Die Grundidee eines virtuellen privaten Netzes ist einfach: Es verbindet verschiedene lokale Netze über weite Strecken miteinander. Bis vor einigen Jahren waren hierfür fest geschaltete Frame-Relay- oder ATM-Mietleitungen (Leased Lines) Standard. Die Standortvernetzung mit diesen beiden Verfahren gilt als äußerst zuverlässig, hat aber auch einige Nachteile. Mietleitungen sind vor allem teuer und nicht sehr flexibel, was die verfügbare Bandbreite angeht. Der Kunde hat oft nur die Wahl zwischen einer Verbindung mit zu wenig Bandbreite und einer wesentlich teureren Anbindung mit viel mehr Bandbreite, als er eigentlich benötigt. Üblicherweise braucht jeder Standort auch noch einen Zugang zum Internet, was zusätzliche Kosten verursacht.
Flexibilität bei Anschluss und Bandbreite
"Frame Relay und ATM sind zwar ausgereifte Standards, die für viele Anwendungen ausreichen. Im Hinblick auf neue Entwicklungen ist Multiprotocol Label Switching aber flexibler", sagt Karsten von Beckerath, Produkt-Manager MPLS bei BT Global Services. Damit stehen Alternativen zur Verfügung, die bei Anschlussmöglichkeiten und Bandbreite wesentlich mehr bieten und in vielen Fällen auch kostengünstiger sind. Für Unternehmen mit weit verteilten Standorten kommen IP-VPNs in Frage, insbesondere solche, die auf MPLS basieren. Dabei handelt es sich um ein von der Internet Engineering Task Force (IETF) standardisiertes Verfahren, um den Austausch von IP-Paketen zu vereinfachen.
In Ballungsräumen dagegen bieten sich so genannte virtuelle LANs an, die auf Metro Ethernet aufbauen. Grundsätzlich, so Niamh Spillane, Analystin bei Frost & Sullivan, sollte man IP-VPNs immer als Komplementärlösung verstehen und weniger als unverzüglichen Ersatz. "Eine Firma mit großer und über mehrere Standorte verteilter Mitarbeiterzahl sollte über ein IP-VPN nachdenken", rät Spillane. Dies gelte vor allem dann, wenn Konzernbereiche beziehungsweise Niederlassungen im Ausland liegen. So könne viel an überflüssiger Bandbreite gespart werden. Die einfachste Möglichkeit, ein IP-VPN umzusetzen, sei, die Daten zwischen den Standorten über das öffentliche Internet zu routen. Insbesondere für Firmen mit geringem Datenaufkommen, das weder zeit- noch unternehmenskritisch ist, sei eine solche Lösung interessant, sagt die Expertin.
Allerdings haben über das öffentliche Web realisierte IP-VPNs auch Schwachpunkte. Es gibt zum Beispiel keine garantierte Dienstgüte und Vertraulichkeit. Was die Sicherheit angeht, kann man zwar Abhilfe schaffen: Sichere Verbindungen können mit Hilfe von Tunneltechniken wie IPsec aufgebaut werden. Diese Variante kommt jedoch in der Regel nur für kleinere VPNs in Betracht, denn der Aufwand für das Management steigt mit jedem weiteren Unternehmensstandort enorm an.
Ein anderes Problem konventioneller IP-Leitungen ist, dass nicht zwischen verschiedenen Daten unterschieden wird und es keine Möglichkeit gibt, Verkehrsströme zu leiten. In privaten Netzen werden IP-VPNs heute daher hauptsächlich mittels MPLS realisiert. Das große Plus von MPLS ist, dass es vom Transportmedium weitgehend unabhängig ist, also genauso mit ATM, Frame Relay und Ethernet arbeitet wie auch mit IP.
Label begleiten Datenpakete
Bei MPLS werden Datenpakete nicht anhand der IP-Adresse weitergeleitet, sondern mit Hilfe so genannter Labels, die sowohl einen Pfad als auch eine Priorität angeben. Jedes Label gilt nur für die Verbindung zum nächsten Router. Dieser generiert dann ein neues Label. Da die Analyse der Labels schneller erfolgt als das Lesen einer vollständigen IP-Adresse, steigen die Geschwindigkeit und der Durchsatz der übertragenen Daten gegenüber einfachen IP-VPNs. Vorteil für den Kunden: Er kann eine bestimmte, für eine vereinbarte Qualität erforderliche Bandbreite bekommen. Die Carrier wiederum haben das Plus, ihre Netze effizienter nutzen zu können. Provider wie die Deutsche Telekom, BT, Infonet, Equant, Colt oder Arcor bieten daher mittlerweile parallel zu ihren klassischen Frame-Relay- und ATM-Diensten auch standardmäßig auf ihren Backbones MPLS-Services an. Die Erwartungen an die Technik sind hoch: "Derzeit ist im Markt eine regelrechte Begeisterung für MPLS zu spüren, die Kunden fragen ganz gezielt nach", beobachtet BT-Mann von Beckerath.
