Ursprünglich waren die Netzwerkausrüster angetreten, Voice over IP (VoIP) unter Hinweis auf die Einsparungen gegenüber separaten Daten- und Sprachnetzen zu verkaufen. Mittlerweile hat sich das Bild geklärt. Aufgrund der zahlreichen Zusatzinvestitionen und -aufwände im LAN und der stark gefallenen Telefongebühren kommt die Umstellung auf ein konvergentes Netz kaum mehr billiger.

Davon abgesehen hat die standardisierte Ethernet-Technik für die Unternehmen nicht nur Vorteile. Das gemeinschaftlich genutzte Medium wird gerade bei einer geringen Bandbreite schnell zum Nadelöhr, wenn darüber zusätzlich zu den Daten Telefonate, Videokonferenzen und/ oder gar Business-TV übertragen werden.

"Mit 1- oder 10-Gigabit-Ethernet sieht die Bandbreitensituation im LAN meist gut aus", konstatiert Ernst Engelmann, Business Development Manager Unified Communications bei Cisco Systems. Dennoch müssten hier Maßnahmen zur Sicherung der Dienstgüte (Quality of Service, QoS) getroffen werden, allein um den vielen Applikationen unterschiedliche Priorität zuweisen zu können. "Außerdem grenzen QoS die einzelnen Applikationen für mehr Angriffssicherheit gegeneinander ab", so Engelmann: Gerade flusskritische Unified-Communication-Lösungen riefen förmlich nach Mechanismen wie Verschlüsselung, Authentisierung der Endgeräte und dem Einsatz von Intrusion-Prevention-Systemen (IPS).

QoS und IT-Sicherheit

Die Klassifizierung von Daten-, Sprach- und Videoströmen als Hebel zu mehr Sicherheit? Lars Weimer, verantwortlich für Informationssicherheit im Bankenbereich beim Beratungshaus Ernst & Young, winkt ab. "QoS-Verfahren wie Diffserv sorgen zwar für die Verfügbarkeit, nicht aber für IT-Sicherheit." Deshalb sollten Mechanismen wie eine sichere Authentisierung mit Zuweisung von Sicherheitsfiltern und eine ordentliche Verschlüsselung nicht mit dem Netz gekoppelt werden. Das verkompliziere nur die LAN-Installation unnötig und verstärke Herstellerbindungen, warnt der Ernst & Young-Berater: "Die Initiative für mehr IT-Sicherheit sollte stattdessen von Protokollen wie Secure Sockets Layer (SSL) und damit direkt von den Anwendungen ausgehen."

VoIP-Sicherheit wird überbetont

Auch Andreas von Meyer zu Knonow, Vice President Global Product Solutions bei Avaya, rät von einer Verflechtung von QoS und IT-Sicherheit ab: "Ein sorgfältig geplantes Datennetz mit entsprechenden Sicherheitsvorkehrungen verringert die Angriffsgefahr im konvergenten Netzwerk erheblich." Der Avaya-Manager erachtet es als wenig sinnvoll, zu viel in die VoIP- beziehungsweise Video-over-IP (VioIP)-Sicherheit zu investieren. Gefahren wie das Abhören von Gesprächen oder Hacker- und Denial-of-Service-Angriffe über Sprach-/Video-Ports würden häufig überbetont. Von Meyer zu Knonow plädiert dafür, das Geld für die Einführung konvergenter Anwendungen wie Unified Communications auszugeben: "Darin steckt für die Unternehmen der eigentliche Nutzen der Konvergenz: eine höhere Produktivität der Mitarbeiter und über einen besseren Service mehr Kunden- und Partnerzufriedenheit." Auch ohne die Verquickung von QoS und IT-Sicherheit ist die LAN-Welt kompliziert genug. Mathias Hein, freier IT-Berater in Wuppertal und anerkannter Netzwerkexperte, warnt die IT-Entscheider davor, Maßnahmen zur Sicherung der Dienstgüte durch Bandbreite ersetzen zu wollen: "Ohne QoS nehmen sich unter anderem Citrix-Anwendungen, Business-TV, Videokonferenzen und Backups, was sie gerade an Bandbreite brauchen." Darunter leide nicht nur die Performance dieser Anwendungen. Auch anderer Traffic im LAN werde schnell in Mitleidenschaft gezogen, bis hin zu Datenverlus-ten und Aussetzern bei der Sprach-, Daten- beziehungsweise Videoausgabe, warnt Hein. Für ihn als Netzwerkdesigner sei gerade wegen der Konvergenz das Diffserv-Regelset zum unverzichtbaren Begleiter geworden. 100-Mbit/s-Endgeräteanschlüsse, die selbst Online-Collaboration und Business-TV problemlos verkrafteten, kämen dagegen laut Hein "blendend ohne QoS aus".

