Connectivity in infrastrukturschwachen Regionen

Großer Grenzverkehr

5. Mai 2005, 23:16 Uhr | Dr. Klaus Gheri/jos Dr. Klaus Gheri ist Product Manager und Mitgründer von Phion Information Technologies.

Die Anbindung von Filialen in Regionen mit unzuverlässigen Netzverbindungen kann besondere Probleme verursachen. Eine Lösung will Phion aus Innsbruck mit einem Konzept schaffen, das auf einem so genannten Connectivity-Gateway beruht. Die Funktionen für das Remote-Management sind dabei nur ein Aspekt von vielen.

Viele Unternehmen nutzen bereits die Standortvorteile aufstrebender Wirtschaftsregionen (zum
Beispiel China oder Osteuropa) für ihre Produktion oder sind dabei, sich mit eigenen
Niederlassungen auf wachsenden regionalen Märkten zu positionieren. Voraussetzung für den Erfolg
dieser Strategie sind bekanntermaßen die Integration der neuen Niederlassungen in die bestehende
Netzwerkinfrastruktur sowie die reibungslose Verfügbarkeit aller kritischen Businessapplikationen
und -daten. Für IT-Verantwortliche entsteht daraus eine besondere Herausforderung, denn neben ihrer
wirtschaftlichen Attraktivität verbindet diese Regionen auch ein gemeinsames Problem: die bislang
noch unzureichende Zuverlässigkeit und Verfügbarkeit von Breitbanddatenverbindungen. Fehlende
Leitungstypen, erschwertes Management, aber auch Stromausfälle und rechtliche Besonderheiten
stellen besondere Anforderungen an die Konzeption einer geeigneten Connectivity-Lösung.

Probleme außerhalb der westlichen Industrienationen

Besonders wenn es sich bei den ausländischen Niederlassungen um Fertigungsstätten handelt, die
in einen Just-in-Time-Produktionsprozess eingebunden sind, führen Strom- oder Leitungsausfälle
schnell zu hohen finanziellen Schäden. Aber auch die Störung von CRM- oder ERP-Systemen kann den
reibungslosen Ablauf von Geschäftsprozessen empfindlich beeinträchtigen, sodass ganze Zweigstellen
zur Untätigkeit verurteilt sind. XDSL-Anbindungen, in westlichen Ländern die klassische
Backup-Lösung, stehen meist außerhalb von Ballungsräumen nicht zur Verfügung.

MPLS oder Frame Relay lassen sich zwar als Ausweichmöglichkeiten nutzen, allerdings kann man
hierbei nicht die von westlichen Providern gewohnten Bandbreiten erwarten. Erfahrungsgemäß liegt
bei Frame-Relay-Anbindungen die magische Grenze bei 256 kBit. Ein entsprechender Ausbau verbietet
sich – wie auch der vermehrte Einsatz von ISDN – jedoch aus wirtschaftlichen Gründen. Daher stellt
in vielen Regionen nicht nur die Zuverlässigkeit und Verfügbarkeit der Leitungen ein Problem dar,
sondern vor allen Dingen die Wirtschaftlichkeit der Backup-Lösungen.

Maßnahmen auf Link-, Firewall- und VPN-Ebene

Um den genannten Schwierigkeiten wirkungsvoll begegnen zu können, muss das in der Niederlassung
eingesetzte Connectivity-Gateway über entsprechende Funktionen auf der Link-, Firewall- und
VPN-Ebene verfügen. Neben Standardoptionen wie das dynamische IP-Handling, das für die Anbindung
kleinerer Standorte ohnehin unerlässlich ist, spielen dabei auf der Connectivity-Ebene vor allem
weiterentwickelte Multi-Provider- und Multi-Link-Funktionen eine übergeordnete Rolle.

