WAN-Access
So gelingt die sichere Anbindung von Außenstellen
Fortsetzung des Artikels von Teil 2
Optimierte Kommunikation zwischen Zweigstellen
Aufgrund des bereits erwähnten hohen Konfigurationsaufwands nutzen viele Unternehmen im WAN eine Hub-and-Spoke-Netzwerktopologie, bei der nur zwischen Außenstelle und Zentrale und/oder Rechenzentrum IPsec-Tunnel zum Einsatz kommen. Diese Topologie geht allerdings zu Lasten der Kommunikation zwischen den Außenstellen, da die Datenübertragung in diesem Fall immer über den Hub (Zentrale oder Rechenzentrum) geleitet werden muss. Abhilfe schafft beispielsweise das vom Netzwerkhersteller Cisco entwickelte Protokoll DMVPN (Dynamic-Multipoint-VPN). Es ermöglicht den dynamischen Aufbau von VPN-Tunneln zwischen den Außenstellen und reduziert den Konfigurationsaufwand im Hub-Gerät. Der größte Vorteil liegt aber darin, dass nur noch ein Tunnelendpunkt benötigt wird, unabhängig von der Anzahl der Außenstellen.
DMVPN ist auch sehr gut geeignet, um die Sicherheit in einem MPLS-basierten WAN zu erhöhen: Sobald auf den Kunden-Routern DMVPN aktiviert wird, wird die Datenübertragung zwischen Außenstelle und Zentrale beziehungsweise zwischen zwei Außenstellen automatisch verschlüsselt. Ein Abhören der Datenkommunikation wird somit unmöglich. Allerdings hat das Verfahren im MPLS auch einige Nachteile. Zum einen sinkt durch das DMVPN-Tunnelverfahren die Nettodatenrate, zum anderen gehen Quality-of-Service-Informationen der ursprünglichen IP-Pakete durch das Tunneling über das MPLS-Netzwerk verloren. Dies kann sich eventuell negativ auf die Qualität der Datenübertragung auswirken.
Eine bessere Methode für die Verschlüsselung in MPLS-Netzen ist daher die Nutzung von GET-VPN (Group-Encrypted-Transport), welches ebenfalls von Cisco entwickelt wurde. Dieses Protokoll ist in der Lage, die Nutzerdaten zu verschlüsseln, ohne dabei ein Tunnelverfahren zu nutzen. Damit werden die Datenpakete mit den originalen IP-Header-Informationen im MPLS-Netzwerk geroutet.
Hybrides WAN im Trend
Eine bemerkenswerte aktuelle Entwicklung ist, dass WAN-Netzwerke zurzeit stetig an Relevanz gewinnen. Grund dafür ist die zunehmende Verlagerung von Applikationen in Public-Clouds. Beispiele dafür sind Microsoft-Office-365 oder Share-point. Für die Außenstelle bedeutet dies, dass Datenübertragungen für Internetdienste direkt an der Außenstelle ausgekoppelt und nicht mehr über das WAN und über die Zentrale (Backhauling) geroutet werden. Diverse Netzwerkhersteller haben diesen Trend erkannt und bieten sehr intelligente Möglichkeiten, die bestehenden WAN-Leitungen in der Außenstelle (MPLS, Internet) in Abhängigkeit von der jeweiligen Applikation zu nutzen. Auf diese Weise lässt sich beispielsweise festlegen, dass unter anderem Office-365 oder Youtube über die Internetleitung und SAP über die MPLS-Leitung geroutet werden. Aus Sicherheitsaspekten ist natürlich zu gewährleisten, dass der Router oder die Firewall in der Außenstelle über die Internetleitung nicht angreifbar sind. In der Regel wird dies über entsprechende Firewall-Regeln oder ACLs (Access-Control-Lists) realisiert. Die gleichzeitige Nutzung mehrerer WAN-Leitungen in den Außenstellen wird in der Fachsprache Hybrid-WAN genannt.
Bei der Dimensionierung der Router oder Firewalls in den Außenstellen ist zu berücksichtigen, dass die Geräte wegen der Verschlüsselung der Datenpakete deutlich mehr leisten müssen, als etwa bei der Terminierung von Stand- oder MPLS-Leitungen. Und auch in der Zentrale oder im Rechenzentrum sind die Performance-Ansprüche an den Router oder die Firewall sehr hoch, da diese gleichzeitig die Datenpakete für mehrere Außenlokationen authentifizieren und verschlüsseln müssen.
- So gelingt die sichere Anbindung von Außenstellen
- MPLS: logische Trennung im Providernetz
- Optimierte Kommunikation zwischen Zweigstellen
Lesen Sie mehr zum Thema
