Schnelles Netz für besseren Workflow

10.02.2005
Mit seinem neuen europaweiten Netzwerk konnte DM-Drogeriemarkt nicht nur die Kosten senken, sondern mit drahtlosen Multimedia-Kiosken auch den Service für die Kunden verbessern.

Eine europaweite Drogeriemarktkette benötigt ein Netzwerk mit hoher Bandbreite, großer Flexibilität und einfacher Verwaltung bei geringen Kosten, um im Wettbewerb erfolgreich bestehen zu können. Diese Anforderungen erfüllte das bisherige Unternehmensnetz der DM-Drogeriemärkte nicht mehr.

Gestiegene Provider-Kosten

So waren in den vergangenen Jahren die 650 nationalen Filialen über ISDN und ein externes Provider-Netz an die Karlsruher Zentrale angebunden. Die nationalen und internationalen Verbindungen zwischen den Konzernstandorten erfolgten über Frame Relay mit geringer Bandbreite. Für die Einwahl ins Internet standen 2-Mbit/s-Standleitungen mit Volumen- tarif zur Verfügung. Drahtlose Verbindungen gab es nicht. Die 300 Telearbeiter wählten sich über ISDN per Remote Access auf zentrale Router in das Netzwerk ein.

Durch den zunehmenden Datenverkehr innerhalb des Netzwerks und das Internet wuchsen die externen Provider-Kosten ständig. Ferner entsprachen die geringe Bandbreite und die mangelnde Flexibilität des Netzes nicht mehr den aktuellen Anforderungen, zumal immer wieder Engpässe bei gemeinsam genutzten Anwendungen auftraten. Deshalb entschied sich das Unternehmen für die Einführung einer neuen Netzinfrastruktur. Diese sollte eine schnellere Datenübertragung, flexible Anbindungsmöglichkeiten und ein eigenständiges Management erlauben sowie die Unabhängigkeit von externen Providern gewährleisten. Zudem wollte DM mit der neuen Infrastruktur die Kosten für den Datenverkehr und die Verwaltung senken. Und schließlich war die Skalierung des neuen Unternehmensnetzes für ein sehr viel größeres Netz von mehr als 1000 Filialen geplant.

Eine besondere Anforderung stellte die Einführung drahtloser Netze (WLANs) in der Zentrale und den Filialen dar. DM wollte nämlich in den Niederlassungen Multimedia-Kioske einführen, an denen Kunden Gutscheine zur Einlösung ihrer Payback-Punkte ausdrucken können. Um die Kioske flexibel an verschiedenen Orten aufstellen zu können, sollten sie drahtlos mit dem Netzwerk verbunden werden.

Nachdem der Lösungspartner Filiadata, ein hunderprozentiges Tochterunternehmen der DM, auf Grundlage des Anforderungskatalogs eine Vorauswahl getroffen hatte, kamen für die Filialanbindung und das WLAN jeweils vier Hersteller in Frage. In Sachen WAN und Anbindung der Telearbeiter blieben zwei Unternehmen im Rennen. Die Würfel fielen dann letztlich zugunsten von Cisco. Nur dieser Anbieter, so begründet DM die Entscheidung, konnte alles aus einer Hand liefern. Für Cisco sprach ferner die Möglichkeit eines einheitlichen Managements der Netzinfrastruktur, was auf eine schnelle Rentabilität und niedrige laufende Kosten hoffen ließ.

Innerhalb der Zentrale setzt DM bei der Datenübertragung auf Gigabit Ethernet. Bei der Verbindung zwischen den Konzernstandorten entschied sich das Unternehmen für ein zusätzliches Internet-basierendes VPN, um das bestehende Frame-Relay-Netz zu entlasten. Auf diese Weise schlugen die Netzwerker zwei Fliegen mit eine Klappe: Einerseits bietet das VPN eine genügend hohe Bandbreite für den inzwischen umfangreichen Datenverkehr, andererseits ist es vergleichsweise günstig, da die Lösung Provider-unabhängig und einfach zu verwalten ist.

