Archiv

Cisco zeigt neues VPN-Protokoll

11.12.2006
Netzwerker Cisco nutzte die ITU Telecom World 2006 in Hongkong, um Carrier- und Service-Provider-Lösungen auf der Basis der "IP Next Generation Network"-Architektur (IP NGN) zu zeigen. Vor allem präsentierte Cisco auch ein "tunnelloses" VPN.

Von Wolfgang Leierseder

Um ein "tunnelloses" VPN (Virtual Private Network) zu ermöglichen, hat Cisco die Verpackungstechnik "Group Encrypted Transport (GET) entwickelt. Ihr Vorteil: Das übliche Punkt-zu-Punkt-Tunneling entfällt; stattdessen werden VPN-Gruppen in Routern - in Branch Office- und einem zentralen Unternehmens-Router - über die Software "Key Server" eingerichtet. Die Mitglieder der Gruppen können privilegiert und sicher über IPSec VPNs nutzen.

Um das zu erreichen, verpackt Cisco IP-Pakete neu: Die für die VPN-Verbindung notwendigen Daten inklusive Verschlüsselung werden vor den ESP-Header (Encapsulating Security Payload) gestellt. Das Standardprotokoll "Group Domain of Interpretation" (GDOI) sorgt dafür, dass die verschlüsselten Daten in der Gruppeninfrastruktur gelesen werden können. Mittels periodischem "Multicast Rekeying" sorgt der Key Server für aktuelle Identitäten der Gruppenmitglieder, wobei er sämtliche neue Schlüssel zu den Branch-Routern schickt und sie mit den Headern der VPN-Mitglieder vergleicht.

Dass dieses Verfahren in Cisco-Umgebungen eine Geschwindigkeitsverbesserung gegenüber IPSec-Tunnels darstellt, erscheint Cisco offensichtlich. Es ermögliche effektiveres Multicasting und die Beibehaltung von Quality of Service (QoS), erklärt der Netzwerker. Zahlen dazu wollte Cisco bislang nicht präsentieren.

Dem amerikanischen Marktforscher Yankee Group Research zufolge vereinigt Cisco derzeit rund 90 Prozent Marktanteil bei Branch-Routern (Niederlassungen und Zweigstellen) auf sich. Entsprechend erklärte Cisco, es werde versuchen, das Protokoll zum Standard zu machen. Vorerst werde es GET als Bestandteil des hauseigenen Betriebssystems IOS, Version 12.4, geben. Zusätzlich sollen die "Integrated Services Router" damit bestückt werden.

Analysten reagierten auf den GET-Vorstoß unterschiedlich. Während Robert Whiteley, Analyst bei Marktforscher Forrester Research, es grundsätzlich begrüßte, dass Cisco VPNs einfacher wolle, erklärte Netzwerkberater Joel Snyder, dass der Cisco-Ansatz IOS zwingend voraussetze. "Wer in einem Nicht-Cisco-Netz ein VPN einrichtet, wird einfach ignoriert." Seiner Meinung nach sollten Cisco und andere Netzwerker sich besser zusammentun, um ein gemeinsames VPN-Protokoll auszutüfteln. Denn ebenso wie der Netzwerkriese arbeiten etwa Juniper und Checkpoint an der Beschleunigung von VPNs über IPSec.

Zeus Kerravala, Analyst bei der Yankee Group, sagte, er wolle erst Beweise sehen, bevor er Cisco abnehmen könne, dass GET "der bessere VPN-Weg" sei.

Zur Startseite