Grundlagen moderner Netzwerktechnologien im Überblick – Teil 97 Strukturprotokolle der Datenkommunikation – VPNs und mandantenfähige Netze

Autor / Redakteur: Dr. Franz-Joachim Kauffels / Dipl.-Ing. (FH) Andreas Donner

Virtual Private Networks (VPNs) sind sicherlich die eleganteste Möglichkeit zur Durchsetzung des vielfach gewünschten Konzepts der mandantenfähigen Netze. Sie bieten mehr Möglichkeiten als VLANs und sind konstruktiv nicht auf LAN-Umgebungen beschränkt. Dieser Beitrag befasst sich mit dem Entwicklungshintergrund und den sich aus dieser Konstruktion ergebenden Vorteilen. Im nächsten Teil geht es um technologische Alternativen für die Realisierung von VPNs

Ein VPN ermöglicht geschützte virtuelle Punkt-zu-Punkt-Vebindungen über „öffentliche“ Netze; Bild: Dr. Franz-Joachim Kauffels
Ein VPN ermöglicht geschützte virtuelle Punkt-zu-Punkt-Vebindungen über „öffentliche“ Netze; Bild: Dr. Franz-Joachim Kauffels
( Archiv: Vogel Business Media )

VPN steht für Virtual Private Network, ein Netz also, welches virtuell und privat ist. Ein VPN besteht damit aus einer Menge geschützter Verbindungen auf einer allgemeinen Netzwerk-Infrastruktur. Der Schutz besteht darin, dass nur die für das VPN definierten Teilnehmer miteinander kommunizieren können und die Nachrichten für alle anderen Netzwerk-Stationen, die ebenfalls die allgemeine Netzwerk-Infrastruktur benutzen, nicht sichtbar sind.

Entwicklungshintergrund

Ein einfaches Beispiel für ein VPN wäre eine Menge von Vereinbarungen in einem Unternehmens-LAN. Man möchte erzielen, dass z.B. ausschließlich die Mitarbeiter der Personalabteilung oder die der Entwicklungsabteilung miteinander kommunizieren. Diese Kommunikation ist für alle anderen Teilnehmer, also z.B. die Buchhaltung, die Logistik oder die Fertigung nicht sichtbar und sie können auch nicht daran teilnehmen.

Es sind hierfür eigentlich nur zwei Voraussetzungen nötig. Man braucht LAN-Switches mit VPN-Fähigkeit und Verschlüsselung. VPN-Fähigkeit eines LAN-Switches bedeutet, dass man der Menge der am LAN beteiligten Switches explizit mitteilen kann, wer mit wem kommunizieren darf und die Switches das auch durchsetzen. Man definiert ein VPN gegenüber den Switches als geschlossene Benutzergruppe. Die Switches sorgen dann mit internen Mitteln dafür, dass Datenpakete nur innerhalb der definierten Teilnehmergruppe weitergeleitet werden. Dafür gibt es verschiedene Methoden, die wir hier nicht weiter diskutieren wollen. Fest steht aber, dass alle führenden Hersteller für den größten Teil ihrer Geräte die Möglichkeit der Definition von VPNs bieten.

Hier ist dann auch der gravierende Unterschied zu VLANs. VLAN-Strukturierung erzielt man über Adressgruppierung, VPNs benutzen Adressgruppierung und Verschlüsselung.

Die Daten der VPN-Teilnehmer fahren dann sozusagen mit allen anderen Daten gemischt auf dem LAN herum. Sie können von allen anderen Teilnehmern nicht empfangen werden, und wenn, würde dies aufgrund der Verschlüsselung nichts nützen. Nun wäre es aber ausgesprochen schade, das Konzept der VPNs auf lokale Netze zu beschränken, weil es grade auf anderen Netzen einen besonderen Mehrwert entfalten kann.

Aufbau wie beim Telefonnetz

Vom Telefonieren sind wir seit mehreren Jahrzehnten gewöhnt, dass es ein Telefonnetz gibt, über das alle Telefonate laufen. Dennoch erzeugt dieses Telefonnetz Punkt-zu-Punkt-Verbindungen, die für die Teilnehmer individuell erscheinen. In Wirklichkeit benutzen die Telco-Provider aber Glasfaser-Backbones mit enormer Gesamtleistung. Auf einer einzigen Glasfaser können durch entsprechende Technologien Hunderttausende Telefonate durch passende Multiplexverfahren gebündelt werden. Erst im Teilnehmeranschlussbereich werden die Telefonate im Rahmen der so genannten plesiochronen oder synchronen Netzwerkhierarchie entbündelt.

Zwischen zwei Telefonteilnehmern besteht streng genommen für die Dauer des Telefonats ein ganz kleines VPN. Das Konzept lässt sich aber beliebig erweitern. Wenn Nebenstellenanlagen über das Netz des Telco-Providers zusammengeschaltet werden, bündeln diese Anlagen die Teilnehmerverbindungen selbst und das VPN entsteht zwischen diesen Anlagen, um nur ein Beispiel zu nennen.

Heute verwendet man hauptsächlich VoIP. Auf praktisch allen Netzen werden die VoIP-Pakete wüst mit beliebigen anderen Ethernet Paketen zur Übertragung gemischt. Auch hier ist natürlich ein VPN eine segensreiche Konstruktion.

Das Konzept des VPNs ist also ausgesprochen universell und löst vor allem sehr elegant Probleme.

Die Telco-Provider entwickeln ihre Netze permanent weiter. Wegen der enormen Teilnehmerzahl und der daraus entstehenden Komplexität existieren bei einem Provider oftmals ältere und moderne Lösungen nebeneinander und kooperieren über entsprechende Standardschnittstellen. Andererseits besteht zwischen dem Provider und dem Nutzer eines Telekommunikationsdienstes ein Service-Kontrakt. Dieser legt fest, wie und über welche Schnittstelle (DSL, Ethernet, ATM, ...) der Provider seine Dienstleistung zu erbringen hat und in welcher Weise auf Störungen zu reagieren ist. Der Gesamt-Leistungsumfang bestimmt den Preis, den der Nutzer für diese Dienstleistung bezahlen muss.

Der Provider kann sein eigenes Netz nur dann weiterentwickeln, wenn er die Diensterbringung an den Schnittstellen und die interne Struktur des Netzes sauber trennt. Das macht er dadurch, dass er die Dienstleistung ab einer gewissen Stufe virtualisiert. Dies bedeutet, dass zwei Teilnehmer eine Verbindung immer als individuell empfinden, auch wenn sie in Wirklichkeit mit Abertausenden anderen Verbindungen im Netz des Providers gemischt werden.

Heute kann man folgende konstruktive Alternativen differenzieren:

  • VPN mit LAN-Switches im Unternehmensnetz
  • VPN realisiert über das Backbone eines Carriers bzw. Telco-Providers
  • VPN realisiert über das allgemeine Internet

Grade die letzten zwei Alternativen werden oft miteinander verwechselt, obwohl sie qualitativ überhaupt nicht vergleichbar sind. Wir werden gerade diese Thematik noch weiter ausführen, weil sie wirklich brisant ist.

weiter mit: Geschützte Virtuelle Verbindung im WAN

Artikelfiles und Artikellinks

(ID:2049527)