Unternehmensnetzwerke flexibel gestalten
Selbst ist der Administrator
Wenn es um die Vernetzung von Unternehmensstandorten geht, kommt es vor allem auf drei Dinge an: Sicherheit, Zuverlässigkeit und Flexibilität. Sämtliche Niederlassungen, Heimarbeitsplätze und Road Warriors müssen verbindungs- und datensicher an die Zentrale angebunden sein. Das Netzwerk muss sich an wechselnde Rahmenbedingungen einfach und flexibel anpassen, was mit einer Multi-ISP-Anbindung gelingen kann.
Die WAN-Vernetzung ihres Unternehmens sorgt bei IT-Administratoren in regelmäßigen Abständen für
Schweißausbrüche. Schließlich stellt die Anbindung an die weltweiten Kommunikationsnetze immer
häufiger die Lebensader eines Unternehmens dar. Der eineinhalbtägige Ausfall des T-Mobile-Netzes im
Frühjahr des vergangenen Jahres hat gezeigt, wie schnell diese Ader verstopft sein kann. Die
durchschnittlichen Ausfallzeiten der verschiedenen Zugangsmedien liegen zwischen rund 250 Stunden
(ADSL) und 128 Stunden (dedizierte Standleitung) pro Jahr. Leitungsausfälle sind in Deutschland an
der Tagesordnung, gleichgültig ob bei DSL-Einzelanschlüssen oder in einem MPLS-VPN. Im
Unternehmensumfeld führt dies sofort zu Betriebsstillständen, denn immer mehr Prozesse sind
zwingend auf eine stabile IP-Vernetzung angewiesen. Die zunehmende Verlagerung von Anwendungen in
die Cloud erhöht diesen Bedarf. Führt man sich den gesalzenen Preis einer Standleitung vor Augen,
sind über fünf Tage Stillstand pro Jahr kaum zu rechtfertigen. Denn jede Minute
Produktivitätsausfall kostet bares Geld.
Betriebsintern machen Mitarbeiter häufig den IT-Bereich für solche Ausfälle verantwortlich, doch
dieser ist seinem Schicksal, also dem ISP, relativ hilflos ausgeliefert. Dann heißt es warten und
hoffen mit den immer gleichen Fragen: Wie lange wird der Ausfall wohl dauern? Kann der Carrier
seine Entstörzeiten diesmal einhalten? Warum gibt es zusätzliche, teure Service Level Agreements
(SLAs) und Backup-Schaltungen, wenn die Verbindung dennoch abbricht? Hinzu kommt der neidvolle
Blick auf die Preise im Privatkundenmarkt. Dort tobt bereits seit Jahren ein massiver Preis- und
Bandbreitenkampf zwischen den verschiedenen Anbietern. Im Gegensatz dazu ist der Wettbewerb im
Business-Bereich nicht sonderlich ausgeprägt. Eine synchrone 2-MBit/s-Standleitung kostet ein
Vielfaches dessen, was ein Privatanwender für seinen mehrfach schnelleren DSL-Anschluss berappen
muss. Aber aus Kostengründen darauf zu verzichten, ist ebenfalls keine sinnvolle Lösung, die
Ausfallzeiten würden noch größer. Gäbe es denn einen Weg, die Einrichtung des Firmennetzwerks
selbst in die Hand zu nehmen und das Beste aus beiden Welten – den günstigen Preis für
Consumer-Breitbandleitungen und die höhere Ausfallsicherheit teurer Standleitungen – zu
vereinen?
Echte Bündelung
An diesem Punkt setzt ein Verfahren an, das der deutsche Router-Hersteller Viprinet mit Sitz in
Bingen am Rhein entwickelt hat. Die Technik setzt auf Ausfallsicherheit durch Risikoverteilung und
soll dieses Ziel durch die reale Bündelung von bis zu sechs Internet-Zugängen zu einer einzigen
virtuellen Standleitung erreichen. Damit wird es möglich, ohne Zutun eines ISPs oder MPLS-Anbieters
die eigene WAN-Vernetzung zu optimieren, unter Verwendung der vor Ort besten und günstigsten
Zugangsangebote. Dabei sind die Bandbreiten aller angeschlossenen Leitungen kumuliert. Aus sechs
ADSL-16.000-Leitungen werden so tatsächliche 96 MBit/s Downstream-Leistung.