Nicht für jeden geeignet
Eine Migration von Frame Relay auf MPLS bringt jedoch nicht automatisch Vorteile. "Der Nutzen für das Unternehmen hängt von den Umstellungen oder Änderungen des bestehenden Netzes ab", erklärt Peter Schneider, Produkt-Manager Datendienste bei Arcor, und ergänzt: "Werden keine neuen Anwendungen eingeführt, die eine Anpassung des Netzdesigns nach sich ziehen, ist eine Migration nicht erforderlich."
"IP-VPNs auf Basis von MPLS rechnen sich nicht für jeden. Einigen Unternehmen genügen nach wie vor die etablierten Mietleitungs- und Frame-Relay-Netze", meint auch Jan Geldmacher, Mitglied des Executive Board von T-Systems. Sinnvoll sei diese Technik für Firmen, die keine konventionelle sternförmige Netzstruktur benötigen, sondern die einzelnen Standorte direkt miteinander vernetzen müssen, um eine so genannte Any-to-any-Kommunikation zu ermöglichen.
Kombinationen sind möglich
Geldmacher zufolge rechne sich IP-VPN beispielsweise für Unternehmen, die oft neue Standorte flexibel anbinden müssen, oder für Firmen, die ihrem Außendienst eine Einwahlmöglichkeit geben wollen. Dabei gehe es nicht nur um die reine Basiskommunikation. Diese Firmen bräuchten auch einen integrierten Internet-Zugang, Dial-in-Funktionen oder aus Sicherheitsgründen auch gemanagte Firewalls. Sinnvoll, so Geldmacher, kann MPLS auch sein, wenn eine sehr heterogene informations- und kommunikationstechnische Infrastruktur im Zuge einer Flurbereinigung zu vereinheitlichen ist.
Es sind aber auch Kombinationen denkbar. Zum Beispiel die Anbindung der großen Unternehmenszentralen mittels ATM sowie Zusammenschaltungen der kleineren Filialen per MPLS-VPN. Oder Sub-VPNs, die mittels Frame-Relay-Links miteinander kommunizieren, wenn die Any-to-any-Kommunikation für alle Standorte nicht notwendig ist. Allerdings soll der neuen Technik mittelfristig die Zukunft gehören: IDC zufolge werden auf MPLS basierende IP-VPNs die konventionellen Frame-Relay-Netzwerke in den nächsten drei bis fünf Jahren überholen.
Was den Access-Aspekt angeht, ist MPLS sehr flexibel, weil die nationale und internationale Einwahl für Außendienstmitarbeiter, die Integration von Klein- und Heimbüros, Netzzugriff via Mobilfunk sowie WLAN-Zugänge möglich sind. "Hinsichtlich der Anschlüsse gibt es vielfältige Optionen, so dass Unternehmen maßgeschneiderte Netze erhalten können, die alle Anforderungen an Bandbreite, Qualität und Flexibilität erfüllen", lobt Arcor-Manager Schneider MPLS.
Standard sind die Einwahl per Modem oder ISDN für einzelne Mitarbeiter, ADSL beziehungsweise SDSL für Filialen und Festverbindungen für größere Standorte. Richtfunk ist auf dem Land eine Alternative, GSM-, HSCSD- und GPRS-Anbindungen für die Einwahl unterwegs. Außerdem kündigt sich mit UMTS ein weiteres Mobilfunkmedium an. "Früher hat es sich oft nicht gelohnt, kleinere Standorte mit einer Mietleitung anzuschließen. Mit DSL-gestützten Zugängen können jetzt auch diese Filialen über MPLS-VPNs miteinander kommunizieren", nennt Matthias Hain, Senior Market Manager bei Colt, ein weiteres Argument für die Standortvernetzung.
Wichtiges Merkmal aus Unternehmenssicht sind die Serviceklassen, die mit MPLS möglich sind. Die Priorisierung der Daten erfolgt derzeit bei den meisten Carriern in drei, bei manchen auch in vier Stufen. Die Spitzenklasse ist für Sprache und Video vorgesehen. In der mittleren Klasse werden Workflow-sensible Daten etwa aus ERP-Systemen mit höchster Genauigkeit übertragen. Sonstige Web-Dienste wie etwa E-Mails bedient MPLS nach dem Best-Effort-Prinzip immer dann, wenn Kapazität im Netz frei ist. Sind die Servicestufen für echtzeitsensible Anwendungen nicht voll ausgelastet, nutzen vorübergehend andere Applikationen deren Bandbreiten - aber eben nur, bis die vorrangigen Anwendungen die für sie reservierten Kapazitäten wieder benötigen. "Unternehmen brauchen so keine Sicherheitsreserve für eventuelle Engpässe vorzuhalten, was auf Dauer deutlich Kosten spart", erklärt T-Systems-Spezialist Geldmacher das Effizienzpotenzial von MPLS.
