Die Grundidee eines virtuellen privaten Netzes ist einfach: Es verbindet verschiedene lokale Netze über weite Strecken miteinander. Bis vor einigen Jahren waren hierfür fest geschaltete Frame-Relay- oder ATM-Mietleitungen (Leased Lines) Standard.
Die Standortvernetzung mit diesen beiden Verfahren gilt als äußerst zuverlässig, hat aber auch einige Nachteile. Mietleitungen sind vor allem teuer und nicht sehr flexibel, was die verfügbare Bandbreite angeht. Der Kunde hat oft nur die Wahl zwischen einer Verbindung mit zu wenig Bandbreite und einer wesentlich teureren Anbindung mit viel mehr Bandbreite, als er eigentlich benötigt. Üblicherweise braucht jeder Standort auch noch einen Zugang zum Internet, was zusätzliche Kosten verursacht.
"Frame Relay und ATM sind zwar ausgereifte Standards, die für viele Anwendungen ausreichen. Im Hinblick auf neue Entwicklungen ist Multiprotocol Label Switching aber flexibler", sagt Karsten von Beckerath, Produkt-Manager MPLS bei BT Global Services. Damit stehen Alternativen zur Verfügung, die bei Anschlussmöglichkeiten und Bandbreite wesentlich mehr bieten und in vielen Fällen auch kostengünstiger sind. Für Unternehmen mit weit verteilten Standorten kommen IP-VPNs in Frage, insbesondere solche, die auf MPLS basieren. Dabei handelt es sich um ein von der Internet Engineering Task Force (IETF) standardisiertes Verfahren, um den Austausch von IP-Paketen zu vereinfachen.
In Ballungsräumen dagegen bieten sich so genannte virtuelle LANs an, die auf Metro Ethernet aufbauen. Grundsätzlich, so Niamh Spillane, Analystin bei Frost & Sullivan, sollte man IP-VPNs immer als Komplementärlösung verstehen und weniger als unverzüglichen Ersatz. "Eine Firma mit großer und über mehrere Standorte verteilter Mitarbeiterzahl sollte über ein IP-VPN nachdenken", rät Spillane.
Dies gelte vor allem dann, wenn Konzernbereiche beziehungsweise Niederlassungen im Ausland liegen. So könne viel an überflüssiger Bandbreite gespart werden. Die einfachste Möglichkeit, ein IP-VPN umzusetzen, sei, die Daten zwischen den Standorten über das öffentliche Internet zu routen. Insbesondere für Firmen mit geringem Datenaufkommen, das weder zeit- noch unternehmenskritisch ist, sei eine solche Lösung interessant, sagt die Expertin.
Allerdings haben über das öffentliche Web realisierte IP-VPNs auch Schwachpunkte. Es gibt zum Beispiel keine garantierte Dienstgüte und Vertraulichkeit. Was die Sicherheit angeht, kann man zwar Abhilfe schaffen: Sichere Verbindungen können mit Hilfe von Tunneltechniken wie IPsec aufgebaut werden. Diese Variante kommt jedoch in der Regel nur für kleinere VPNs in Betracht, denn der Aufwand für das Management steigt mit jedem weiteren Unternehmensstandort enorm an: Bei einer voll vermaschten Topologie wächst die Anzahl der benötigten Tunnels quadratisch zur Zahl der Standorte an.
Ein anderes Problem konventioneller IP-Leitungen ist, dass nicht zwischen verschiedenen Daten unterschieden wird und es keine Möglichkeit gibt, Verkehrsströme zu leiten. In privaten Netzen werden IP-VPNs heute daher hauptsächlich mittels MPLS realisiert. Das große Plus von MPLS ist, dass es vom Transportmedium weitgehend unabhängig ist, also genauso mit ATM, Frame Relay und Ethernet arbeitet wie auch mit IP.
Bei MPLS werden Datenpakete nicht anhand der IP-Adresse weitergeleitet, sondern mit Hilfe so genannter Labels, die sowohl einen Pfad als auch eine Priorität angeben. Jedes Label gilt nur für die Verbindung zum nächsten Router. Dieser generiert dann ein neues Label. Da die Analyse der Labels schneller erfolgt als das Lesen einer vollständigen IP-Adresse, steigen die Geschwindigkeit und der Durchsatz der übertragenen Daten gegenüber einfachen IP-VPNs. Vorteil für den Kunden: Er kann eine bestimmte, für eine vereinbarte Qualität erforderliche Bandbreite bekommen. Die Carrier wiederum haben das Plus, ihre Netze effizienter nutzen zu können.
