Access-Router für den Mittelstand
Umfangreiches Serviceportfolio
Bei den Access-Routern hält der Trend zur weitreichenden Integration häufig benötigter Zusatzfunktionen ungebrochen an. Im Extremfall reduziert sich die Access-Komponente fast zur Marginalie, wie dies etwa bei Cisco der Fall ist. Zu den aktuellen Trends bei Geräten für den Mittelstand zählt beispielsweise die Bündelung unterschiedlicher kostengünstiger Access-Leitungen wie DSL- oder Kabelzugänge. Teure Standleitungen sind dann verzichtbar.
Die klassische Spezies der Access-Router verbreitet sich schon seit geraumer Zeit auf die
verschiedensten Arten von Gerätschaften. Je nach Kernfunktion nennen sich diese Beitband-Router,
Integrated Access Device (IAD), DSL-Router, IP- oder IP-WAN-Router, WLAN-Router, oder VPN-Router
beziehungsweise -Gateway. Cisco macht es einmal mehr auf ganz eigene Weise: Das Unternehmen hat
schon vor Längerem seine Produkte, die als Access- und VPN-Router tituliert waren, aus dem Programm
genommen. Stattdessen existiert seither eine differenzierte Palette von Integrated-Services-Routern
(ISR). Die Access-Komponente ist dabei nur ein Merkmal von vielen, der Schwerpunkt liegt – wie die
neue Bezeichnung zutreffend ausweist – im Bereich der integrierten Services.
Zu diesen zählen hier Sicherheit, Voice over IP (VoIP) sowie Wireless-Technik. Funktionen wie
Virtual Private Networks (VPN), Intrusion-Prevention-Systeme (IPS), IP-Telefonie, Wireless LAN etc.
sind unter einem gemeinsamen Dach vereint. Laut Cisco lassen sich alle Dienste zeitgleich ohne
Performance-Einbußen ausführen. Vor allem bei den Wartungs- und Betriebskosten bringt dieser Ansatz
Vorteile für die Nutzer.
In gewissem Umfang finden sich servicezentrische Access-Router-Lösungen auch bei anderen
Anbietern. So bezeichnet etwa Lancom Systems ihr neues Einstiegsmodell (Lancom 1821+) für die
professionelle Standortvernetzung als "Business-VPN-ADSL2+-Router mit WLAN". Neben dessen
Grundfunktion als VPN-Gateway sind hier mit einer Stateful Inspection Firewall einschließlich
Intrusion Detection und Denial of Service Protection ebenfalls zusätzliche Security-Mechanismen
integriert. Darüber hinaus ist auch WLAN samt zugehörigen Sicherheitsfunktionen (Authentifizierung
nach IEEE 802.1X und EAP mit Key-Rollover, WEP128/152, IEEE 802.11i/WPA2 und Multi-SSID) an Bord.
Optional sind SIP-Proxy- und -Gateway-Funktionen aktivierbar, womit sich das Modell auch für den
VoIP-Betrieb einsetzen lässt. Ein solcher Proxy ist für die Sicherheit der WAN-Verbindung zum
SIP-Provider unverzichtbar. Er überwacht den Signalisierungsprozess zwischen IP-Telefon und
SIP-Provider und nimmt die notwendigen NAT- (Network Address Translation) und Firewall-Freigaben
für die Dauer der Kommunikation vor, idealerweise dynamisch.
Modular aufgebautes Funktionsangebot
Bei der Auswahl von Access-Routern gilt es, mit gebotenem Weitblick zu eruieren, welcher
Gerätetyp für das Unternehmen am sinnvollsten ist. Als großes Plus ist zu werten, wenn sich
Funktionen und/oder Leistungsstufen modular nach Bedarf nachrüsten lassen. Ein Beispiel für
Letzteres ist die Zahl unterstützter VPN-Kanäle. Oft existieren günstige Einstiegskonfigurationen
von zwei bis etwa zehn Kanälen, die sich dann bei wachsenden Anforderungen auf mehrere zig
beziehungsweise Hundert aufstocken lassen – am besten in mehreren Stufen. Wichtig ist ein jeweils
passender VPN-Hardwarebeschleuniger, der die aufwändigen Verschlüsselungsfunktionen einer
entsprechenden Zahl von VPN-Tunneln ohne spürbare Verzögerung bewältigt. Bei den VPN-Kanälen sollte
selbstverständlich sein, dass diese den IPSec-Standard mit 3DES- und AES-Verschlüsselung
unterstützen.