Keine Qualitätseinbußen bei VoIP
Dabei sind für jede Verkehrsklasse messbare Maximalwerte für Laufzeiten, Verfügbarkeiten, Laufzeitschwankungen (Jitter) und Paketverlust festgelegt. "Die eingesetzten Quality-of-Service-Mechanismen bei MPLS reichen für Sprach- und Videoanwendungen absolut aus. Speziell in der Voice-Klasse sind die vertraglich zugesicherten Laufzeiten und Jitter so gering, dass es zu keiner Beeinflussung kommt" - damit will Schneider Anwender beruhigen, die beim Einsatz von Voice over IP (VoIP) mangelhafte Sprachqualität befürchten. Bestehen im Rahmen von echten Breitbandanwendungen jedoch erhöhte Anforderungen an die Dienstgüte wie bei Fernsehanstalten oder Rundfunkstationen, stellt ATM nach wie vor die leistungsstärkeren Mechanismen zur Verfügung.
Ein scheinbares Manko von MPLS ist, dass es derzeit keinen Mechanismus zur Verschlüsselung gibt. Der Datenverkehr wird in MPLS-Netzen jedoch ähnlich getrennt wie in ATM- oder Frame-Relay-Networks. Deshalb, so Schneider, ist auch die Sicherheit von MPLS-Netzen direkt mit der auf Frame-Relay- und ATM-Basis vergleichbar. In einer privaten Infrastruktur ist es mit MPLS nicht nötig zu verschlüsseln, es sei denn, es ist absolute Vertraulichkeit auch gegenüber dem Carrier gewünscht, wie zum Beispiel häufig bei Finanzdienstleistern. Anders sieht es auf dem Weg zum Backbone aus, wie Uwe Blöcher, Produkt-Manager Sichere VPNs bei Siemens Business Services, meint: "Die letzte Meile stellt eine Angriffsfläche dar." Sollte ein Kunde hohe Sicherheitsanforderungen haben, kann jedoch eine Ende-zu-Ende-Verschlüsselung implementiert werden, beispielsweise mittels IPsec oder SSL. Auch eine Verschlüsselung nur bis zum Backbone ist möglich, kostet allerdings zusätzlich. "Man sollte die Investition als eine Art Versicherung sehen", rät Blöcher.
Die Höhe der möglichen Kostenersparnis mit MPLS hängt von der Unternehmensstruktur, also der Anzahl der Standorte und Außendienstmitarbeiter, sowie der Kommunikationsstruktur ab. Es stellt sich die Frage, ob eine Vollvermaschung notwendig ist oder ob eine Teilvermaschung oder eine Sterntopologie ausreicht. Außerdem hängt die Rentabilität von den genutzten Diensten und eingesetzten Anwendungen sowie den daraus resultierenden Anforderungen an die Dienstgüte und Sicherheit ab. Colt gibt für die MPLS-Vernetzung der Hypovereinsbank beispielsweise eine Senkung von 30 Prozent der laufenden Kosten an. Ein Beispiel von T-Systems (siehe Kasten "MPLS schlägt Konkurrenz") stellt die monatlichen Ausgaben für eine MPLS-Vernetzung denen von Frame Relay gegenüber und kommt zu ähnlichen Ergebnissen.
Realistische Projektkalkulation
Jede Migration zu einer neuen Technik muss detailliert geplant werden. Wichtig ist vor allem eine realistische Terminkalkulation. Die Experten rechnen bei einer Anbindung von 50 Standorten mit einem Zeitbedarf von bis zu sechs Monaten. Insbesondere bei einem Carrier-Wechsel ist eine großzügige Zeitplanung angeraten. Dabei muss allerdings nicht alles neu gemacht oder angeschafft werden: "Oft kann man bei einer Migration Teilkomponenten wiederverwenden", gibt BT-Mann von Beckerath zu bedenken. Und sein Colt-Kollege Hain empfiehlt: "Man sollte trotz aller Kostenaspekte auch darauf achten, mit dem Firmennetz die richtige Grundlage für die weitere Unternehmensentwicklung zu schaffen." (pg/ue)
*Petra Riedel ist freie Journalistin in München.
Fazit: Klare Vorteile
Die Standortvernetzung über IP-VPNs auf MPLS-Basis bietet eine hohe Flexibilität:
- Sie eignet sich besonders dann, wenn eine permanente Any-to-any-Kommunikation benötigt wird und das Netz deshalb eng vermascht ist.
- Kostenvorteile gegenüber Frame Relay und ATM ergeben sich auch dadurch, dass die Anbindung von Niederlassungen, Außendienstmitarbeitern oder Geschäftspartnern vergleichsweise unproblematisch vonstatten geht und eine schnelle Reaktion auf neue Situationen möglich ist.
