Neben ihrem Erfolg bei den Servern wird die Idee der Virtualisierung zunehmend auch für andere Bereiche der IT interessant - so auch im Netz. Experten erwarten eine bessere Ausnutzung der Ressourcen, höhere Flexibilität und Sicherheit sowie reduzierte Kosten für Investitionen und Administration.
Ziele der Virtualisierung
Ganz allgemein steht in der IT der Begriff "Virtualisierung" für die Trennung einer IT-Anwendung von der verwendeten Hardware. Diese Trennung verfolgt unterschiedliche Ziele, unter anderem:
-
optimale Ausnutzung der Ressourcen,
-
Sicherheit,
-
Kostenreduzierung.
Foto: Lancom
Usus ist seit einiger Zeit die Virtualisierung von Servern. Dabei wird die Server-Applikation (etwa ein File-Server) samt Betriebssystem in eine virtuelle Maschine verlagert. Mehrere virtuelle Server-Prozesse mit unterschiedlichen Betriebssystemen können dabei parallel auf einer physischen Maschine realisiert werden und dadurch die Ressourcen optimal ausnutzen. Kommt es zu einer Störung der Hardware, können die Server-Prozesse in einer virtuellen Infrastruktur auf eine andere Hardware übertragen werden, um den Betrieb sicherzustellen. So können die Server zentral auf standardisierter Hardware verwaltet werden, was die Betriebskosten deutlich reduziert und zugleich die Verfügbarkeit der Prozesse steigert.
Ähnliche Ziele verfolgt die Virtualisierung auf Client-Seite, bei der die Hardware an den Arbeitsplätzen auf die Ein- und Ausgabegeräte (Bildschirm, Tastatur und Maus) reduziert wird. Jede Arbeitsstation nutzt eine eigene Instanz des Betriebssystems auf dem Server mit persönlicher Konfiguration für den Anwender. Neben dem reduzierten Aufwand für die Administration und der vereinfachten Datensicherung steigert der Verzicht auf lokale Speichermedien die Sicherheit.
Netzvirtualisierung
Nicht nur Server und Arbeitsplatzrechner lassen sich virtualisieren, auch das Netz als verbindendes Element (LAN, WLAN beziehungsweise kabelgebundenes oder drahtloses WAN) kann virtualisiert werden. Während bei der Virtualisierung von Clients und Servern die zentrale Wartung und Kosteneinsparungen zu den wichtigsten Ziele gehören, eröffnen virtualisierte Netze völlig neue Anwendungen, die "normale" Netze nicht bieten können. Die bisher eingesetzten Methoden zur Netzvirtualisierung beziehen sich auf den Übertragungsweg:
-
VPN nutzt eine WAN-Verbindung wie eine LAN-Verbindung.
-
VLAN lässt mehrere abgeschirmte Netzverbindungen auf einem gemeinsam genutzten Übertragungsmedium zu (Shared Medium).
-
Access Points können mit einem WLAN-Modul mehrere Funkzellen (SSIDs) aufspannen, die beispielsweise unterschiedliche Verschlüsselungseinstellungen verwenden (Multi-SSID).
Foto: Lancom
Alle drei Techniken können auf bestimmten Übertragungswegen (IPsec VPN für WAN, VLAN für Ethernet-Verkabelung, Multi-SSID für WLAN) vollständig separierte Netze parallel betreiben. Die Leistungsfähigkeit aller drei Techniken ist jedoch begrenzt, weil sie in der Regel auf einen Übertragungsweg beschränkt sind. Für eine ökonomische Virtualisierung von Ende zu Ende ist eine logische Verknüpfung dieser Techniken erforderlich. Außerdem werden VPN und VLAN üblicherweise zur Erweiterung der internen Netzstruktur eingesetzt. Demgegenüber steht eine immer stärkere Verbindung von ganz unterschiedlichen externen Teilnehmern: die IP-basierende Zusammenarbeit orientiert sich immer mehr an den Aufgaben der Mitarbeiter und macht nicht an den Grenzen einer Organisation halt. Der einfachste Fall ist dabei der Netzzugang für Gäste in den eigenen Räumen, in komplexen Szenarien erhalten externe Dienstleister über das Internet Zugriff auf bestimmte Anwendungen im lokalen Netz. Der nächste Schritt ist daher die Virtualisierung von ganzen Netzen vollständig auf logischer Ebene, unabhängig von bestimmten Zugangspunkten. Dazu müssen die einzelnen Virtualisierungstechniken für Übertragungswege durch ein ebenso virtualisiertes Routing verknüpft werden.