Die Kombination der Zugangsmedien und Anbieter ist beliebig, gleichgültig, ob ADSL, Kabel-DSL,
SDSL, UMTS oder ISDN. Je mehr unterschiedliche Provider und Medien eingebunden werden, desto
geringer wird das statistische Ausfallrisiko. Schließlich ist die Wahrscheinlichkeit einer
gleichzeitigen Störung aller DSL- und UMTS-Netze verschwindend gering. Bei einer Nutzung von drei
verschiedenen ADSL-Leitungen zusammen mit einem UMTS-Zugang als zusätzlichem Backup steht so in
über 99,9 Prozent der Zeit zumindest eine der angeschlossenen Verbindungen zur Verfügung, sodass
sich Stillstände vermeiden lassen. Vergleichbare Hochverfügbarkeitslösungen lassen sich mit der
Nutzung nur eines Zugangsmediums selbst für viel Geld nicht erreichen. SLAs stellen auf dem Papier
zwar eine Garantie für einen festgelegten Verfügbarkeitsrahmen dar, die Konsequenzen für die
Provider erschöpfen sich jedoch meist in der Einräumung eines außergewöhnlichen Kündigungsrechts im
Falle der Nichteinhaltung der Abmachung. Produktivitätsausfälle kann man nicht geltend machen. Kein
Wunder, dass die ISPs dabei zurückhaltend sind, schließlich wissen sie um die wenig berauschende
Qualität der Leitungsnetze in weiten Teilen des Landes, über die immer anspruchsvollere Dienste
laufen.
Das Funktionsprinzip der Technik basiert auf der Nutzung eines speziellen VPN-Tunnelverfahrens.
In einem Router – dem Multichannel VPN Router – baut das System über jede der angeschlossenen
physischen Leitungen einen verschlüsselten VPN-Tunnel zu einer Gegenstelle auf. Diese befindet sich
in einem zentralen Internet-Backbone oder in der Firmenzentrale selbst und besteht aus einem
speziell auf den wartungsfreien Betrieb ausgerichteten Gerät, dem Multichannel VPN Hub. Für den
Aufbau des Tunnels kommt ein proprietäres VPN-Protokoll mit integrierter
AES-256-Bit-SSL-Verschlüsselung zum Einsatz. Der Router bündelt intern diese VPN-Tunnel und macht
daraus eine einzige, virtuelle Breitbandverbindung. Vom LAN aus ist der Tunnel von einer
Einzelleitung nicht zu unterscheiden. Die von den verschiedenen Anbietern der physikalischen
Leitungen bereitgestellten IP-Adressen finden keine Verwendung mehr – sie sind unsichtbar und
abgeschirmt. Die Daten, die durch den virtuellen VPN-Tunnel fließen, werden für die Anwender
unsichtbar zerschnitten und auf die einzelnen Leitungen aufgeteilt zur Gegenstelle versandt. Dort
entschlüsselt das System die Daten, fügt sie korrekt wieder zusammen und leitet sie an ihr
eigentliches Ziel im Internet weiter. Bei einer Vernetzung mehrerer Standorte ist der VPN Hub zudem
für die Vermittlung der verschlüsselten Datenströme zwischen den Niederlassungen
verantwortlich.
Beliebige Kombinationen
Die Technik bietet vor allem dort Lösungen, wo andere Verfahren der WAN-Vernetzung wie MPLS an
ihre Grenzen stoßen oder schlichtweg zu teuer werden. Gerade die Einbindung mehrerer
Unternehmensstandorte im In- und Ausland bereitet häufig Probleme. So kann es vorkommen, dass sich
einzelne, womöglich abgelegene Standorte nicht in ein MPLS-Netzwerk integrieren lassen, weil der
Provider an diesem Ort keine ausreichende Internet-Anbindung garantieren kann. Noch problematischer
wird es bei der Einbeziehung von Betriebsstätten im Ausland, dort haben ISPs oft keinerlei Zugriff
auf die von den ehemaligen Staatsmonopolisten verwalteten Netzinfrastrukturen. Hinzu kommt ein
allgemeines Flexibilitätsproblem: Durch lange Vertragslaufzeiten werden kurzfristige Anpassungen
der Unternehmensanbindung, beispielsweise durch Zukauf oder Aufgabe eines Geschäftsstandortes, die
Einführung einer neuen, auf höhere Bandbreitenprofile ausgerichteten Anwendung oder die
bedarfsgerechte Einrichtung von Heimarbeitsplätzen auch in entlegenen Regionen erschwert und
verteuert.