- Die Übertragungsqualität lässt sich aufgrund flexibler Bandbreiten und der Priorisierung von Anwendungen dem Bedarf anpassen.
- Schließlich bietet diese Art der Vernetzung eine Basis zur Integration weiterer Services wie Voice over IP.
MPLS schlägt Konkurrenz
5300 Mitarbeiteranschlüsse an 102 Standorten, davon sechs in Belgien, zwei in Österreich, zwei in der Schweiz, einer in Frankreich / einmalige Installationskosten (Euro) / monatliche Kosten (Euro)
Frame Relay / 187 378 / 259 011
ATM / 243 591 / 336 714
MPLS / 171 216 / 185 134
Quelle: T-Systems
WAN-Techniken im Vergleich
Kriterium / Frame Relay (FR) / ATM / IP-VPN / IP-VPN auf MPLS-Basis
Stärke / Mehr als zehn Jahre international bewährte Technik. / Schneller als Frame Relay, überträgt Sprache, Daten und Videos in Echtzeit. / Kostenersparnisse gegenüber Festnetzverbindungen. / Verbindet die Vorteile von IP-VPNs mit den Übertragungsqualitäten von ATM und Frame Relay, flexible Zuteilung von Bandbreiten, Priorisierung, kostensparende Any-to-any-Kommunikation, garantierte Service-Levels.
Schwäche / Im Vergleich zu ATM eher langsam und nur für kleinere und mittlere Datenvolumina geeignet. / Im Vergleich zu Frame Relay relativ teuer, nicht für alle Betriebssysteme geeignet. / Internet-gestützte Datendienste sind trotz hoher Bandbreiten oft überlastet, keine Datenpriorisierung und -bewertung. / Standardisierung in den Gremien noch nicht weit fortgeschritten; beim Wechsel von einem in ein anderes Carrier-Netz können daher Serviceverluste auftreten, die sich allerdings technisch relativ problemlos beheben lassen.
Kosten / Einmalige Bereitstellungspreise und monatliche Beträge für Ports und Permanent Virtual Circuits (PVCs), die sich aus der genutzten Bandbreite und der Entfernung zwischen den Netzpunkten beziehungsweise den Ländern der Netzpunkte ergeben. / Einmalige Bereitstellungspreise und monatliche Beiträge für Ports und Switched Virtual Circuits (SVC), die sich aus der genutzten Bandbreite und der Entfernung zwischen den Netzpunkten ergeben. / Bedarfsabhängig oder Flatrate (im internationalen Verkehr liegen die Kosten für / IP-Verbindungen etwa 70 Prozent unter denen der FR- oder ATM-Verbindungen, bei Providern ohne eigene Plattform sind allerdings meist weitere Investitionen in Sicherheitssysteme, beispielsweise Verschlüsselungsmechanismen, erforderlich). / Einmalige Bereitstellungspreise und monatliche Beträge für Ports, die sich aus der genutzten Bandbreite, Serviceklassen und Entfernung zwischen den Netzpunkten ergeben.
Übertragungsqualität / Flexible Bandbreiten und fest definierte Serviceklassen sorgen für an die jeweilige Anwendung angepasste Übertragungsqualitäten. / Flexible Bandbreiten und fest definierte Serviceklassen sorgen für an die jeweilige Anwendung angepasste Übertragungsqualitäten. / Best Effort. / Flexible Bandbreiten und Serviceklassen wie Voice, Multimedia, vorrangiger Datenverkehr und Best Effort stehen bereit, damit wird auch VoIP nutzbar.
Geschwindigkeit / =< 2 Mbit/s / 2 Mbit/s < 155 Mbit/s / =< 34 Mbit/s / =< 2,5 Gbit/s
Kundentypus / Übersichtliche Kommunikationsstruktur und vorhersagbare Datenvolumina, beispielsweise von einem Rechenzentrum zu einzelnen Niederlassungen oder Telearbeitsplätzen; hierarchisch strukturierte Unternehmen (Sterntopologie); kleine und mittlere Netze. geringe Entwicklungsmöglichkeiten für Mehrwertdienste. / Wie Frame Relay. / Wie Frame Relay (IP-VPNs sind allerdings - insbesondere beim Outsourcing - aufgrund deutlich niedrigerer Betriebs- und Personalkosten für kleine und mittelständische Unternehmen wirtschaftlich vertretbarer als ATM und Frame Relay). / Starke Vermaschung von Standorten, die permanent auch miteinander kommunizieren müssen (any-to-any), stark wachsende beziehungsweise sich ändernde Standortzahl, ideale Basis für die Integration weiterer Services (zum Beispiel integrierter Internet-Zugang, VoIP).
Quelle: T-Systems