Ähnlich wie bei der Virtualisierung von Servern wird dabei eine Hardware (Router) genutzt, um mehrere virtuelle Router einzurichten, wobei jeder virtuelle Router speziell für sein Netz konfiguriert werden kann. Mit einer solchen höheren Ebene der Virtualisierung können auf vorhandenen Infrastrukturen parallel völlig unterschiedliche Anwendungen mit dedizierten Einstellungen für das Routing und die Zugriffsberechtigungen realisiert werden.
Multi-VPN: Tunnel im Tunnel
IPsec hat sich als Industriestandard für hochsichere Verbindungen über WAN-Strecken durchgesetzt. Professionelle Router mit VPN-Gateway bieten verschiedene Möglichkeiten, sich sicher zu authentifizieren und Daten stark verschlüsselt zu übertragen. Bei der Authentifizierung auf Basis von Zertifikaten kann sich kein fremdes Gerät als vermeintliche Gegenstelle ausgeben und eine Verbindung zum zentralen VPN-Gateway aufbauen. Mit AES verschlüsselt, können die übertragenen Informationen zudem von niemandem eingesehen werden. Somit eignet sich ein IPsec-VPN als sichere Methode, den Übertragungsweg zwischen Standorten über das Internet zu virtualisieren.
Foto: Lancom
Der Nachteil von IPsec ist jedoch, dass die Übertragung auf die TCP/IP-Ebene (Layer 3 im OSI-Referenzmodell) beschränkt und im Bezug auf die Netzdefinition starr ist, so sind keine zwei separaten Netze mit überschneidendem IP-Adresskreis möglich. Speziell die Netze sollten aber bei der Virtualisierung flexibel den jeweiligen Erfordernissen angepasst werden können. Damit echte Ende-zu-Ende-Netzvirtualisierung möglich wird, müssen zwischen den Gateways Tunnel innerhalb eines IPsec-Tunnels etabliert werden, die völlig unabhängig vom IP-Adressraum der zu verbindenden Netze sind. Mit dem Point-to-Point Tunneling Protocol (PPTP) bietet sich eine Technik an, die schon lange für verschiedene Internet-Einwahl-Anschlüsse verwendet wird. Ähnlich wie bei VLANs im LAN wird pro virtuelles Netz ein PPTP-Tunnel aufgebaut, der die korrespondierenden VLANs der Standorte durch IPsec hindurch zu einem einheitlichen Netz verbindet.
Mit diesem neuartigen Tunnelkonzept können sogar Protokolle zur dynamischen Steuerung des IP-Routings innerhalb eines virtuellen Netzes, etwa das Routing Information Protocol (RIP), sicher zwischen Standorten übertragen werden. Ein weiterer Vorteil dieses Konzepts gegenüber separaten Tunneln liegt darin, dass Authentifizierung und Verschlüsselung nicht pro Netz erforderlich sind, sondern auf einen umhüllenden IPsec-Tunnel beschränkt werden können. Bei gleicher Sicherheit wie mit separaten IPsec-Tunneln werden rechenintensive Authentifizierungs- und Rekeying-Prozesse (zyklischer Wechsel der zur Verschlüsselung verwendeten Schlüssel) eingespart.
Somit werden hinsichtlich Transparenz und Routing ähnliche Eigenschaften wie bei MPLS-VPNs erzielt, jedoch mit höherer Sicherheit und dem Vorteil, dass das VPN nicht in der Hand des Internet-Providers, sondern in der des Anwenderunternehmens liegt. Der Verwendung verschiedenster Übertragungstechniken wie ADSL, SHDSL, Glasfaser oder UMTS auch als Backup-Verbindung für denselben Standort steht nichts im Wege. Durch die Unabhängigkeit vom Anschlussbetreiber besteht die Möglichkeit, Netze über Ländergrenzen hinweg mit verschiedensten Zugängen zu virtualisieren.
