Das Internet wird von großen und kleinen Unternehmen längst nicht mehr nur zum Abruf und Versand von E-Mails oder für den Betrieb von Online-Shops verwendet. Vielmehr bildet es die Grundlage, um Mitarbeiter und Partner jederzeit und überall auf unternehmenseigene, nicht öffentliche Daten zugreifen zu lassen - beispielsweise auf ein Warenwirtschaftssystem oder spezielle Finanz- und Kundendaten. Auch die Sprachkommunikation wird heute immer öfter über das Unternehmensnetz und darüber hinaus auch über das Internet abgewickelt.
Weitere TK-Ratgeber:
Zum Schutz der Kommunikation innerhalb eines Unternehmens ist die Wahl des richtigen Virtual Private Network (VPN) unerlässlich. Nicht jedes VPN ist für jede Anwendung geeignet, und auch das hausinterne LAN muss zu den Diensten und Anwendungen passen.
Selbstgemacht oder gemanagt?
"Eine kostengünstige, aber anspruchsvolle Methode ist ein so genanntes Self-Made-VPN auf IPsec- oder SSL-Basis", sagt Peter Griesbeck, Leiter Consulting der Business Unit Managed Services beim Kölner Telekommunikationsanbieter QSC. "Hier nutzt der Anwender einfach öffentliche Internet-Strecken und verbindet seine Standorte über VPN-Hardware an den Endpunkten miteinander."
So kostengünstig ein solches Self-Made-VPN auf den ersten Blick auch sein mag, so eingeschränkt ist es in seiner Nutzbarkeit. Über ein eigenes virtuelles Netz lassen sich heute weitaus mehr Anwendungen und Dienste abwickeln als mit einem einfachen IPsec- oder SSL-VPN. Außerdem ergeben sich über gemanagte VPN-Dienstleistungen eine ganze Reihe Optimierungs- und vor allem Einsparmöglichkeiten für Unternehmen: "Während bei IPsec- und SSL-VPNs an jedem Standort eine spezielle Hardware notwendig ist, um Standorte über öffentliche Netzstrukturen zu verbinden, kommt das vom Carrier gemanagte MPLS-VPN ohne spezielle Hardware aus, da es netzbasiert funktioniert und über das Backbone des Anbieters realisiert wird", schildert Griesbeck die unterschiedlichen Ansätze zur Unternehmensvernetzung.
VPN im privaten Netz
MPLS steht für Multi Protocol Label Switching. Der Carrier kann in einem solchen Netz die jeweiligen Verbindungswege der Datenpakete vorher festlegen und somit zusätzliche Qualitätsmerkmale sicherstellen. Anbieter, die über ein Next Generation Network (NGN) verfügen, sind in der Lage, bestimmte Dienste vom Ende zum Ende, also beispielsweise von der Zentrale bis zur Zweigstelle, mit hoher Priorität zu behandeln und dementsprechend bevorzugt durch das Netz zu leiten. Eine Fähigkeit, die als Class of Service (CoS) bezeichnet wird.
Diese Möglichkeiten ergeben sich nur deshalb, weil die Daten innerhalb eines privaten Netzes übertragen werden und alle Netzkomponenten im direkten Zugriff des IP-Carriers liegen. Das geht bei einem selbstgebauten VPN nicht, da der Datentransfer von Standort zu Standort innerhalb öffentlicher Strukturen im Internet erfolgt. Zudem durchlaufen die Datenpakete hier eine heterogene Landschaft verschiedener Netzkomponenten, -übergänge und womöglich auch unterschiedlicher Provider. Dies kann sich bei zeitkritischen Anwendungen wie der Sprachübertragung innerhalb eines VPN negativ auswirken.
Mit dem Konzept der Class of Service (CoS) lassen sich Bandbreitenengpässe beim gleichzeitigen Einsatz unterschiedlicher Anwendungen innerhalb eines VPN elegant umschiffen. So können den unterschiedlichsten Applikationen Bandbreitenanteile in verschiedenen Abstufungen je nach Lastsituation auch dynamisch zugewiesen werden. "Wenn Sie beispielsweise IP-Telefonie nutzen, könnte ein gewisser Prozentsatz der zur Verfügung stehenden Bandbreite für die Sprachsignalisierung und Sprachdatenübertragung reserviert werden", veranschaulicht QSC-Manager Griesbeck: "Ein kleinerer Prozentsatz für Ihre Terminal-Server-Anwendung und der Rest für den übrigen Datenverkehr."
