Kosten senken im LAN und WAN
Netzwerkvirtualisierung
Längst haben Hersteller, Handel und Kunden die Virtualisierung von Servern, Desktops & Co. als Hebel zur nachhaltigen Kostensenkung identifiziert. Weitere Einsparungen locken, wenn auch die Netzwerkinfrastruktur konsequent virtualisiert wird.
Der vorliegende Beitrag führt in das Thema Netzwerkvirtualisierung ein, beleuchtet die
unterschiedlichen Methoden in LAN, WLAN und WAN und zeigt anhand konkreter Praxisbeispiele,
inwieweit die konsequente Virtualisierung von Netzen – die Hersteller sprechen von "Total Network
Virtualization" – Unternehmen helfen kann, die Kosten sowohl bei den Investitionen als auch bei den
Betriebsausgaben zu reduzieren.
Grundsätzlich bezeichnet der Begriff Virtualisierung die Trennung einer IT-Anwendung von der
verwendeten Hardware. Bei der Netzwerkvirtualisierung werden die Netzwerkdienste von der
Netzwerkinfrastruktur abgelöst. Eine solche Virtualisierung lässt sich im LAN über ausreichend
intelligente Managed Switches realisieren, auf denen so genannte VLANs – Virtual Local Area
Networks – konfiguriert sind. Ebenso stehen im Wireless LAN Virtualisierungsmöglichkeiten zur
Verfügung, bekannt unter den Begriffen Multi-Service-WLANs oder Multi-SSIDs. Bei einer konsequenten
Fortsetzung des Gedankens der Netzwerkvirtualisierung kann bei Einsatz geeigneter Hardware eine
Virtualisierung bis in das WAN erfolgen – also auch des Routers und der dazugehörigen
Internet-Anbindung. Das von Lancom vor einigen Jahren eingeführte Advanced Routing and Forwarding
(ARF) ermöglicht eine solche Router-Virtualisierung. Damit werden aus einem Router bis zu 64
logische – virtuelle – "Maschinen".
Die Gründe für eine Entscheidung zur Virtualisierung sind vielfältig. Während bei den Servern
die zentrale Wartung eine große Rolle spielt, eröffnen virtualisierte Netzwerke völlig neue
Anwendungen, die gewöhnliche Netzwerke nicht bieten können. Beiden Bereichen ist jedoch eines
gemein: Durch die Virtualisierung sparen Unternehmen teure Ressourcen, was sich sowohl auf
Investitionen als auch auf die laufenden Kosten nachhaltig positiv auswirkt.
Doch was macht diese Einsparungen möglich? Der wirtschaftliche Hauptnutzen der
Netzwerkvirtualisierung liegt in der Möglichkeit der Mehrfachnutzung der Netzwerkinfrastruktur.
Konkret heißt dies, dass auf Basis eines physischen Netzes mehrere logische Netze entstehen, die
zwar dieselbe Geräteinfrastruktur nutzen, abgesehen davon aber vollständig und sicher voneinander
getrennt und füreinander unsichtbar sind. Diese Mehrfachnutzung kann sich einerseits auf Dienste
beziehen – ein häufig zitiertes Beispiel ist der WLAN-Gastzugang, den Unternehmen ihren Besuchern
gewähren, andererseits aber auch auf die Nutzung desselben Netzwerks durch mehrere Firmen, zum
Beispiel in einem Gründerzentrum.
Dank Virtualisierung reicht also ein physikalisches Netz aus Switches, Kabeln, Access Points und
Routern aus, um mehrere logische Netze zu betreiben. Das Einsparpotenzial hinsichtlich der
benötigten Geräte ist enorm, ebenso die Senkung der laufenden Kosten, beispielsweise beim
Energiebedarf.