Virtuelle Netze auf dem Router
Wie aber können die vorhandenen physischen Netze für die Anforderungen der modernen Kommunikation und Zusammenarbeit genutzt werden? Moderne Netzvirtualisierungen gehen über die statische Konfiguration von VPNs und VLANs hinaus und nutzen Funktionen wie virtuelle Router - oder, wie es etwa Lancom-intern heißt, das "Advanced Routing and Forwarding". Kernpunkt dieser Technik ist die Möglichkeit, für jede Nutzung ein eigenes IP-Netz auf dem zentralen physischen Router einzurichten: zum Beispiel ein Netz für die Mitarbeiter mit ihren Arbeitsplatz-PCs oder mobilen Notebooks, eines für Gäste im WLAN, eines für den Dienstleister der Alarmanlage. Für jedes dieser Netze können dann grundlegende Dienste wie der DHCP-Server separat konfiguriert werden.
Datenpakete, die am physischen Router eintreffen, werden nun anhand verschiedener, vordefinierter oder automatisch gelernter Kriterien einem der Netze zugeordnet. Wie und wohin diese Datenpakete geroutet werden, wird anhand der Regeln für das virtuelle Netz entschieden. Insgesamt verhalten sich die Netze mit ihren eigenen Definitionen, Kriterien für zuzuordnende Datenpakete, Eigenschaften und Diensten wie eine Reihe eigenständiger virtueller Router. Kriterien und Eigenschaften für solche virtuellen Netze können sein:
-
Zugang über einen definierten Netz-Port eines Switches - gegebenenfalls mit Authentifizierung - und Aufnahme ins VLAN für Mitarbeiter im LAN. Anhand des VLAN gelangen die Pakete ins Netz für Mitarbeiter. Der Anwender hat damit Zugriff auf alle Anwendungen und Ressourcen, die für Mitarbeiter zur Verfügung stehen.
-
Zugang über einen VPN-Client auf einem Mobilrechner von unterwegs mit Authentifizierung und Verschlüsselung. Anhand des VPN wird der Anwender dem Netz für Mitarbeiter mit allen Ressourcen und Anwendungen zugeordnet.
-
Zugang über das WLAN mit der SSID für Mitarbeiter.
-
Für diese SSID wird Authentifizierung und hohe Verschlüsselung gefordert. Nach Anmeldung befindet sich der Anwender im Netz für Mitarbeiter.
-
Zugang über das WLAN mit der SSID für Gäste. Es wird keine Authentifizierung gefordert und nur mäßige Verschlüsselung. Der Anwender gelangt aufgrund der SSID ins Netz für Gäste und erhält nur Zugriff auf das Internet und bestimmte Drucker. Tatsächlich sind die anderen Ressourcen nicht gesperrt, aber IP-technisch gesehen existieren alle anderen Netze, Dienste sowie Ressourcen für diesen Anwender nicht.
-
Zugang über VPN mit Authentifizierung als Dienstleister und verschlüsselter Übertragung. Aufgrund der VPN-Zuordnung wird der Anwender dem Netz für Dienstleister zugeordnet und kann nur die Geräte im Netz erreichen, welche beispielsweise zum Alarmierungssystem gehören. Alle anderen Ressourcen existieren in diesem Netz nicht.
Anforderungen an die Hardware
Um diese Form der Virtualisierung zu erreichen, müssen die verwendeten Router Advanced Routing and Forwarding oder ähnliche Techniken beherrschen, also mehrere IP-Netze völlig unabhängig voneinander verwalten und Dienste zur Verfügung stellen können. Außerdem müssen die Router die Zuordnung der IP-Netze zu Schnittstellen, VLANs, SSIDs, Gegenstellen, WAN-Verbindungen oder auch per Firewall ermittelten Paketeigenschaften unterstützen. Damit die virtuellen Netze auch über strukturierte Verkabelung in Hierarchien und im WLAN durchgesetzt werden können, müssen auch die Switches und Access Points VLAN-fähig sein.
