VPNs (virtuelle private Netze) sind zur Zeit in aller Munde. Doch nicht jeder, der von VPNs spricht, meint damit dasselbe. Hier herrscht ein unpräziser Sprachgebrauch: VPN hat sich zu einem Modewort entwickelt und wird als Oberbegriff für eine Reihe von unterschiedlichen privaten Netzwerken verwendet.
Internet-Service-Provider benutzen den Ausdruck, um ihren IP-Back-bone zu bewerben. Der Netzwerkadministrator spricht vom VPN seines Unternehmens, meint aber tatsächlich das firmenweite Corporate WAN (Wide Area Network).
Häufig wird nicht unterschieden, ob das Netzwerk mit leitungsvermittelnden Lösungen wie Wähl- und Festverbindungen, paketvermittelnden Technologien wie Frame Relay und ATM (Asynchronous Transfer Mode) oder über das Internet - mit Hilfe des Internetprotokolls TCP/IP - aufgebaut wird. Netzbetreiber verstehen darunter in der Regel den Aufbau eines Netzes für eine geschlossene Benutzergruppe, bei dem ausschließlich die eigene Infrastruktur und die eigenen Dienste zum Einsatz kommen.
Ein Begriff, viele Vernetzungsalternativen
Die Definition eines virtuellen privaten Netzwerks ist freilich eindeutig. Der Begriff VPN bezeichnet ein unternehmensweites Netzwerk, das auf die Infrastruktur und Dienste eines oder mehrerer öffentlicher Netzanbieter zurückgreift und dabei als eine getrennte logische Einheit gilt. Es entsteht ein quasi privates Netzwerk, das einem geschlossenen Benutzerkreis Dienste und Anwendungen zur Verfügung stellt, wie sonst nur das eigene Unternehmensnetz.
Der Ausdruck VPN allein gibt demnach noch keine Auskunft über die eingesetzte Netz-infrastruktur. Als Vernetzungsalternativen stehen den Kunden außer leitungsvermittelnden Wähl- auch Festverbindungen zur Verfügung, um damit die Distanz zwischen dem eigenen Unternehmensstandort und dem nächstgelegenen PoP (Point of Presence) des Service-Providers zu überbrücken. Die Einwahl erfolgt dabei über einen Einwahlserver mit Hilfe von ISDN-Karten, klassischen Modems oder mittels Router.
Nachteil dieser Lösungen sind die niedrigen Übertragungsraten, die bei analogen Verbindungen 56 Kbit/s und bei digitaler Einwahl 64 oder 128 Kbit/s betragen. Dieser Durchsatz erlaubt lediglich einen sporadischen Datenaustausch, für zeitkritische Anwendungen ist die Lösung oft nicht geeignet. Außerdem bleiben die Kosten bei Wählverbindungen eine unbekannte Größe, da Service-Provider nach tatsächlich genutzten Minuten, und nicht zum monatlichen Festpreis abrechnen.
Im Gegensatz zu Wählleitungen bietet der Aufbau über Festverbindungen mehr Kalkulationssicherheit und sorgt mit Durchsatzraten von 64 Kbit/s bis zu 2, 10 beziehungsweise 34 Mbit/s selbst bei Multimedia- und ERP-Anwendungen für eine optimale Performance. Sind Systeme wie Mail- oder Datenbankserver zentral im Hauptstandort eines Unternehmens vorhanden, sollten deshalb Festverbindungen für die Vernetzung der Niederlassungen mit der Zentrale bereitgestellt werden.
Diese gemieteten Leitungen sind jedoch häufig kostspielig, vor allem, wenn die Standorte über mehrere Länder oder gar weltweit verteilt sind. Ein multinationales Unternehmen, das all seine Büros in ganz Europa miteinander vernetzen möchte, kann durchaus mit jährlichen Telekommunikationskosten in Millionenhöhe rechnen.