Erst Class of Service macht eine gewisse Dienstegüte, also jeweils eine bestimmte Quality of Service (QoS), möglich. QoS und CoS sind heute bei der Konvergenz von Sprache und Daten ein Muss.
Ferner sind bei einem Self-Made-VPN durch die IPsec-Appliances QoS und CoS häufig nur ausgehend, aber nicht eingehend nutzbar. Zudem unterliegen diese Appliances zusätzlichen Lizenzmodellen, die meistens mit Feature- und Erweiterungskosten verbunden sind. Diese müssen dann in regelmäßigen Abständen bezahlt und gegebenenfalls automatisch per Update installiert werden. Das können nur ausgebildete IT-Fachleute, es führt also zu weiteren Personal- und Wartungskosten.
Bessere Sprachqualität
Bei einem voll vom Carrier gemanagten MPLS-VPN müssen dagegen keine weiteren Kosten für den Betrieb, die Pflege und die Instandhaltung des VPN eingeplant werden. Diese Aufgaben übernimmt der Carrier durch den netzbasierenden Ansatz in vollem Umfang, so dass der Anwender sich auf sein Kerngeschäft konzentrieren kann.
Für voll gemanagte VPNs spricht auch die Konsolidierung der IT- und TK-Umgebung im Unternehmen. Mit Hilfe einer Sprach-Daten-Priorisierung ist es möglich, mit geeigneten TK-Anlagen auch im Business-Umfeld mit hoher Sprachqualität über ein MPLS-Netz zu telefonieren. "Knacken und Rauschen oder gar Verbindungsabbrüche sind Schnee von gestern", versichert Griesbeck.
Egal ist bei diesem Ansatz, über welchen Zugang, sei es per DSL, Leased Lines, Richt- oder Mobilfunk, die Standorte oder mobilen Mitarbeiter auf das VPN zugreifen. Außerdem benötigt kein Standort zusätzlichen Internet Access. Dieser wird zentral durch das MPLS-VPN beispielsweise vom Hauptstandort oder direkt aus dem VPN heraus zur Verfügung gestellt. Das schafft ein hohes Sicherheitsniveau: Nur ein durch eine Firewall und optional weitere, gegebenfalls mehrstufige Sicherheitsmechanismen geschützter Zugang ins öffentliche Internet sichert alle angeschlossenen Standorte gegen Angriffe von außen optimal ab.
Netzbasierende mandantenfähige TK-Anlagen, so genannte IP-Centrex-Anwendungen, ermöglichen darüber hinaus einen homogenen Auftritt aller Standorte unter einheitlichen Rufnummern. Kein Standort muss in weitere Hardware für zusätzliche Anlagen investieren.
Allerdings muss der Anwender einige Vorarbeit leisten. "Das LAN eines jeden Standorts muss natürlich über gewisse Qualitätsmerkmale verfügen, um die Leistung eines MPLS-VPN aufrechtzuerhalten", erklärt Griesbeck. Hierzu sind zwar keine Highend-Komponenten erforderlich, aber Geräte wie Router und Switches sollten Datenpakete auch innerhalb des Unternehmens nach den unterschiedlichen Anforderungen priorisiert behandeln. Dies gilt insbesondere für die Sprachübertragung über IP.
Hinzu kommen oft noch triviale Probleme mit der hauseigenen IT, wie Griesbeck an einem Beispiel veranschaulicht: "Als Kunde erwartet der Anwender von einem gemanagten MPLS-VPN zu Recht höchste Verfügbarkeit. Vor Ort sind dann zwar Server redundant aufgestellt, werden aber über eine einzige Billigsteckdose aus dem Baumarkt betrieben." Ein anderer Klassiker ist der Einsatz von Systemen zur unterbrechungsfreien Stromversorgung, die zwar die Rechner abdecken, aber für Komponenten wie Router und Switches nicht bereitstehen. (Computerwoche/haf)