Die Bündelungslösung soll im Gegensatz dazu flexibel sein, denn durch den modularen Aufbau der
Router ist die Zusammenstellung der gebündelten Anschlüsse kurzfristig und – dank Hotplug – ohne
Verbindungsabbruch anpassbar. Für jeden Unternehmensstandort lassen sich spezifische
Bandbreitenanforderungen formulieren, auf die dann das Bündelungs-Setup ausgerichtet ist. Benötigt
ein Standort eine besonders hohe Upload-Leistung, zum Beispiel für Videokonferenzen oder die
Übertragung von Video-Streams ins Internet, lässt sich dies durch die Integration von UMTS- oder
SDSL-Zugängen sicherstellen. Ist eine hohe Bandbreite im Downstream nötig, bringt das
Zusammenschalten mehrerer schneller ADSL-Leitungen den gewünschten Effekt. In Regionen ohne
DSL-Anbindung kann das Zusammenschalten mehrerer UMTS-Zugänge mit verfügbaren DSL-light-Leitungen
oder Richtfunkstrecken für eine konkurrenzfähige Anbindung sorgen und damit einen
Wettbewerbsvorteil gegenüber lokalen Konkurrenten darstellen.
Auch für mobile Anwendungen ist der Multichannel VPN Router geeignet. In einer kompakten
Desktop-Variante, die bis zu drei Zugänge bündeln kann, bietet das Gerät vielfältige
Einsatzszenarien für Road Warriors, Home Offices oder Roadshows und andere ortsungebundene
Veranstaltungen.
Sicherheit durch Verschlüsselung
Das Verfahren eignet sich auch für den geschützten Versand von sicherheitsrelevanten oder
vertraulichen Daten. Der verwendete Verschlüsselungsstandard soll nicht nur für eine sichere
Codierung der versendeten Daten sorgen, er macht sie laut Hersteller für potenzielle Angreifer auch
noch unsichtbar. Anders als bei IPSec ist der Datenverkehr durch die Verwendung von SSL von außen
nur schwer von anderen TCP/IP-Paketen zu unterscheiden. Hinzu kommt, dass die Daten auf mehrere
Leitungen verteilt und damit Provider-Backbones separat verschlüsselt werden. So werden über den
VPN-Tunnel verschlüsselte, unvollständige Daten verschickt, die nur schwer als solche zu erkennen
sind.
Für viele Unternehmen stellt der Betrieb der Gegenstelle ein K.o.-Kriterium dar, doch gerade
dadurch ergeben sich besondere Möglichkeiten. Unternehmen mit eigenem Rechenzentrum können den
Multichannel VPN Hub dort integrieren und vollkommen unabhängig ihr Netzwerk administrieren. Der
Betrieb einer eigenen Gegenstelle ebnet den Weg für flexible Netzwerkausweitungen. Das Netzwerk
passt sich den wechselnden Unternehmensanforderungen flexibel und individuell an, ohne dass
Veränderungen im Rechenzentrum vorgenommen werden müssen. Ein besonderes Hub-Redundanzsystem bringt
zudem eine besonders hohe Verfügbarkeit der Gegenstelle. Dies soll den Wartungsbedarf minimieren.
Die monatlichen Kosten für den Betrieb eines solchen Netzwerkes auf Basis gebündelter
Internet-Zugänge liegen deutlich unter denen von MPLS-Lösungen. Dies liegt an der Option,
marktübliche Privatkundenangebote so zu veredeln, dass sie professionellen Anforderungen genügen.
Gleichzeitig erhöhen sich aber auch Performance und Verfügbarkeit der Anbindung.
Lesen Sie mehr zum Thema