Denn außer den einmalig anfallenden Installationskosten für die benötigte Hardware, etwa für die Router, und für die Freischaltung der Leitungen entstehen nicht unwesentliche monatliche Fixkosten. Diese regelmäßigen Gebühren sind abhängig von der benötigten Bandbreite und der jeweiligen Streckenlänge - je exotischer der Standort und je größer die Bandbreite, umso höher die monatliche Belastung.
Private Netze bieten genügend Bandbreite
Frame Relay und ATM sind die Techniken, die bislang überwiegend zum Aufbau eines privaten Netzwerks zum Einsatz kamen. Frame Relay ist eine verbindungsorientierte Netzwerktechnologie, die Pakete zum Transport von Informationen verwendet. Es nutzt im Wesentlichen nur die unteren zwei Schichten des OSI-Referenzmodells (Open System Interconnection) und bietet mit dieser relativ einfachen Struktur optimale Voraussetzungen zum Transport der unterschiedlichsten Netzwerkprotokolle.
Im Gegensatz zum früher eingesetzten X.25-Standard erfolgt bei Frame Relay die Kanalbildung auf der Ebene zwei des OSI-Modells. Jede virtuelle Verbindung erhält an der Schnittstelle zum Frame-Relay-Netzwerk einen lokalen DLCI (Data Link Connection Identifier). Über diese Adressierungserkennung identifiziert sich eindeutig jede logische Verbindung, wodurch auf einer physikalischen Leitung mehrere unterschiedliche Datentransfers gleichzeitig stattfinden können.
Die dabei erzielten Übertragungsgeschwindigkeiten von 64 Kbit/s bis zu 2 Mbit/s mögen auf den ersten Blick für zeitkritische Anwendungen als ungenügend erscheinen, doch sorgt hier die Netzwerktechnologie selbst für eine ausreichende Bandbreite. Denn an der Schnittstelle zum Frame-Relay-Netzwerk kann jeder logischen Verbindung eine so genannte Committed Information Rate (CIR) zugeteilt werden. Diese Zahl gibt die Übertragungsrate an, die das Netzwerk für diese spezielle Applikation reserviert hat. Sie sollte in etwa der Grundlast des Netzwerks entsprechen.
Mit der "Excess Burst Size" legt der Systemadministrator die maximal erlaubte Datentransferrate innerhalb einer bestimmten Zeit fest. Zeitlich eingeschränkte Spitzen oberhalb der CIR übertragen Service-Provider hingegen in der Regel kostenlos. Die Zugangsleitung zum Frame-Relay-Knoten - ein wesentlicher Kostenfaktor - sollte dabei mindestens doppelt so groß dimensioniert werden wie die CIR selbst, nur dann kommen die Vorzüge von Frame Relay voll zur Geltung.
Großer Pluspunkt eines Frame-Relay-Netzes ist außerdem seine re-lative Unbedenklichkeit in puncto IT-Sicherheit. Da ein Frame-Relay-Netzwerk in der Regel über keinen direkten Zugang zum öffentlichen Internet verfügt, können die Daten durch Hacker nicht ausspioniert werden.
Das "klassische" VPN nutzt typischerweise das Internet als Transportplattform und gewinnt aufgrund seiner flexiblen Einsatzmöglichkeit zunehmend an Bedeutung. Gemäß einer im Mai 2001 vom Marktforschungsunternehmen Infonetics Research veröffentlichten Studie werden weltweit die Ausgaben für Virtuelle Private Netzwerke im Internet und die damit verbundenen Serviceleistungen bis zum Jahr 2005 um rund 275 Prozent auf insgesamt 48 Milliarden Dollar steigen.
Weltweite Kommunikation mit nur einem Standard
Internetbasiertende VPNs ermöglichen -, vor allem bei internationalen Verbindungen -, beträchtliche Kosteneinsparungen im Vergleich zu herkömmlichen privaten Netzen. Zudem haben die früher erhobenen Einwände bezüglich Sicherheit und Verwaltung bei korrek-tem Sicherheitsmanagement inzwischen an Gewicht verloren. Damit zeichnet sich ein Wandel beim Aufbau von geschäftlich nutzbaren Netzinfrastrukturen ab.
