Grundlagen moderner Netzwerktechnologien im Überblick – Teil 98 Strukturprotokolle der Datenkommunikation – VPN-Alternativen und MPLS

Es gibt unterschiedliche Alternativen zur Implementierung von VPNs. Je nach Anwendungsbereich sind sie mehr oder minder sinnvoll und nützlich. Ein sehr wichtiges Standardprotokoll in diesem Zusammenhang ist jedoch MPLS, welches heute auch in sehr großen Netzen erfolgreich eingesetzt wird.

Anbieter zum Thema

ICP Deutschland GmbH

Lenovo Global Technology Germany GmbH

Southern Tech GmbH

Ein VPN kann man auf verschiedene Art und Weise implementieren: Als VPN mit Layer-2-Switching, als VPN über das allgemeine Internet, als VPN mit ATM-Netzen oder als VPN mit MPLS

Alle diese Alternativen haben bestimmte Einsatzbereiche und natürlich alle ihre eigenen Vor- und Nachteile

Im eigenen Corporate Network wird man VPNs mit der ersten Alternative realisieren. Wenn die eingesetzten Switches jünger als 5 Jahre sind, sollten sie das unterstützen. Wenn nicht, muss man sich überlegen, wann man die Switches aufrüstet oder ganz auswechselt. Voraussetzung hierfür ist allerdings eine Durchstrukturierung des Corporate Netzes als reines Ethernet mit IP-Verkehr.

VPNs auf anderen Grundlagen sind zwar denkbar, aber sehr mühsam. Hat man moderne Switches, muss man ihnen eigentlich über eine geeignete Management-Schnittstelle nur mitteilen, welche Stationen bzw. welche IP-Adressen in welches interne VPN fallen. Selbst wenn man von der Seite der Benutzer her keinen Grund für eine VPN-Strukturierung sieht, kann der lokale VoIP-Anlagenverbund ein eigenes VPN brauchen.

Eine weitere klassische VPN-Anwendung ist die Trennung des Verkehrs zwischen WLANAccess Points bzw. WLAN Controllern und dem anderen Verkehr. Das ist vor allem wichtig für die Gewährleistung der Sicherheit des Corporate Networks, weil man auf diese Weise den WLAN-Verkehr vom restlichen Verkehr isolieren kann. Ein eventueller Angriff auf das WLAN kommt dann nur bis zum nächsten VPN-Kontrollpunkt, den man in der Art einer Firewall ausführen kann.

Der lokale Einsatz von VPN-Technologie ist keine zwingende Voraussetzung für die Benutzung von Provider-VPNs im Fernbereich. Allerdings können sich diese Konzepte sehr schön harmonisch ergänzen.

Das Internet als Basis einer VPN-Struktur

Die nächste Alternative wäre die Benutzung des allgemeinen Internets für eine VPN-Struktur. Hier basiert das VPN nicht auf der Netzwerktechnologie, sondern auf der Verschlüsselungstechnik. Die Pakete innerhalb des VPNs werden mit allen anderen Internet-Paketen, die ebenfalls zufällig in die gleiche Richtung unterwegs sind, gemischt und am Zielort entschlüsselt.

Die Verschlüsselung ist hierbei, wenn ein ordentliches Verfahren mit hinreichenden Schlüssellängen (z.B. Triple DES) gewählt wird, sicherlich nicht das Problem. Natürlich muss die Verschlüsselungstechnik einmal eingerichtet und dauerhaft gewartet werden. Schlüssel müssen am besten transaktionsabhängig generiert und entsprechend unterverteilt werden. Das alles sind aber keine unlösbaren Aufgaben.

Von der Infrastruktur her werden keine besonderen Anforderungen an die Geräte gestellt, also man kann in PCs normale Adapterkarten usw. verwenden. Das Problem liegt im Internet selbst. Wie schon gesagt, werden die VPN-Pakete mit den anderen Internet-Paketen gemischt … und erleiden deren Schicksal.

Das bedeutet: meistens kommen sie an, manchmal aber auch nicht. Wie oft und wann das Unheil zuschlägt, weiß niemand so genau. Reaktions- und Verzögerungszeiten sowie komplexere Werte wie die Delay-Varianz lassen sich in einem Internet-Szenario nicht bestimmen. Es ist eben alles rein zufällig. Diese Probleme sind seit langem bekannt und machen vor allem großen Dienstleistungsanbietern, wie eBay, großes Kopfzerbrechen.

Das Internet funktioniert gut für die allgemeinen Zwecke, für die es gedacht ist. Wenn ich eine Seite nicht erreiche oder mitten im Seitenaufbau stürzt die HTTP-Verbindung ab, dann drücke ich eben auf die Aktualisierungstaste des Browsers. Irgendwann wird es schon klappen. Oder eben nicht. HTTP ist ein Protokoll, das nur so lange lebt, bis die gewünschte Seite geholt und abgebildet ist. Dann wird es bis zum nächsten Seitenaufruf deaktiviert und erst wieder aus dem Schlaf geholt, wenn man eine neue Seite möchte. Dies ist aber weit ab von der Qualität, die man üblicherweise mit einer virtuellen Verbindung assoziiert. Wir halten fest:

Internet-basierende VPNs können zwar Kostenvorteile haben, leiden aber unter deutlichen Qualitätsmängeln. Für die gewünschten Qualitätsmerkmale wie Verfügbarkeit, geringes Delay, geringe Delay-Varianz usw. ist das Internet nicht ausgelegt. Internet-VPN-Verbindungen eignen sich daher nur für eine begrenzte Auswahl von bestimmten Anwendungsfällen oder für den absoluten Notfall, aber keineswegs für die professionelle Anwendung!!

Es ist z.B. nichts dagegen einzuwenden, wenn ein Außendienstmitarbeiter an einem abgelegenen Ort, an dem ein Provider-gestütztes VPN nicht verfügbar ist, eine Internet-VPN-Verbindung zu seinem Unternehmen aufbaut. Auch die Benutzung des Internets als Ersatzweg bei einem eventuellen Ausfall eines Provider-Knotens ist für eine kurze Zeit denkbar.

Möchte man aber z.B. VoIP-Anlagen fernkoppeln, nützt einem ein Internet-VPN überhaupt nichts.

Es gibt immer wieder Stimmen, die sagen, dass man heute Internet-VPNs aufbauen solle und sich die Qualität des Internets mit der Zeit verbessern werde. Das tut sie bestimmt, aber die geforderten Qualitätsmerkmale werden wegen der grundsätzlich verwendeten Protokolle mit Sicherheit nicht erreicht.

Verbleiben also noch zwei Alternativen: ATM-VPNs und MPLS-VPNs über Provider-Backbones. Im Bereich der Corporate Netze hat sich ATM nicht durchgesetzt. Die Vorzüge der Ethernet-Technologie waren hier zu stark. Auch im Fernbereich kämpfte ATM gegen Ethernet und hat verloren.

Die L3-Technologie, die sozusagen für VPNs gemacht wurde, ist MPLS.

weiter mit: MPLS – die aktuelle Basis für VPNs

(ID:2049528)