Provider wie die Deutsche Telekom, BT, Infonet, Equant, Colt oder Arcor bieten daher mittlerweile parallel zu ihren klassischen Frame-Relay- und ATM-Diensten auch standardmäßig auf ihren Backbones MPLS-Services an. Die Erwartungen an die Technik sind hoch: "Derzeit ist im Markt eine regelrechte Begeisterung für MPLS zu spüren, die Kunden fragen ganz gezielt nach", beobachtet BT-Mann von Beckerath.
Eine Migration von Frame Relay auf MPLS bringt jedoch nicht automatisch Vorteile. "Der Nutzen für das Unternehmen hängt von den Umstellungen oder Änderungen des bestehenden Netzes ab", erklärt Peter Schneider, Produkt-Manager Datendienste bei Arcor, und ergänzt: "Werden keine neuen Anwendungen eingeführt, die eine Anpassung des Netzdesigns nach sich ziehen, ist eine Migration nicht erforderlich."
"IP-VPNs auf Basis von MPLS rechnen sich nicht für jeden. Einigen Unternehmen genügen nach wie vor die etablierten Mietleitungs- und Frame-Relay-Netze", meint auch Jan Geldmacher, Mitglied des Executive Board von T-Systems. Sinnvoll sei diese Technik für Firmen, die keine konventionelle sternförmige Netzstruktur benötigen, sondern die einzelnen Standorte direkt miteinander vernetzen müssen, um eine so genannte Any-to-any-Kommunikation zu ermöglichen.
Geldmacher zufolge rechne sich IP-VPN beispielsweise für Unternehmen, die oft neue Standorte flexibel anbinden müssen, oder für Firmen, die ihrem Außendienst eine Einwahlmöglichkeit geben wollen. Dabei gehe es nicht nur um die reine Basiskommunikation. Diese Firmen bräuchten auch einen integrierten Internet-Zugang, Dial-in-Funktionen oder aus Sicherheitsgründen auch gemanagte Firewalls. Sinnvoll, so Geldmacher, kann MPLS auch sein, wenn eine sehr heterogene informations- und kommunikationstechnische Infrastruktur im Zuge einer Flurbereinigung zu vereinheitlichen ist.
Es sind aber auch Kombinationen denkbar. Zum Beispiel die Anbindung der großen Unternehmenszentralen mittels ATM sowie Zusammenschaltungen der kleineren Filialen per MPLS-VPN. Oder Sub-VPNs, die mittels Frame-Relay-Links miteinander kommunizieren, wenn die Any-to-any-Kommunikation für alle Standorte nicht notwendig ist. Allerdings soll der neuen Technik mittelfristig die Zukunft gehören: IDC zufolge werden auf MPLS basierende IP-VPNs die konventionellen Frame-Relay-Netzwerke in den nächsten drei bis fünf Jahren überholen.
Was den Access-Aspekt angeht, ist MPLS sehr flexibel, weil die nationale und internationale Einwahl für Außendienstmitarbeiter, die Integration von Klein- und Heimbüros, Netzzugriff via Mobilfunk sowie WLAN-Zugänge möglich sind. "Hinsichtlich der Anschlüsse gibt es vielfältige Optionen, so dass Unternehmen maßgeschneiderte Netze erhalten können, die alle Anforderungen an Bandbreite, Qualität und Flexibilität erfüllen", lobt Arcor-Manager Schneider MPLS.
Standard sind die Einwahl per Modem oder ISDN für einzelne Mitarbeiter, ADSL beziehungsweise SDSL für Filialen und Festverbindungen für größere Standorte. Richtfunk ist auf dem Land eine Alternative, GSM-, HSCSD- und GPRS-Anbindungen für die Einwahl unterwegs. Außerdem kündigt sich mit UMTS ein weiteres Mobilfunkmedium an. "Früher hat es sich oft nicht gelohnt, kleinere Standorte mit einer Mietleitung anzuschließen. Mit DSL-gestützten Zugängen können jetzt auch diese Filialen über MPLS-VPNs miteinander kommunizieren", nennt Matthias Hain, Senior Market Manager bei Colt, ein weiteres Argument für die Standortvernetzung.
Wichtiges Merkmal aus Unternehmenssicht sind die Serviceklassen, die mit MPLS möglich sind. Die Priorisierung der Daten erfolgt derzeit bei den meisten Carriern in drei, bei manchen auch in vier Stufen. Die Spitzenklasse ist für Sprache und Video vorgesehen. In der mittleren Klasse werden Workflow-sensible Daten etwa aus ERP-Systemen mit höchster Genauigkeit übertragen. Sonstige Web-Dienste wie etwa E-Mails bedient MPLS nach dem Best-Effort-Prinzip immer dann, wenn Kapazität im Netz frei ist.