IP-sec als VPN-Protokoll

Um den vertraulichen Datenverkehr auch in Verbindung mit dem Internet zu schützen, entschied man sich bei DM für IPsec als VPN-Protokoll. Allerdings war hier in Kombination mit den eingesetzten Cisco-Routern 2651 und 1721 eine Besonderheit zu beachten: IPsec lief mit dem Multipoint-GRE-Tunnel (GRE = Generic Routing Encapsulation) unter den derzeitigen IOS-Betriebssystem-Versionen nicht stabil. Gemeinsam mit Cisco löste Filiadata das Problem durch den Einsatz von IPsec mit Standard-GRE.

Die Internet-Anbindung in den Konzernstandorten erfolgte über 2- bis 10-Mbit/s-Standleitungen und in der Zentrale mittels einer 34-Mbit/s- und einer 8-Mbit/s-Standleitung per BGP-Routing (BGP = Border Gateway Protocol) sowie eigenem Anschluss. Für die Anbindung der DM-Filialen an die Zentrale reichte aufgrund des geringeren Datenverkehrs das günstigere DSL. Um eine durchgängige Redundanz zu gewährleisten, erhielt jeder DSL-Zugang ein ISDN-Backup. Via DSL und VPN-Tunnel sind so die Filialen mit der Zentrale verbunden.

ISDN-Leitung als Backup

In der Zentrale werden die Verbindungen auf insgesamt vier Routern terminiert. Die Authentifizierung und das Accounting erfolgen dabei über ein "Cisco Access Control System" mit LDAP-Anbindung (Lightweight Directory Access Protocol). Als etwas schwierig erwies sich die Konfiguration des ISDN-Backups aufgrund der langsamen Konvergenzzeiten beim Einsatz eines Routing-Protokolls. DM und Filiadata meisterten diese Hürde, indem die Abbildung der gewünschten Funktionalitäten teilweise mit statischen Routen erfolgte. Zur Reduzierung der Verbindungskosten wird zudem ein "ISDN Trigger" verwendet. Durch einen kurzen Anruf aus der Zentrale (Trigger) wird eine Einwahl des Routers in die VPN-Plattform veranlasst. Somit kann die Filiale ohne eine Point-to-Point-Verbindung von der Zentrale aus erreicht werden, was die Kosten deutlich reduziert. Um wirklich ein zentrales Management des Netzes von der Zentrale bis in die Filial-WLANs hinein zu gewährleisten, wurden Cisco-Access-Points vom Typ 1121G in die Infrastruktur integriert.

Anbindung der Telearbeiter

Die Telearbeiter sind ebenfalls via VPN über DSL oder ISDN an die Zentrale über eine eigene Internet-Plattform angebunden. Authentifizierung und Accounting laufen wie bei den DM-Filialen über Ciscos ACS mit LDAP-Anbindung, wobei zur Erhöhung der Sicherheit zusätzlich Tokens verwendet werden.

Bei der Implementierung der neuen Infrastruktur traten keine Probleme auf, und auch die Installation des neuen Netzwerks verlief weitgehend reibungslos. Allerdings hatte sich das IT-Team auch gut vorbereitet: Damit während des Rollouts nicht 750 Routerkonfigurationen händisch erstellt werden mussten, kam ein selbst programmierter "Konfigurationsgenerator" zum Einsatz. Dieser ist auch im laufenden Betrieb hilfreich, wenn Neueröffnungen oder Konfigurationsänderungen anstehen.

