ein SD-WAN realisieren. Damit wird die Nahtstelle zwischen LAN und WAN zu einer intelligenten Komponente, die sich vielschichtig einsetzen lässt.

Daneben gibt es das SD-WAN auf Catalyst-Basis (die Router heißen nun auch Catalyst) sowie natürlich das Meraki SD-WAN.

Für die WAN-Verschlüsselung wird neben IPsec auch MACsec unterstützt, mit dem Vorteil, dass MACsec hardwarebasiert arbeitet und somit Wire Speed halten kann.

Cisco ist nicht der einzige Hersteller, dessen KI-Roadmap dreistufig ist. Hier heißen die Stufen so: Assurance (einfache ML-Funktionen), AI Assistant und Agentic AI.

Mit dem AI Assistant kann man bereits kontextabhängige Views generieren – anstelle der bisherigen statischen Dashboards.

Für das SD-WAN wird u.a. mit der Funktion „predictive path recommendations“ geworben, frei nach dem Motto: Diese Verbindung ist schon beinahe ausgelastet.

Der AI Assistant soll die Übernahme einer Konfiguration von einem alten zu einem neuen Switch erleichtern.

Die meisten AI-Funktionen sollen bei Cisco auch mit OnPrem-Servern möglich sein.

Extreme automatisierte und wurde doch von der Komplexität überholt

Ich danke ausdrücklich Extreme für einen weiteren jener Momente, die das Zuhören lohnenswert machten. Originalton der ehrlichen Aussage: „Die Komplexität ist schneller gewachsen als die Hersteller mit Automatisierung Abhilfe geschaffen haben“.

Das KI-fähige Management heißt ExtremeCloud IQ Site Engine. Die Entwicklung dient Zielen wie weniger manuelle Arbeit, kürzere Entstörungszeit, kürzere Downtimes und niedrigere Kosten. Abgedeckt werden die Produkte in den Bereichen LAN und WLAN inkl. der SPB-M-basierenden Fabric-Lösung.

Und auch hier durfte das duale Cloud-OnPrem-Portfolio nicht fehlen. Die „CloudIQ“ läuft entweder in AWS, Google Cloud Platform bzw. Azure (insgesamt an fast 30 Standorten) oder in kundeneigenen virtuellen Umgebungen bei AWS oder als Cloud Edge (OnPrem) mit Serverpaketen (3, 6, 9, 12 Server) auf Kubernetes-Basis.

Nach Unternehmensangaben wurde die OnPrem-Variante beispielsweise für sämtliche Schulen einer deutschen großen Stadt realisiert.

Für die Cloud-Variante wurde die C5-Zertifizierung angekündigt, die voraussichtlich in 2025 abgeschlossen sein wird.

Wie bei Cisco spricht der Hersteller von drei Phasen der AI-Entwicklung: AI Expert, AI Canvas, AI Agents. AI Expert wurde als eine Art Suchmaschine für Dokumentation beschrieben, die man etwa fragen kann: Wie konfiguriere ich OSPF? Dabei handelt sich um eine Explainable AI, die – anders als ChatGPT – nie halluziniert, sondern Quellen angibt wie zum Beispiel im zugehörigen Handbuch.

AI Canvas liefert eigene Dashboards (vgl. Cisco). Und zurzeit noch in der Implementierung: AI Agents (Agentic AI). Der Service-Agent hilft, mögliche Fehlerursachen auszuschließen.

Derzeit geht Extreme davon aus, dass in den meisten Fällen HITL (Human in the Loop) erforderlich bleibt – die KI macht Vorschläge, der Mensch nimmt sie an oder nicht.

Auch das bei Kunden ungeliebte Lizenzmodell war ein Thema. Wir haben gelernt, dass es die Lizenzen Pilot und Copilot gibt, wobei die Pilot-Lizenz für Cloud-Management erforderlich ist. Und schon wieder: Mit Platform ONE wird die Lizenzpolitik geändert. Wenn ich mich recht entsinne, soll es dabei vier Stufen geben.

Fortinet zapft fremde Gewässer an

Wir wissen längst, dass Fortinet nicht nur Firewalls verkauft, sondern auch Switches und WLAN-Komponenten. Mit den FortiGate-Firewalls lässt sich zudem SD-WAN bauen.

Damit können viele Logs gesammelt und zu einem Data Lake gemacht werden. Auch fremde Data Lakes können angezapft werden, etwa die Splunk/Cisco-SIEM-Lösung. Wo viele Daten vorhanden sind, kann es auch maschinelles Lernen und KI geben.