Bisher waren öffentliche und private Netze immer klar voneinander getrennt. Viele Firmen sehen sich aber vor das Problem gestellt, den Kontakt zu externen oder mobilen Mitarbeitern aufrecht zu erhalten. Früher waren das ausschließlich Außendienstler oder Vertriebskräfte, doch heute entscheiden sich mehr und mehr Firmenangehörige, wenigstens einen Teil ihrer Aufgaben als Telearbeiter von zu Hause aus zu leisten. Mit diesen so genannten Remote-Access-Usern steigen auch die Anforderungen an das Firmennetzwerk.
Wenn ein Vertriebsmitarbeiter keinen direkten Zugang zum Firmennetz hat, muss er sich extern über ein Firmenmodem einwählen, was ziemlich teuer werden kann. Hier kommen VPNs ins Spiel. Sie gestatten es, ein privates Netzwerk über ein öffentliches Netz wie das Internet aufzubauen. Hier werden alle Benutzer mittels eines einzigen Standards - des Internetprotokolls IP - miteinander verbunden, und somit entfällt die Einrichtung von speziellen Programmen am Client - das Internet ist von (fast) überall einfach erreichbar.
Ein weiterer Vorteil ergibt sich durch die niedrigen Verbindungskosten im Internet. Zeitabhängige Gebühren werden lediglich für die Einwahl zum nächstgelegenen PoP des Netzanbieters erhoben.
Es muss nicht immer Internet sein
VPN ist nicht gleichzusetzen mit Verbindungen im Internet. Es ist etwa durchaus möglich, ein quasi privates Netzwerk mit dem Protokoll Frame Relay aufzubauen. Dabei nutzt man - gemeinsam mit anderen - den Frame-Relay-Backbone eines Netzbetreibers. Sogar Protokolle wie Novells IPX können über VPNs übertragen werden, falls sie in IP-Paketen verkapselt sind.
Andererseits müssen natürlich nicht alle IP-Netzwerke tatsächlich VPNs sein. Viele Netzbetreiber haben in den letzten Jahren IP-VPNs in ihr Produktportfolio aufgenommen, stellen aber lediglich ihren eigenen IP-Backbone zur Verfügung. Solche privaten IP-Netzwer-ke (PIP) sind geographisch beschränkt, da sie an die Infrastruktur eines einzelnen Carriers gebunden sind.
Außerdem ist die Voraussetzung "virtuell" erst dann erfüllt, wenn keine konkrete physische Basis für den Datenstrom vorgegeben und auch keinerlei Beschränkungen innerhalb des Internet beim Aufbau eines privaten Netzwerks auferlegt werden. In vielen Fällen stößt der Kunde spätestens bei exotischen Vernetzungswünschen, wie in Osteuropa, Afrika oder Asien häufig anzutreffen, an die Grenzen eines einzelnen Providers. Ist der Carrier im gewünschten Land nicht mit einem eigenen PoP vertreten, verweist er im besten Fall auf einen vermeintlichen Partner.
Augen auf bei langen Laufzeiten
Oft leidet die Performance des Unternehmensnetzes darunter, dass viele "Peering Points", also Übergabeknoten zwischen den Netzwerken der verschiedenen Provider, durchlaufen werden müssen. Kommt es zu Schwierigkeiten, liegt das Problem natürlich immer beim anderen Anbieter. Bei der Integration mehrerer Provider in ein WAN-Projekt ist deshalb zu klären, ob und welche Peering Agreements zwischen ihnen bestehen.
Genauer Kontrolle bedarf es auch hinsichtlich der Laufzeit des Vertrages. Viele Carrier locken mit auf den ersten Blick günstigeren Preisen bei längeren - drei- bis fünfjährigen - Laufzeiten. Tatsächlich hat sich aber in den letzten Jahren gezeigt, dass Unternehmen, die sich nur für kurze Zeit an einen Provider binden, aufgrund der günstigen Wettbewerbssituation auf dem Leitungsmarkt bessere Preise erzielen als mit einem langjährigen Vertrag.
