Die Kommunikation innerhalb von Unternehmen mit geografisch verteilten Standorten sicherzustellen ist für jeden IT-Manager eine anspruchsvolle Aufgabe, zumal die Anforderungen an ein solches privates Netz recht unterschiedlich sind. So ist im einfachsten Fall eine Anbindung kleiner Niederlassungen über Wählverbindungen an die Unternehmenszentrale gefragt. Komplexere Szenarien fordern eine vollständige und transparente Verknüpfung verschiedener Standorte zu einem virtuellen Netz mit einheitlichem privatem Adressraum und Management - sprich Virtual Private Networks (VPNs). Dieses Netz soll dann sichere Datenverbindungen bereitstellen sowie Sprach- und Videoinformationen transportieren.
Unterschiedliche VPN-PhilosophienGrundsätzlich lassen sich VPNs in zwei Gruppen unterteilen: IP-basierende und nicht IP-basierende Netze. Bei Netzen, die nicht auf IP aufsetzen, handelt es sich im Wesentlichen um Strukturen, die Standleitungen nutzen, oder um Netze, die Layer-2-Protokolle als Übertragungstechnologie einsetzen - dazu zählen vor allem FR (Frame Relay)- und ATM-VPNs (ATM = Asynchronous Transfer Mode). Frame Relay bietet als mittlerweile schon klassische Transporttechnik den Vorteil eines technisch erprobten Systems. ATM dagegen wird vor allem von großen Unternehmen genutzt, die Daten in Echtzeit übertragen müssen und hierzu garantierte Bandbreiten benötigen.
Sowohl ATM als auch FR haben gegenüber Layer-3-Netzen, etwa auf Basis von IP (Internet Protocol), Nachteile. Unter anderem sind sie nicht so flexibel einsetzbar. Ferner sind sie für Unternehmen kleiner und mittlerer Größe wegen ihrer Betriebskosten und des Personalaufwands wirtschaftlich kaum zu vertreten. Minuspunkte, mit denen IP-basierte VPNs nicht zu kämpfen haben. Hierbei kann man zwischen verteilt gerouteten VPNs über das "öffentliche" Internet, privaten IP-"Weitverkehrsnetzen" sowie zentral gerouteten IP-VPNs unterscheiden.
VPNs mit verteiltem Routing sind seit Mitte der 90er Jahre mit der zunehmenden Verbreitung IP-basierender Netzinfrastrukturen in das Zentrum der Aufmerksamkeit gerückt. Hier steht der Gedanke im Vordergrund, die weit verbreitete IP-Struktur zu nutzen. Diese kann dabei das öffentliche Internet sein - wobei der Datenverkehr flexibel über die Netze verschiedener Betreiber geführt wird - oder das Kernnetz eines Netzbetreibers.
Beiden Ansätzen ist gemeinsam, dass auf dem Gelände des Kunden (Customer Premises) Router installiert werden, die den Übergang zwischen dem LAN des Anwenders und dem Internet herstellen. Um die jeweils schnellste Verbindung (Route) zu den anderen Unternehmensstandorten zu nutzen, werden diese Router an jedem anderen Standort in ein Gesamt-Routing-Konzept eingebunden. Ein Konzept, das gegenüber nicht IP-basierenden VPN-Lösungen erhebliche Einsparungen verspricht. Diese beruhen vor allem auf der Möglichkeit, mit IP-basierenden Weitverkehrsnetzen ohne besonderen Aufwand praktisch jeden Ort der Erde erreichen zu können und dabei statt eigener Netze die Infrastruktur von Service-Providern zu nutzen. Hinzu kommt die Möglichkeit, die Router (Customer Premises Equipment) durch spezielle Dienstleister managen und betreuen zu lassen, so dass Personalkosten gespart werden.
Den Vorteilen einer nahezu maximalen Flexibilität stehen bei den verteilt gerouteten IP-VPN allerdings eine Reihe von Nachteilen gegenüber: Bandbreiten können bei virtuellen Netzen über das Internet in keiner Form zugesichert werden. IP ist nämlich als Netzprotokoll nicht verbindungsorientiert, und beim Überschreiten der Netzgrenzen verschiedener Provider kann keine Vorhersage über die Latenzzeit bei der Datenübermittlung gemacht werden. Zudem löst der Gedanke, eigene, womöglich sensible Daten durch offene IP-Netze zu transportieren, bei vielen Unternehmen Unbehagen aus. Um die Sicherheit zu erhöhen, wird deshalb heute häufig das IPSecurity"-Protokoll (IPsec) eingesetzt (siehe Kasten "IPsec: Sicherheit für IP-VPNs").