In einigen Komponenten kommen eigene ASICs zum Einsatz, die für Content Processing oder Beschleunigung genutzt werden können.

Und Sie dürfen raten, wie die Fortinet-KI heißt: FortiAI. Die dem Leser jetzt schon vertrauten drei Stufen heißen hier: Machine Learning (Deep Learning), GenAI, Agentic AI.

Das lässt sich zum Beispiel auf den Betrieb eines Security Operations Center wie folgt anwenden: Unified SOC, AI-driven SOC, Automated SOC.

Vielen ist schon bekannt, dass ein FortiGate nicht nur Wireless- und Switch-Controller, sondern auch ein Authentisierungsserver mit Basic NAC sein kann. Als kostenpflichtige Ergänzung steht außerdem FortiNAC zur Verfügung.

Auf meine Frage, ob das Unternehmen SASE auch ohne SD-WAN ermöglicht, erfuhr ich, dass fast alle Fortinet-Kunden die Fortinet-Lösungen für SD-WAN und SASE kombiniert einsetzen.

Alcatel-Lucent Enterprise als europäischer Hersteller

Interessant war für mich, von Alcatel-Lucent Enterprise (ALE) sowohl über die Zusammenarbeit mit Celona im Bereich Privates 5G-Netz als auch über die fortgesetzte Zusammenarbeit mit Nokia als weiterem europäischen Hersteller zu erfahren. In der Kürze der Zeit konnte jedoch nicht auf die schon sehr etablierten Core-Router von Nokia eingegangen werden. Das „E“ bei ALE heißt natürlich, dass Unternehmenslösungen von ALE selbst kommen, während Nokia eher als Ausrüster von Service-Providern (und teils auch Flughäfen) gesehen wird.

Das ALE-Betriebssystem AOS unterstützt mit MPLS, SPB und EVPN drei Plattformen für skalierbare und mandantenfähige Netze.

Ebenfalls interessant: der Industrieswitch OS6575-P12 mit Perpetual PoE (PoE geht weiter, während der Switch bootet).

Omnivista Cirrus ist die Bezeichnung für das Cloud-basierende Management von ALE.

Der Begriff AI Agent durfte auch hier nicht fehlen: der OmniVista AI Agent, der für Konfiguration oder Fehlersuche genutzt werden soll. Diverse Management-Funktionen wurden genannt, etwa Blockieren eines Endgeräts auf allen Access Points anhand von dessen MAC-Adresse, Fleet Supervision als Sicht auf Produkte und Service-Stände, Schwachstellen, Servicestände, Fälle von RTF (Return to Factory) etc.

Mit OmniVista Terra (OnPrem) auf Kubernetes-Basis lässt sich wie bei anderen Herstellern das Cloud-Management vermeiden.

LANCOM: Made in Germany

LANCOM hat natürlich als deutscher Hersteller für sich geworben. Seit nunmehr 7 Jahren ist das Unternehmen Bestandteil von R&S (100%-Tochter).

LANCOM ist ebenfalls in den Produktbereich Core Switches eingestiegen. Die Management-Cloud LMC ist eine Ergänzung für die Hardware, die jedoch auch weiterläuft, wenn die Cloud gerade nicht erreichbar ist.

Laut Hersteller werden zwei Drittel der installierten Managed-Device-Basis in der deutschen Public Cloud verwaltet. Wir kennen zum Beispiel den Cloud-Provider SysEleven (Teil der Secunet AG). Auch StackIT (Schwarz-Gruppe) ist ein bekannter Name.

LANCOM hat Enginesight als SIEM-Lösung genannt und ARP Guard als NAC-Lösung. Der Hersteller hat eine API-first-Strategie bei der Integration von Drittlösungen.

Für das Management wird Push gegenüber Pull bevorzugt – das Gerät initiiert die Verbindung zum Management, nicht umgekehrt.

ChatBots werden auch ohne LMC für Firewalls, Switches, Router und WiFi angeboten (die letzten beiden noch als Beta-Lösung).

An der OnPrem-KI arbeitet das Unternehmen noch.

Interesse an einer Neuauflage des Events?

Wenn Sie diesen Text gelesen und Interesse an einer Neuauflage des Events in 2026 haben, teilen Sie es ComConsult bitte unverbindlich mit. Wir werden die Veranstaltung für 2026 planen, wenn wir von einem signifikanten Interesse ausgehen.