Technisch gesehen kommen bei der Netzwerkvirtualisierung zwei unterschiedliche Methoden zum
Einsatz. Bei VLANs und Multi-SSIDs bezieht sich die Virtualisierung auf das Übertragungsmedium, das
zu einem Shared-Medium umfunktioniert wird. Ein Access Point mit mehreren SSIDs spannt
beispielsweise einfach mehrere voneinander getrennte Funkzellen "nebeneinander" auf. VLANs und
Multi-SSIDs sind also auf der physikalischen Netzwerkebene, dem Layer 2 des OSI-Modells,
realisiert. Diese Art der Virtualisierung ist auf das verkabelte oder drahtlose Unternehmensnetz –
das LAN – begrenzt.
Fakt ist jedoch, dass die IP-basierende Zusammenarbeit zunehmend über die Grenzen einer
Organisation und damit des LANs hinausgeht. Sie verlagert sich immer mehr in das WAN. Zudem
orientiert sie sich immer stärker an den Aufgaben der Mitarbeiter oder Kommunikationsteilnehmern.
Das einfachste Beispiel für das Überschreiten der Grenzen des LANs ist der Netzwerkzugang für Gäste
in den eigenen Räumen, in komplexen Szenarien erhalten externe Dienstleister über das Internet
Zugriff auf bestimmte Anwendungen im lokalen Netzwerk. Eine rein statische Virtualisierung, wie sie
bei VLANs und Multi-SSIDs auf Layer 2 geschieht, reicht dann nicht mehr aus.
Der nächste Schritt in der Virtualisierung von Netzwerken ist daher die dynamische
Virtualisierung auf Layer 3, also die Trennung der Anwendung selbst von den physikalischen
Übertragungsmedien: die IP-Netzwerke und das Routing der Datenpakete zwischen diesen IP-Netzwerken.
Ähnlich wie bei der Virtualisierung von Servern wird dabei eine Hardware – ein Router – genutzt, um
mehrere virtuelle Router einzurichten. Jeder dieser virtuellen Router lässt sich speziell für sein
Netzwerk konfigurieren.
Mit einer solchen höheren Ebene der Virtualisierung ist es möglich, auf vorhandenen
Infrastrukturen parallel völlig unterschiedliche Anwendungen mit dedizierten Einstellungen für das
Routing und die Zugriffsberechtigungen zu realisieren. Ein Mechanismus, mit dessen Hilfe solch
komplexe Virtualisierungsszenarien entstehen können, ist das eingangs erwähnte Advanced Routing
& Forwarding.
Der Kernpunkt dieser Technik ist die Möglichkeit, für jede Anwendung ein eigenes IP-Netzwerk auf
dem zentralen physikalischen Router einzurichten. Für jedes dieser Netzwerke sind grundlegende
Funktionen wie die Firewall oder der DHCP-Server separat konfigurierbar. Besonders wichtig ist
jedoch die Möglichkeit, über ein spezielles Tag die Einträge in der Routing-Tabelle einem
IP-Netzwerk zuzuordnen: So entstehen in einem physikalischen Router mehrere virtuelle Router, deren
Verhalten speziell auf das jeweilige IP-Netzwerk abgestimmt ist. Dabei werden die Tags zur
Unterscheidung der Datenpakete anhand verschiedener Kriterien zugewiesen.
Bei der Einrichtung eines WLAN-Zugangs für die Besucher eines Unternehmens ist es möglich, die
Gäste nach der Authentifizierung automatisch mit beschränkten Rechten auszustatten, zum Beispiel
nur mit Internet-Zugang und Zugriff auf einen Netzwerkdrucker. Neben den internen Teilnehmern
können aber auch externe Unternehmen in die virtuelle Netzwerkstruktur eingehen. Steht
beispielsweise einem Dienstleister ein VPN-Zugang zur Überwachung der Heizungsanlage zur Verfügung,
lässt sich dieser Zugang gezielt einem anderen IP-Netz zuordnen.
Um diese Form der Virtualisierung zu erreichen, müssen die verwendeten Router ARF beherrschen
und die Zuordnung der IP-Netzwerke zu einer LAN-oder WLAN-Schnittstelle unterstützen,
gegebenenfalls genauer spezifiziert über eine VLAN-ID. Um die Tags zur Unterscheidung der
IP-Netzwerke richtig zu behandeln, müssen alle Switches und Access Points im LAN VLAN-
beziehungsweise Multi-SSID-fähig sein.
