computerwoche.de

Netzwerke

Virtualisierung im Netz (Teil 1)

Flexibel mit virtuellen Routern

24.01.2011
Von Eckhart Traber

Virtuelle Netze auf dem Router

Wie aber können die vorhandenen physischen Netze für die Anforderungen der modernen Kommunikation und Zusammenarbeit genutzt werden? Moderne Netzvirtualisierungen gehen über die statische Konfiguration von VPNs und VLANs hinaus und nutzen Funktionen wie virtuelle Router - oder, wie es etwa Lancom-intern heißt, das "Advanced Routing and Forwarding". Kernpunkt dieser Technik ist die Möglichkeit, für jede Nutzung ein eigenes IP-Netz auf dem zentralen physischen Router einzurichten: zum Beispiel ein Netz für die Mitarbeiter mit ihren Arbeitsplatz-PCs oder mobilen Notebooks, eines für Gäste im WLAN, eines für den Dienstleister der Alarmanlage. Für jedes dieser Netze können dann grundlegende Dienste wie der DHCP-Server separat konfiguriert werden.

Datenpakete, die am physischen Router eintreffen, werden nun anhand verschiedener, vordefinierter oder automatisch gelernter Kriterien einem der Netze zugeordnet. Wie und wohin diese Datenpakete geroutet werden, wird anhand der Regeln für das virtuelle Netz entschieden. Insgesamt verhalten sich die Netze mit ihren eigenen Definitionen, Kriterien für zuzuordnende Datenpakete, Eigenschaften und Diensten wie eine Reihe eigenständiger virtueller Router. Kriterien und Eigenschaften für solche virtuellen Netze können sein:

  • Zugang über einen definierten Netz-Port eines Switches - gegebenenfalls mit Authentifizierung - und Aufnahme ins VLAN für Mitarbeiter im LAN. Anhand des VLAN gelangen die Pakete ins Netz für Mitarbeiter. Der Anwender hat damit Zugriff auf alle Anwendungen und Ressourcen, die für Mitarbeiter zur Verfügung stehen.

  • Zugang über einen VPN-Client auf einem Mobilrechner von unterwegs mit Authentifizierung und Verschlüsselung. Anhand des VPN wird der Anwender dem Netz für Mitarbeiter mit allen Ressourcen und Anwendungen zugeordnet.

  • Zugang über das WLAN mit der SSID für Mitarbeiter.

  • Für diese SSID wird Authentifizierung und hohe Verschlüsselung gefordert. Nach Anmeldung befindet sich der Anwender im Netz für Mitarbeiter.

  • Zugang über das WLAN mit der SSID für Gäste. Es wird keine Authentifizierung gefordert und nur mäßige Verschlüsselung. Der Anwender gelangt aufgrund der SSID ins Netz für Gäste und erhält nur Zugriff auf das Internet und bestimmte Drucker. Tatsächlich sind die anderen Ressourcen nicht gesperrt, aber IP-technisch gesehen existieren alle anderen Netze, Dienste sowie Ressourcen für diesen Anwender nicht.

  • Zugang über VPN mit Authentifizierung als Dienstleister und verschlüsselter Übertragung. Aufgrund der VPN-Zuordnung wird der Anwender dem Netz für Dienstleister zugeordnet und kann nur die Geräte im Netz erreichen, welche beispielsweise zum Alarmierungssystem gehören. Alle anderen Ressourcen existieren in diesem Netz nicht.