Nicht jedes private IP-Netzwerk ist ein VPN
Mit der weiter zunehmenden Bedeutung des Internetprotokolls rüsten viele herkömmliche Carrier und Telekommunikationsanbieter ihre Netzwerke schnell auf IP um. In den letzten Jahren haben beispielsweise BT, AT & T, Uunet und Global Crossing IP-Dienste eingeführt, die von ihnen als VPNs bezeichnet werden.
Global Crossing hat das Banknetzwerk "Swift" im Februar 2001 als das bisher größte VPN angekündigt. Da Swift-Transaktionen jedoch ausschließlich über ein dezidiertes physikalisches Netz, das von Global-Crossing, abgewickelt werden, ist das Ganze eben nicht "virtuell", sondern physikalisch an eine feste Leitung gekoppelt. Dann handelt es sich auch nicht um ein VPN, sondern um ein schlichtes privates IP-Netzwerk.
Was sind VNOs?
Eine besondere Rolle beim Aufbau von virtuellen privaten Netzen kommt den so genannten VNOs (virtuelle Netzwerkoperatoren) zu. Sie übernehmen das VPN als Gesamtprojekt - von der Auswahl der Carrier bis zum Rund-um-die-Uhr-Management des Netzes.
Im Gegensatz zu herkömmlichen Leitungsanbietern bauen diese Dienstleister ein in jeder Hinsicht virtuelles privates Netzwerk auf. Denn sie integrieren je nach Kundenwunsch gleich mehrere Carrier beim Aufbau eines Wide Area Networks (WAN) und sind damit in der Lage, fast jeden Standort weltweit ans Internet anzubinden.
Ein VNO erhält seine Bandbreite von verschiedenen Providern und kann durch deren spezifische Auswahl ein individuelles Netzwerk aufbauen, wobei der Kunde es nur mit einem einzigen "Single Point of Contact" zu tun hat. Damit braucht er sich nicht mit den Carriern und Providern zu befassen, dies alles besorgt der VNO. Außerdem übernimmt er für den Kunden die Überwachung der vereinbarten Service-Level-Agreements (SLAs) beziehungsweise der Peering-Vereinbarungen mit den Netzeigentümern.
Durch seine Unabhängigkeit von Leitungsanbietern achtet der VNO beim Netzwerkaufbau darauf, dass nur so viel Bandbreite eingeplant wird, wie zum performanten Betrieb des WAN tatsächlich notwendig ist. Regelmäßige Vergleiche sorgen dafür, dass der Kunde von eventuellen Preisreduktionen auf dem Leitungsmarkt profitiert. Hier können herkömmliche Carrier nicht mithalten. Denn deren Haupteinnahmequelle ist die Vermietung von möglichst groß dimensionierten Leitungen.
Eine weiteres Geschäftsfeld tut sich für VNOs mit mobilen Diens-ten auf. Immer mehr dieser Dienstleister bietet ihren Kunden integrierte Festnetz- und Drahtloslösungen an. Und laut einer Studie des Marktforschungsunterneh-mens Infonetics Research planen 46 Prozent der befragten Unternehmen, beim Aufbau eines VPNs Teilbereiche oder das gesamt Management an externe Serviceanbieter abzugeben.
*Jörg Zinngraebe ist Leiter Vertrieb WAN-Services bei Vanco.
www.vanco.de
ComputerPartner-Meinung:
Wie der vorliegende Beitrag zeigt, stellt der Aufbau und Betrieb von Wide Area Networks (WANs) ein durchaus lukratives Geschäftsfeld für Systemhäuser dar. IT-Dienstleister, die sich in die VPN-Technologie einarbeiten wollen, haben durchaus noch gute Chancen, hier einzusteigen - vor allem angesichts der Tatsache, dass der Outsourcing-Druck bei den Unternehmen weiterhin stetig wächst, und das in allen IT-Sparten gleichermaßen stark. (rw)