Ist es weiter erforderlich, überlappende IP-Netze getrennt über eine WAN-Verbindung zu
übertragen, kommt ein zusätzliches Tunnelprotokoll zum Einsatz: das PPTP (Point-to-Point Tunneling
Protocol). Dadurch bleibt die LAN-seitige Trennung durch VLAN oder Multi-SSID auch bei der
Übertragung über das Internet komplett erhalten. Für maximale Sicherheit sorgt dabei die
verschlüsselte Übertragung durch einen IPSec-VPN-Tunnel.
Praxisbeispiel:
Büro- oder Praxisgemeinschaft
Virtualisierte Netzwerkstrukturen bieten schon für kleine Unternehmen deutliche Vorteile. Auch
Arztpraxen, Steuerkanzleien oder Ingenieurbüros können heute nicht mehr auf die Vernetzung mit
Geschäftspartnern verzichten. In vielen Gebäuden reicht die vorhandene Verkabelung jedoch nicht
aus, um für jeden Mieter ein komplett eigenes Netzwerk einzurichten. In diesem Fall lässt sich für
die Arztpraxis und das Ingenieurbüro auf Basis desselben physikalischen Netzwerks jeweils ein
separates virtuelles IP-Netzwerk einrichten. Beide Netzwerke sind intern völlig voneinander
getrennt, sodass kein unbefugter Zugriff auf Patientendaten oder Konstruktionspläne möglich ist.
Das Ingenieurbüro kann zusätzlich noch einen WLAN-Zugang für Gäste einrichten, die nur Zugriff auf
das Internet haben.
Durch die gemeinschaftliche Nutzung sparen die Arztpraxis und das Ingenieurbüro gleich mehrfach:
30 bis 40 Prozent der Investition in Hardware (Access Points, Switches und Router – je nach
Räumlichkeiten); 50 Prozent bei der Internet-Anbindung (Leitungskosten); 30 bis 50 Prozent beim
Energiebedarf; Einsparungen bei Verkabelung und Verlegung abhängig von den Räumlichkeiten.
Praxisbeispiel: Supermarkt
Im ersten Beispiel geht es vor allem um die Trennung von internen Datenströmen. Ein
entscheidender Vorteil von Netzwerkvirtualisierung ist jedoch, auch Anwendungen mit externen
Teilnehmern sauber in das eigene Netzwerk zu integrieren – ohne den Zwang zur Investition in
zusätzliche, separate Infrastruktur.
Der Blick hinter die Kulissen einer modernen Supermarktfiliale zeigt, welche umfangreichen
Sparpotenziale "Total Network Virtualization" mittels VLAN, ARF und PPTP eröffnet. Die
Supermarktfiliale ist mit der Zentrale der Handelskette per VPN vernetzt, die PCs in der Filiale
sind direkt in das ERP-System der Handelskette eingebunden, um den Warenfluss optimal zu steuern.
Eine weitere VPN-Verbindung zwischen der Filiale und einem Geldinstitut sichert den elektronischen
Zahlungsverkehr ab, wenn Kunden sicher und bequem per EC-Karte und PIN bezahlen möchten. Innerhalb
des Supermarkts wird die gesamte Inventur mittels WLAN-fähiger Handscanner durchgeführt, die die
Ergebnisse automatisch und in Echtzeit ins ERP-System übermitteln und Nachbestellungen
auslösen.
Zusätzlich zu diesen unternehmensinternen Verbindungen müssen zahlreiche externe Dienstleister
in das Netzwerk des Supermarkts gelangen, denn viele Filialisten haben bedeutende Teile der
Arbeiten in ihren Filialen bereits ausgelagert: So überwachen und warten externe Dienstleister
heute beispielsweise Kassensysteme, Kühltruhen und Getränkerückgabeautomaten schon vielerorts per
IP-Verbindung in Echtzeit. Die Inhalte auf den digitalen Werbedisplays speist eine externe
Werbeagentur direkt über eine Internet-Verbindung ein, die Heizungssteuerung bezieht die
Klimaprognose von einem Wetter-Server, die VoIP-Telefone nutzen eine externe SIP-Telefon-Anlage.