Das Manko der fehlenden Bandbreitenqualität in öffentlichen IP-Netzen versuchen etliche Anbieter dadurch auszugleichen, dass ausschließlich das eigene Weitverkehrs-Kernnetz für die VPNs genutzt wird. Zum einen ermöglicht dies die Erhöhung der Verfügbarkeit durch Vorhaltung redundanter Kapazitäten, zum anderen kann dem Anwender so auch eine vereinbarte Bandbreite garantiert werden. Schließlich hat der Betreiber im eigenen Netz die Kontrolle über alle Ressourcen. Ferner ist es durch den Einsatz von Routing-Technologien wie Multiprotocol Label Switching (MPLS) möglich, eine definierte Quality of Service zuzusichern. Bei den heute gebräuchlichen MPLS-Varianten können IP-Pakete, die zu einem bestimmten Datenstrom gehören, anhand ihrer IP-Adresse oder des verwendeten IP-Dienstes bevorzugt befördert (priorisiert) werden. Allerdings ist diese Methode nicht unumstritten, entsteht dadurch doch fast ein verbindungsorientierter Mechanismus mit der Konsequenz, dass ein Teil der Flexibilität wieder verloren geht.
Zwar ist der Einsatz verteilt gerouteter IP-VPN kostengünstiger als die Errichtung von virtuellen Netzen auf der Basis von Standleitungen, FR oder ATM, aufwändig ist er aber dennoch. Alle Standorte eines verteilt gerouteten IP-VPN bilden nämlich eine eigene organisatorische Einheit. Physikalisch sind die Zweigstellen jeweils mit einer Punkt-zu-Punkt-Verbindung - über eine vermaschte Netzstruktur oder über die Verbindung mit einem zentralen Standort - an alle anderen Niederlassungen angebunden. Ein Netzaufbau, der eine relativ aufwändige Konfiguration und Administration der Router an jedem Standort erfordert. Kommt im IP-VPN ein Standort hinzu oder fällt weg, müssen normalerweise die Routing-Tabellen aller Standorte neu angepasst werden. Gleiches gilt für Störungen auf den Übertragungswegen. Je nach Routing-Konzept kommt es dabei zu Stabilitätsproblemen im gesamten VPN. Ebenso ist das Sicherheitskonzept für ein solches Netz nicht ganz trivial: Jeder Standort benötigt nämlich eine eigene Firewall, um Angriffe aus dem Internet abzublocken.
VPNs mit zentralem Routing-KonzeptKernnetzbasierende VPNs kombinieren im Gegensatz zu dem beschriebenen Konzept verschiedene Technologien. Auf diese Weise nutzen sie die Stärken von Layer-2- (wie ATM oder Frame Relay) und Layer-3-Verfahren (IP). Ein Routing-Konzept, das relativ neu ist und erst vor einem Jahr bei einigen Anbietern in den Wirkbetrieb überging. Neben den angesprochenen Vorzügen eines IP-Netzes förderte vor allem der Siegeszug von DSL als kostengünstiges Access-Medium die Verbreitung dieses Ansatzes.
Der Kerngedanke dahinter ist, kein vermaschtes Netzwerk mit einer Vielzahl von Punkt-zu-Punkt-Verbindungen aufzubauen, sondern die Routing-Funktionen an einen zentralen und virtuellen Kundenrouter im Kernnetz zu delegieren. Die virtuellen Kunden-Router können als Software auf der Hardware eines "Service Selection Gateways" laufen. Service Selection Gateways waren ursprünglich für die Entbündelung von physikalischem Netzzugang und dem logischen Weitertransport auf IP-Ebene konzipiert.
Oder anders formuliert: DSL-Verbindungen erstrecken sich vom Teilnehmer physikalisch über die Kupfer-Doppeladern in die Hauptverteilerstellen der Carrier. Dort werden sie in DSLAMs (Digital Subscriber Line Access Multiplexer) zusammengefasst und für den Weitertransport aufbereitet. Vom DSLAM gehen die Daten dann an ein Service Selection Gateway, das im Wesentlichen zwei Funktionen übernimmt. Es ordnet bestimmte Benutzer anhand ihrer Zugangsdaten einem bestimmten IP-Dienst (Internet-Access, IP-VPN, weitere Provider-spezifische Services) zu. Ferner wird anhand der Benutzerdaten festgestellt, zu welchem Internet-Host (beispielsweise virtueller Kundenrouter bei einem VPN) die Verbindung zu routen ist. Anhand der Login-Daten des Kunden könnten auch verschiedene Zugriffsrechte und Parameter, wie beispielsweise die einem Teilnehmer zugeordnete maximale Datenübertragungs-Geschwindigkeit im Kernnetz des Providers, vergeben werden.