Netzvirtualisierung in der Praxis
Büro- oder Praxisgemeinschaft
Foto: Lancom
Virtualisierte Netzstrukturen bieten selbst kleinen Unternehmen deutliche Vorteile. Auch Arztpraxen, Steuerkanzleien oder Ingenieurbüros können heute nicht mehr auf die Vernetzung mit Geschäftspartnern verzichten. In vielen Gebäuden reicht die vorhandene Verkabelung aber nicht aus, um für jeden Mieter ein komplettes eigenes Netz zu schaffen. In solchen Fällen kann man beispielsweise für die Arztpraxis und das Ingenieurbüro jeweils ein separates virtuelles IP-Netz einrichten.
Beide Netze sind intern völlig voneinander getrennt, so dass kein unbefugter Zugriff auf Patientendaten oder Konstruktionspläne möglich ist. Das Ingenieurbüro könnte zusätzlich noch einen WLAN-Zugang für Gäste einrichten, die nur Zugriff auf das Internet haben.
Vernetzter Lebensmittelmarkt
In diesem Beispiel geht es vor allem um die Trennung von internen Datenströmen. Ein entscheidender Vorteil einer virtuellen Netzstruktur ist jedoch, auch Anwendungen mit externen Teilnehmern sauber in das eigene Netz integrieren zu können. Das Beispiel einer vollständig vernetzten Filiale (wie es eine Supermarktkette realisiert hat) zeigt die weitreichenden Möglichkeiten, die Router-Virtualisierung in Verbindung mit VLANs eröffnet. Neben den PCs der Filialleitung, die über VPN mit der Zentrale verbunden sind, können auch die Barcode-Scanner am Wareneingang (drahtlos angebunden über einen Access Point) jederzeit Daten mit dem ERP-System austauschen. Außerdem sind verschiedene externe Dienstleister in das Netz eingebunden: Eine Großbäckerei steuert den Backautomaten und ruft Informationen über dessen Zustand ab, der Sicherheitsdienst kann die Bilder der Überwachungskameras der Filialen rund um die Uhr beobachten, und die EC-Terminals an den Kassen sind direkt mit dem Clearing verbunden. Für jede Anwendung wird dabei ein eigenes virtuelles IP-Netz eingerichtet, für das ein spezieller IP-Adresskreis und separate Routing-Einstellungen definiert werden. Der Netzabschnitt für die EC-Abrechnung kann so beispielsweise an die IP-Adressen angepasst werden, welche die Clearing-Stelle in ihrer VPN-Struktur verwendet. Im internen LAN werden die IP-Netze zusätzlich über entsprechende VLANs markiert, die über einen VLAN-fähigen Switch getrennt werden - andere Teilnehmer können nicht auf dieses Netz zugreifen. Mit den Netzkomponenten, die Tacacs+ bei Authentifizierung, Autorisierung und Accounting unterstützen, kann gleichzeitig eine wichtige Anforderung der Payment Card Industry erfüllt werden (PCI-Compliance).
Fazit
Mit bewährten Virtualisierungstechniken wie VPN, VLAN und Multi-SSID lassen sich vorhandene Übertragungswege (Internet-Anschluss, Netzverkabelung, WLAN) in Netzen deutlich besser ausnutzen. Die Router-Virtualisierung selbst ermöglicht die flexible Verknüpfung der verschiedenen Virtualisierungstechniken für Übertragungswege und virtualisiert gleichzeitig die Router-Funktionen. Damit lassen sich sicher getrennte IP-Netze über räumliche Netzgrenzen hinweg parallel auf denselben Infrastrukturkomponenten betreiben. Netzvirtualisierung, die nur durch das Zusammenspiel von aufeinander abgestimmten Routern, VLAN-fähigen Switches und Access Points mit Multi-SSID erzielt wird, ermöglicht völlig neue Anwendungen auf Basis einer einzigen Infrastruktur - und das bei reduzierten Kosten.
Mehr zu diesen themen finden Sie auch hier:
Virtualisierung im Netz (2) - Netz-Know-how fürs Data Center
Virtualisierung im Netz(3) - RouternStandards für RZ-Virtualisierung stehen vor der Marktreife
Virtualisierung im Netz (4) Unterwegs zur Unternehmens-Cloud