Bei den WAN-Interfaces lassen sich grundsätzlich zwei Kategorien unterscheiden: integrierte und
externe. Wer sich bei der Access-Technologie nicht binden will, für den empfehlen sich
Access-Router, die neben dem auf eine bestimmte DSL-Technologie ausgerichteten WAN-Anschluss
(entsprechendes DSL-Modem integriert) einen oder mehrere frei konfigurierbare (LAN-)/WAN-Ports
bieten. Es handelt sich dabei meist um 10/100-Ethernet-Schnittstellen, die sich mit beliebigen
Breitbandmodems verbinden beziehungsweise – falls im WAN nicht benötigt – auch als LAN-Ports
konfigurieren lassen. Mehrere WAN-Ports bringen auch höhere Performance und verbesserte
Ausfallsicherheit. Wichtig ist in diesem Zusammenhang die Unterstützung von VLANs (Virtual LANs)
und Load Balancing.
Sinnvoll dürfte meist auch ein ISDN-Port als WAN-Interface sein: Beim Ausfall der
Breitbandleitung lässt sich hierüber eine behelfsmäßige Lowspeed-Verbindung herstellen. Wichtiger
ist dieser Port aber eher, um darüber Outband-Verwaltungsfunktionen durchführen zu können. Zudem
lassen sich über eine zugehörige ISDN-CAPI Funktionen realisieren, die über DSL noch Probleme
bereiten – wie etwa Telefax-Kommunikation.
Kanäle bündeln und Lasten balancieren
Für viele Unternehmen kann es heute interessant sein, bei ihrer WAN-Anbindung anstelle einer
nach wie vor vergleichsweise teuren Standleitung einen Access-Router einzusetzen, der in der Lage
ist, mehrere günstige (und dabei oft schnellere) DSL-, Kabel-, oder UMTS-Anschlüsse etc. zu bündeln
– eventuell auch in gemischten Kombinationen. Im Gegensatz zum Load Balancing, das mehrere
Datenströme entsprechend der verfügbaren Leitungskapazität verteilt, geht es bei der Bündelung vor
allem darum, einen einzigen Datenstrom auf mehrere Ports zu verteilen. Zum einen lässt sich so die
Übertragungsrate steigern, zum anderen erhöht ein Mix unterschiedlicher Anschlüsse die
Verfügbarkeit, da es recht unwahrscheinlich ist, dass gleichzeitig beispielsweise alle DSL- und
Kabelmodem-Verbindungen ausfallen.
Bei DSL ist allerdings die bei den meisten Varianten vorherrschende Asynchronizität
(unterschiedliche Geschwindigkeiten für den Up- und Downstream) ein Grund dafür, warum sich die
Bündelung nur sehr schwer realisieren lässt. Ein weiterer entscheidender Grund sind die stark
schwankenden Paketlaufzeiten über mehrere DSL-Anschlüsse. Dies führt zu erheblichen Verlusten,
sodass sich bei zwei Leitungen keineswegs die doppelte Übertragungsrate erzielen lässt, sondern nur
etwa die 1,2- bis 1,4-fache. Sind mehr als zwei Leitungen involviert, steigen die Verluste noch
stärker an.