Während des Rollouts musste ferner getestet werden, ob alle Anschlüsse am Router (DSL, ISDN Backup und ISDN Out-of-Band) funktionieren oder ein

Verkabelungs- beziehungsweise Router-Problem vorliegt. Hierfür entwickelte die IT-Mannschaft ein eigenes grafisches Tool. Damit war es dem First-Level-Support möglich, beim Rollout alle Funktionen zu prüfen und die Installationen abzunehmen. Mit diesem Tool wurden auch die notwendigen Routen neu gesetzt. Die genannten Herausforderungen, etwa die zunächst mangelnde Stabilität der Routing-Protokolle, bekam Filiadata schnell selbst oder zusammen mit Cisco in den Griff.

Netz für 20 000 Mitarbeiter

Auf das neue DM-Netz greifen nun insgesamt 20 000 Mitarbeiter zu. Dazu gehören 300 Telearbeiter sowie Kollegen in 680 nationalen und 850 internationalen Filialen, drei nationale und sieben internationale Logistikzentren, vier Verteilzentren, acht Länderzentralen sowie die deutsche Zentrale mit zwei Rechenzentren. Die Mitarbeiter nutzen sämtliche Anwendungen über das Netz. Dazu gehören je nach Zugangsberechtigung SAP-Software, Warenwirtschaftssystem und Data Warehouse sowie Office-Programme, Internet und E-Mail. In den Filialen werden zudem die ersten DM-Service-Punkte eingesetzt. An diesen Multimedia-Kiosken drucken Kunden über eine drahtlose Anbindung Gutscheine für ihre Payback-Punkte aus. Dies funktioniert über den Zugriff auf eine Website.

Die weiteren Schritte für den Netzausbau sind bereits geplant. So steht als Nächstes die flächendeckende Versorgung der deutschen Filialen mit WLAN an, auch in abgesetzten Lagerstandorten. Anschließend soll die internationale Installation der WLAN-Umgebung vorangetrieben werden. Hierauf hat die Zentrale allerdings nur geringen Einfluss, da die Länder die Entscheidungen weitgehend selbständig treffen.

"Das Bereitstellen einer besseren Netzwerkinfrastruktur mit höheren Bandbreiten und flexibleren Anbindungen ist die Basis für neue Anwendungen, die die Innovationskraft und damit das Wachstum des Unternehmens fördern", zieht Erich Harsch, Geschäftsführer Bereich IT bei DM, Bilanz. "Da das Netzwerk zentraler Bestandteil des Workflows im Unternehmen ist, haben wir schon seit Jahren sehr stark in den Ausbau der IT-Systeme investiert." Gleichzeitig ermöglichte die neue Infrastruktur dem Unternehmen eine Rezentralisierung der IT. "So sorgen höhere Bandbreite und niedrigere Kosten für eine kostengünstige Verwirklichung neuer Anwendungen und bieten erhebliche Vorteile in Sachen Sicherheit", ergänzt Christian Stäblein, Bereichsleitung Produktionssysteme bei Filiadata. Konkret vereinfachte es die neue Gliederung beispielsweise, weitere Sicherheitsvorkehrungen wie Intrusion Detection und Intrusion Prevention als Ergänzung zu den bereits vorhandenen Firewalls und Antivirensystemen einzuführen.

Nach einem Jahr rentabel

Finanziell lag das neue Netzwerk jederzeit im Plan und verzögerte sich zeitlich nur leicht aufgrund der erwähnten Herausforderungen. Trotz Investitionskosten von mehr als einer Million Euro erwartet DM, die Rentabilitätsgrenze bereits nach zwölf Monaten zu erreichen, da die Infrastruktur zahlreiche Vorteile bietet. So erleichtern die höheren Übertragungsgeschwindigkeiten den Beschäftigten - vor allem den Telearbeitern - ihre täglichen Aufgaben. Kollegen und Administratoren profitieren bei Problemen durch Remote Access sowie den zentralen Helpdesk. Und mobile Nutzer können sich an allen Unternehmensstandorten ohne Kabel in das Firmennetz einloggen. Dadurch werden die Workflow-Prozesse beschleunigt und verschlankt. (hi)