Für den Anwender mit verschiedenen zu vernetzenden Unternehmensstandorten hat dieses Konzept folgende Konsequenz: Er benötigt an den einzelnen Standorten nur noch ein DSL-Modem mit einfachsten Routing-Funktionalitäten, das über einen definierten Service-Übergabepunkt (Ethernet-Schnittstelle) direkt mit dem LAN verbunden wird. Die IP-Adressen des LAN werden dann dem zentralen virtuellen Router auf dem Service Selection Gateway bekannt gegeben. Ansonsten bleibt nur noch die Aufgabe der einfachen Paketweiterleitung in beide Richtungen.
Eine Herangehensweise, bei der der Kunde in der Wahl seines internen Adressraums vollkommen frei ist, solange er innerhalb seines privaten Netzes eindeutige IP-Adressen vergibt. Im Kernnetz selbst steht dem Benutzer ein virtueller Kunden-Router (normalerweise redundant ausgelegt) ausschließlich zur Verfügung und erledigt sämtliche standortübergreifenden Routing-Aufgaben.
IP-VPNs, die auf diesem Ansatz basieren, sind in der Regel im Kernnetz als Layer-2-Netze ausgelegt. Sie greifen dabei auf ATM und MPLS (Multiprotocol Label Switching) als Transportmechanismus zurück. Die Verwendung dieser beiden Technologien sichert in der Praxis eine Quality of Service, die auch bei der Übertragung von Echtzeitdaten wie Sprache oder Video sehr brauchbare Ergebnisse erzielt.
Die Sicherheit eines solchen Netzverbundes wird durch drei Punkte gewährleistet: den Aufbau dedizierter Punkt-zu-Punkt-Verbindungen, Tunnelmechanismen sowie die Option, Nutzdaten mit IPsec zu verschlüsseln. (hi)
*Bernd Kummer ist Leiter Produkt-Marketing bei Riodata in Mörfelden-Walldorf.
IPSec: Sicherheit für IP-VPNsIPSec ermöglicht die Authentifizierung und Verschlüsselung in IP-Netzen. Im Gegensatz zu anderen Lösungen wie SSL setzt Ipsec nicht auf ein vorhandenes Übertragungsprotokoll, sondern ist direkt in dieses integriert. Bei Ipsec handelt es sich genau genommen um ein Paket von Protokollen, die für Authentifizierung (Echtheit), Datenintegrität (Vollständigkeit) und Verschlüsselung (Vertraulichkeit) der übermittelten Daten sorgen. Dabei sind zunächst Mechanismen zum Verhandeln der Verschlüsselungsmethoden zwischen beiden Enden einer Datenübertragung festgelegt. Die Datenübertragung selbst kann dann entweder im Transport- oder im Tunnelmodus stattfinden. Beim Transportmodus werden zwischen den Adressinformationen eines normalen IP-Pakets und der verschlüsselten Nutzlast weitere Informationen zur Authentifizierung (AH = Authentication Header) und zur Verschlüsselung (ESP = Encapsulated Security Payload) eingefügt. Im Tunnelmodus wird das gesamte IP-Paket aus einem LAN inklusive seiner Adressinformation in ein "äußeres" IP-Paket verpackt. Das heißt, auch die Adressinformation des ursprünglichen IP-Pakets wird zur verschlüsselten Nutzlast. Das hat den Vorteil, dass nur an den Enden eines Tunnels sichtbar ist, wer mit wem im IP-VPN kommuniziert.
Abb.1: Private Network - zentrales Routing-Konzept
Dieses Konzept erspart dem Anwender die Einrichtung komplizierter Routing-Pfade, da diese Aufgabe der zentrale Router des Providers übernimmt. Quelle: Riodata
Abb.2: VPN-Router über IP-Netz-Infrastruktur
Der IP-VPN-Netzaufbau erfordert an jedem Standort eine relativ aufwändige Konfiguration und Administration der Router. Quelle: Riodata