Das deutsche Unternehmen Viprinet hat zur CeBIT 2007 mit dem "Multichannel VPN Router" eine
Lösung für diese Probleme angekündigt: Der Schlüssel ist ein eigener TCP/IP-Stack unter Linux, der
die Pakete unter Beachtung der Merkmale für die Servicequalität (QoS) auf die DSL-Anschlüsse
verteilt. Auch VoIP soll so mit mehreren DSL-Zugängen kein Problem sein. Die Software läuft auf
einer 19-Zoll-Appliance, in die sich bis zu sechs DSL- oder andere Module einschieben lassen.
Aktuell existieren Module mit Modems für ADSL, ADSL2+, ISDN sowie Ethernet. Laut Viprinet sollen
sich die Module sogar während des laufenden Betriebs austauschen lassen, ohne eine bestehende
Verbindung zu gefährden. Via Ethernet bietet auch diese Access Appliance die Option, noch andere
Breitbandvarianten zu nutzen – dann allerdings mit externem Modem. Kürzlich kamen die Seriengeräte
in den Handel, und bis zur nächsten CeBIT will Viprinet auch ein Kabel- und ein UMTS-Modul
anbieten.
Management als zentrales Kriterium
Neben Performance und Sicherheit gehört bei Access-Routern für den Mittelstand auch das
Management zu den wichtigen Auswahlkriterien. Dazu zählen etwa eine Browser-basierende
Benutzeroberfläche, sowie eine differenzierte Rechte- und Nutzerverwaltung. Ein
Konfigurations-Wizard kann hilfreich sein, wenn fachlich ungeschultes Personal die Installation
oder Administration vornehmen muss – was jedoch eher nicht zu empfehlen ist. Besser wäre die
Nutzung einer SSH-verschlüsselten Verbindung, über die sich der Fachmann beispielsweise von einer
anderen Geschäftsstelle oder der Zentrale aus gesichert in das Geschehen einklinken kann. Für die
Verwaltung von Benutzern und ihren Rechten ist es hilfreich, wenn die Router nicht nur als
PPPoE-Client (Point-to-Point Protocol over Ethernet), sondern auch als PPPoE-Server fungieren
können, um den einzelnen Benutzern unterschiedliche Berechtigungen zuteilen zu können. Existiert
außerdem eine Scheduling-Funktion, lassen sich Rechte auch automatisch zeitlich begrenzt erteilen.
Nutzer von Internetzugängen mit dynamischer IP-Zuweisung freuen sich wiederum über die
Unterstützung von dynamischem DNS (DynDNS) im Router, die kompatibel zu führenden europäischen
DynDNS-Anbietern sein sollte. Je mehr Provider dort bereits vorkonfiguriert sind, desto einfacher
gestaltet sich die Nutzung.
Bei integriertem WLAN ist ein übersichtliches Management besonders wichtig. Über eine zentrale
Konsole sollten alle Access-Router ebenso wie eventuell zusätzlich vorhandene Access Points
gemeinsam verwaltbar sein. Wichtig erscheint dabei, dass Teilkonfigurationen wie Funkeinstellungen,
Verschlüsselung oder Access-Control-Listen (ACL) für mehrere Access Points gleichzeitig
durchführbar sind. Die Verfügbarkeit eines Gruppenordners spart viel Arbeit: Änderungen an der
Gruppenkonfiguration lassen sich dann automatisch an alle zugewiesenen Geräte übertragen. Einige
Anbieter wie zum Beispiel Lancom bieten zudem Visualisierungs-Tools an, über die zentrale
Statusabfragen sowie die Überwachung des kompletten drahtlosen Netzwerks realisierbar sind –
inklusive Anzeige der fehlgeschlagenen Authentifizierungen und versuchten "Einbrüche".
Fazit
Wer die genannten Tipps beherzigt, sollte recht schnell die Spreu vom Weizen trennen können.
Eventuell ist noch auf weitere Zusatzfunktionen zu achten wie beispielsweise die Ausstattung mit
einem USB-2.0-Host-Port, um etwa Drucker und externe Festplatten zentral über den Access-Router
nutzen zu können.
Lesen Sie mehr zum Thema