Ein Regelset für alles?

Auch wenn sich der Wald an unzähligen QoS-Verfahren zugunsten eines Standards, Diffserv für Sprach-, Daten- und Videoströme, gelichtet hat: Der Überwachungs- und Administrationsaufwand mit nur einem Regelset ist alles andere als trivial. "Er stellt die Administratoren im LAN vor hohe Anforderungen und Zeitaufwände", erklärt Dietmar Holderle, Vice President Continental Europe bei Foundry Networks. "Und das immer wieder, sobald Veränderungen am Netzwerk vorgenommen werden müssen." Holderle zufolge fällt der Aufwand besonders hoch aus, wenn sich die LAN-Installation aus Netzsystemen verschiedener Hersteller zusammensetzt: "Das liegt an der unterschiedlichen Bauart der Switch-Systeme. Sie unterscheiden sich hinsichtlich der Architektur, des Chipsets und Warteschlangen-Managements", erklärt der Foundry-Mann. Hinzu kämen die verschiedenen Release-Stände.

Viele Hersteller - viele Probleme?

Das LAN im eigenen Kosteninteresse besser gleich homogen zu bestücken sei aus einem weiteren Blickwinkel heraus ratsam, führt Holderle weiter aus: Das QoS-fähige Netz-Management-System, das zusätzlich angeschafft, implementiert und von besonders qualifizierten Fachkräften betrieben werden muss, werde dadurch nicht noch komplizierter und aufwändiger, als es ohnehin ist.

Foundry verficht die Strategie, dass QoS und Sicherheit zusammengehören. "Beides", empfiehlt Holderle, "sollte in Zeiten der SOA (Service-orientierte Architektur) aber prozessnah über Application-Switches mit integrierten Sicherheitsfunktionen absolviert werden."

Angesichts der vielen Kostenfaktoren im LAN empfiehlt Jürgen Bauer, Consultant bei Logica CMG, den IT-Verantwortlichen, sich nicht auf die möglichen Einsparungen über VoIP zu versteifen. Stattdessen sollten sie vor der Entscheidung die tatsächlichen Kosten und Folgekosten hinterfragen. Er verweist in diesem Zusammenhang auch auf die notwendige Redundanz in und von wichtigen Knoten, um die Verfügbarkeitsnachteile der LAN-Infrastruktur gegenüber der klassischen Telefonie einigermaßen wettzumachen: "Das Netz muss so aufgebaut sein, dass so weit wie möglich immer eine alternative Verbindung zur Verfügung steht. Kritische LAN-Systeme, nicht nur im Backbone, sowie andere tragende Systeme müssen doppelt ausgelegt werden." Außerdem müssten alle LAN-Knoten, einschließlich der SIP-Server und Gateways, mit einer redundanten Stromversorgung ausgerüstet sowie ihre Module im laufenden Betrieb austauschbar sein. Sämtliche Hochverfügbarkeitsauslegungen, die mit zusätzlichen Komplexitätsschüben einhergehen, so Bauer weiter, müssten zudem vom Netz-Management-System und dem Fachpersonal beherrscht werden.

Kein reines VoIP-Umfeld

Zusätzlich verkompliziert wird der konvergente LAN-Auftritt in den meisten Unternehmen dadurch, dass in der Regel beide Welten, IP und ISDN, unter einen Hut gebracht werden müssen. Diese Konstellation habe allerdings auch ihre Vorteile berichtet Hartmut Becker, Director Marketing Enterprise Solution Division bei Alcatel-Lucent: "Durch eine schrittweise Migration hat es das Unternehmen selbst in der Hand, ohne Druck die notwendigen Sicherheits-, QoS-, Verfügbarkeits- und Management-Maßnahmen für das LAN zu eruieren, zu testen, zu bewerten und auf ihre vollständigen Kosten zu hinterfragen", erklärt Becker. Dabei sollten aus Sicht des Alcatel-Lucent-Managers auch die organisatorischen Veränderungen sowie ihre Kostenfolgen und Ablaufrisiken in die Überlegungen einfließen. (mb)