Sind die Servicestufen für echtzeitsensible Anwendungen nicht voll ausgelastet, nutzen vorübergehend andere Applikationen deren Bandbreiten - aber eben nur, bis die vorrangigen Anwendungen die für sie reservierten Kapazitäten wieder benötigen. "Unternehmen brauchen so keine Sicherheitsreserve für eventuelle Engpässe vorzuhalten, was auf Dauer deutlich Kosten spart", erklärt T-Systems-Spezialist Geldmacher das Effizienzpotenzial von MPLS.
Dabei sind für jede Verkehrsklasse messbare Maximalwerte für Laufzeiten, Verfügbarkeiten, Laufzeitschwankungen (Jitter) und Paketverlust festgelegt. "Die eingesetzten Quality-of-Service-Mechanismen bei MPLS reichen für Sprach- und Videoanwendungen absolut aus. Speziell in der Voice-Klasse sind die vertraglich zugesicherten Laufzeiten und Jitter so gering, dass es zu keiner Beeinflussung kommt" - damit will Schneider Anwender beruhigen, die beim Einsatz von Voice over IP (VoIP) mangelhafte Sprachqualität befürchten. Bestehen im Rahmen von echten Breitbandanwendungen jedoch erhöhte Anforderungen an die Dienstgüte wie bei Fernsehanstalten oder Rundfunkstationen, stellt ATM nach wie vor die leistungsstärkeren Mechanismen zur Verfügung.
Ein scheinbares Manko von MPLS ist, dass es derzeit keinen Mechanismus zur Verschlüsselung gibt. Der Datenverkehr wird in MPLS-Netzen jedoch ähnlich getrennt wie in ATM- oder Frame-Relay-Networks. Deshalb, so Schneider, ist auch die Sicherheit von MPLS-Netzen direkt mit denen auf Frame-Relay- und ATM-Basis vergleichbar. In einer privaten Infrastruktur ist es mit MPLS nicht nötig zu verschlüsseln, es sei denn, es ist absolute Vertraulichkeit auch gegenüber dem Carrier gewünscht, wie zum Beispiel häufig bei Finanzdienstleistern.
Anders sieht es auf dem Weg zum Backbone aus, wie Uwe Blöcher, Produkt-Manager Sichere VPNs bei Siemens Business Services, meint: "Die letzte Meile stellt eine Angriffsfläche dar." Sollte ein Kunde hohe Sicherheitsanforderungen haben, kann jedoch eine Ende-zu-Ende-Verschlüsselung implementiert werden, beispielsweise mittels IPsec oder SSL. Auch eine Verschlüsselung nur bis zum Backbone ist möglich, kostet allerdings zusätzlich. "Man sollte die Investition als eine Art Versicherung sehen", rät Blöcher.
Die Höhe der möglichen Kostenersparnis mit MPLS hängt von der Unternehmensstruktur, also der Anzahl der Standorte und Außendienstmitarbeiter, sowie der Kommunikationsstruktur ab. Es stellt sich die Frage, ob eine Vollvermaschung notwendig ist oder ob eine Teilvermaschung oder eine Sterntopologie ausreicht. Außerdem hängt die Rentabilität von den genutzten Diensten und eingesetzten Anwendungen sowie den daraus resultierenden Anforderungen an die Dienstgüte und Sicherheit ab.
Colt gibt für die MPLS-Vernetzung der Hypovereinsbank beispielsweise eine Senkung von 30 Prozent der laufenden Kosten an. Ein Beispiel von T-Systems stellt die monatlichen Ausgaben für eine MPLS-Vernetzung denen von Frame Relay gegenüber und kommt zu ähnlichen Ergebnissen.
Jede Migration zu einer neuen Technik muss detailliert geplant werden. Wichtig ist vor allem eine gute Zusammenarbeit zwischen den Projektteams und eine realistische Terminkalkulation. Die Experten rechnen bei einer Anbindung von 50 Standorten mit einem Zeitbedarf von bis zu sechs Monaten. Insbesondere bei einem Carrier-Wechsel ist eine großzügige Zeitplanung angeraten.
Dabei muss allerdings nicht alles neu gemacht oder angeschafft werden: "Oft kann man bei einer Migration Teilkomponenten wiederverwenden. Zum Beispiel sind bei manchen Routern Updates möglich, auch Anbindungen können weitergenutzt werden", gibt BT-Mann von Beckerath zu bedenken. "Bei der Planung von VPNs wird oft sehr kurzsichtig an die Kostenersparnis gedacht", bemängelt sein Colt-Kollege Hain und empfiehlt: "Man sollte auch darauf achten, mit dem Firmennetz die richtige Grundlage für die weitere Unternehmensentwicklung zu schaffen."