Während es beim ersten Beispiel um die reine Trennung von Datenströmen ging, ist die Gemengelage im
Supermarkt ungleich komplexer. Neben der Trennung unterschiedlicher Datenströme muss sichergestellt
sein, dass die zahlreichen externen Dienstleister jeweils nur auf die Anwendung und Ressource
zugreifen können, für die sie verantwort-
lich sind.
Nur über die konsequente, dynamische Virtualisierung des gesamten Netzes inklusive der
WAN-Verbindungen der Filiale ist dies wirtschaftlich zu realisieren. Andernfalls müsste aus
Sicherheitsgründen eine Vielzahl von Netzen aufgebaut und eine Vielzahl an Internet-Anbindungen
betrieben werden. Die Kosten für Geräte, Wartung, Energieverbrauch und Leitungen wären auf Dauer
nicht tragbar.
Im Rahmen der Virtualisierung des Supermarktnetzes entstand für jede Anwendung und jeden
Dienstleister ein eigenes virtuelles IP-Netzwerk, für das ein spezieller IP-Adresskreis und
separate Routing-Einstellungen definiert sind. Der Netzabschnitt für die Kassenabrechnung kann so
beispielsweise an die IP-Adressen angepasst werden, die der Betreiber in seiner VPN-Struktur
verwendet. Im hausinternen LAN sind die IP-Netze zusätzlich über VLAN-Tags markiert, die über einen
VLAN-fähigen Switch getrennt sind. Alle anderen Teilnehmer können nicht auf dieses Netzwerk
zugreifen.
Die Einsparpotenziale sind enorm, lassen sich jedoch aufgrund der sehr unterschiedlichen
Szenarien nur für Einzelfälle genauer beziffern: Auslagerung arbeitsintensiver Dienstleistungen an
günstige, externe Anbieter, Minimierung der Hardwareausstattung (Access Points, Switches und
Router), Wegfall von Leitungskosten durch Mehrfachnutzung der Internet-Verbindung etwa für
EC-Zahlung, Warenflusslogistik und die Anbindung externer Dienstleister, Minimierung des
Verkabelungsaufwands durch konsequente Kommunikation über IP-Netze (ein Netz für alles), massive
Einsparungen beim Energiebedarf.
Die skizzierten Beispiele lassen sich auf viele andere Bereiche übertragen. Für den
qualifizierten ITK-Fachhandel, für Systemhäuser und Integratoren bietet Netzwerkvirtualisierung
daher exzellente Umsatzchancen – insbesondere wenn es darum geht, sich von augenscheinlich
günstigeren Online-Quellen durch fachliche Kompetenz abzuheben.
Unternehmen und Institutionen profitieren ihrerseits von den Möglichkeiten der konsequenten
Netzwerkvirtualisierung. Einerseits durch massive Einsparungen bei Hardware, Installation, Betrieb
und Nebenkosten, andererseits aber auch durch ganz neue Interaktionsmöglichkeiten zum Beispiel mit
externen Partnern wie Kunden und Lieferanten und durch ein deutlich höheres Maß an Sicherheit.
Voraussetzungen dafür ist der konsequente Einsatz weithin bekannter Virtualisierungskonzepte wie
VPN, VLAN und Multi-SSID in Kombination mit der Virtualisierung der IP-Netze und Router mittels ARF
und der Weiterführung der getrennten Übertragung übers WAN mittels PPTP. Moderne
Kommunikationskomponenten integrieren diese Funktionalität standardmäßig, so dass für eine Kosten
sparende Virtualisierung keine zusätzliche Softwarelösung erforderlich ist.
Lesen Sie mehr zum Thema
