Anforderungen an die Hardware
Um diese Form der Virtualisierung zu erreichen, müssen die verwendeten Router Advanced Routing and Forwarding oder ähnliche Techniken beherrschen, also mehrere IP-Netze völlig unabhängig voneinander verwalten und Dienste zur Verfügung stellen können. Außerdem müssen die Router die Zuordnung der IP-Netze zu Schnittstellen, VLANs, SSIDs, Gegenstellen, WAN-Verbindungen oder auch per Firewall ermittelten Paketeigenschaften unterstützen. Damit die virtuellen Netze auch über strukturierte Verkabelung in Hierarchien und im WLAN durchgesetzt werden können, müssen auch die Switches und Access Points VLAN-fähig sein.
Netzvirtualisierung in der Praxis
Büro- oder Praxisgemeinschaft
Foto: Lancom
Virtualisierte Netzstrukturen bieten selbst kleinen Unternehmen deutliche Vorteile. Auch Arztpraxen, Steuerkanzleien oder Ingenieurbüros können heute nicht mehr auf die Vernetzung mit Geschäftspartnern verzichten. In vielen Gebäuden reicht die vorhandene Verkabelung aber nicht aus, um für jeden Mieter ein komplettes eigenes Netz zu schaffen. In solchen Fällen kann man beispielsweise für die Arztpraxis und das Ingenieurbüro jeweils ein separates virtuelles IP-Netz einrichten.
Beide Netze sind intern völlig voneinander getrennt, so dass kein unbefugter Zugriff auf Patientendaten oder Konstruktionspläne möglich ist. Das Ingenieurbüro könnte zusätzlich noch einen WLAN-Zugang für Gäste einrichten, die nur Zugriff auf das Internet haben.
Vernetzter Lebensmittelmarkt
In diesem Beispiel geht es vor allem um die Trennung von internen Datenströmen. Ein entscheidender Vorteil einer virtuellen Netzstruktur ist jedoch, auch Anwendungen mit externen Teilnehmern sauber in das eigene Netz integrieren zu können. Das Beispiel einer vollständig vernetzten Filiale (wie es eine Supermarktkette realisiert hat) zeigt die weitreichenden Möglichkeiten, die Router-Virtualisierung in Verbindung mit VLANs eröffnet. Neben den PCs der Filialleitung, die über VPN mit der Zentrale verbunden sind, können auch die Barcode-Scanner am Wareneingang (drahtlos angebunden über einen Access Point) jederzeit Daten mit dem ERP-System austauschen. Außerdem sind verschiedene externe Dienstleister in das Netz eingebunden: Eine Großbäckerei steuert den Backautomaten und ruft Informationen über dessen Zustand ab, der Sicherheitsdienst kann die Bilder der Überwachungskameras der Filialen rund um die Uhr beobachten, und die EC-Terminals an den Kassen sind direkt mit dem Clearing verbunden. Für jede Anwendung wird dabei ein eigenes virtuelles IP-Netz eingerichtet, für das ein spezieller IP-Adresskreis und separate Routing-Einstellungen definiert werden. Der Netzabschnitt für die EC-Abrechnung kann so beispielsweise an die IP-Adressen angepasst werden, welche die Clearing-Stelle in ihrer VPN-Struktur verwendet. Im internen LAN werden die IP-Netze zusätzlich über entsprechende VLANs markiert, die über einen VLAN-fähigen Switch getrennt werden - andere Teilnehmer können nicht auf dieses Netz zugreifen. Mit den Netzkomponenten, die Tacacs+ bei Authentifizierung, Autorisierung und Accounting unterstützen, kann gleichzeitig eine wichtige Anforderung der Payment Card Industry erfüllt werden (PCI-Compliance).