Im Fall eines Leitungsausfalls auf Provider-Seite muss sichergestellt sein, dass das Gateway die
Störung selbsttätig erkennt und ein transparentes Failover auf alternative Anbindungen (Frame
Relay, DSL, ISDN, Standleitungen, Satelliten-Uplink oder sogar Dial-up) durchführt. Diese Funktion
bieten zwar bereits einige Gateway-Produkte auf dem Markt, doch beim Einsatz in
infrastrukturschwachen Regionen sind hier an die Implementierung besondere Anforderungen zu
stellen. Voraussetzung ist zum Beispiel ein permanentes ICMP- und ARP-Probing aller
Gateway-Adressen am Standort und auch der entfernten Ziele, um intelligente
Verbindungsentscheidungen am Gateway treffen zu können.

Ebenso notwendig ist zudem die automatische Rückschaltung auf die Primäranbindung, sobald diese
wieder verfügbar ist. Andernfalls kann sich dieser Punkt als extreme Kostenfalle herausstellen,
wenn ISDN-Leitungen für das Failover verwendet werden. Flatrates für ISDN-Nutzung sind in den
meisten außereuropäischen Regionen nicht üblich, daher kann ein versäumtes Fallback schnell Kosten
von 10.000 bis 20.000 Euro pro Standort verursachen. Aus denselben Erwägungen heraus ist natürlich
auch die manuelle Umschaltung über Kommandozeilen-Interfaces abzulehnen, denn ohne
GUI-Unterstützung besteht die Gefahr, dass die häufig vorzunehmenden Einstellungskorrekturen im
Tagesgeschäft vergessen werden.

Alle Maßnahmen zum Schutz der Connectivity auf Link-Ebene sind jedoch nur begrenzt wirkungsvoll,
wenn sie nicht durch eine Auswahllogik auf Firewall- und VPN-Ebene ergänzt werden. Fehlt diese
Komponente, kommt es leicht zu Szenarien, bei denen Bulk-Mail- oder der Surf-Verkehr über die
128-kBit-Backup-Leitung geschaufelt wird, während die unternehmenskritischen ERP- oder
CRM-Applikationen unerreichbar bleiben. Der europäische Hersteller Phion Information Technologies
integriert das Bandbreitenmanagement daher direkt auf Ebene von Firewall und VPN-Gateway. Auf
diesem Wege lassen sich nicht nur unterschiedliche IP-Techniken parallel für die Anbindung nutzen,
sondern Applikationsdaten je nach Priorität auch auf die zur Verfügung stehenden Bandbreiten
verteilen.

Als weitere Herausforderung stellt sich häufig der ungehinderte, nicht blockierte Aufbau des für
Unternehmen besonders wichtigen VPN-Verkehrs dar. Eine mögliche Methode von Connectivity-Gateways
ist hier die Kapselung des IPSec-Datenverkehrs in das HTTPS-Protokoll, da dieses nicht ohne
weiteres blockiert werden kann, ohne den Nutzwert des Internets für alle Anwender stark zu
beschränken.

Zentrales Management

Die Integration von Niederlassungen in China, Osteuropa etc. bringt jedoch nicht nur auf
Connectivity-Ebene Probleme mit sich, die bei der Evaluierung von Gateway-Produkten bedacht werden
müssen. Von entscheidender Bedeutung sind dabei auch die Funktionen für das Remote-Management. Wenn
hiesige Unternehmen auch eigene Niederlassungen im Ausland eröffnen, so wird doch in den meisten
Fällen die Administration des Gateways in der Unternehmenszentrale vorgenommen. Um bei der
Remote-Administration daher nicht auf primitive TCP-Dumps und dergleichen angewiesen zu sein,
benötigen IT-Verantwortliche für das Connectivity-Gateway umfangreiche Diagnose- und
Visualisierungsfunktionen.

Nur wenn zum Beispiel der Verkehr mitgeschnitten werden kann, lassen sich Applikationskonflikte
effizient erkennen und lösen. Einige Software-Appliances integrieren zudem die Netzwerkschicht in
das Managementkonzept. Dies ermöglicht die Remote-Administration aller Netzwerkparameter und des
Backups als Teil der Systemkonfiguration. Über spezielle logische Konsistenzprüfungen lassen sich
zudem widersprüchliche Konfigurationen verhindern, wovon besonders unbeaufsichtigte Remote-Systeme
profitieren.

Nicht unerheblich ist außerdem die Frage nach dem Recovery im Katastrophenfall. Stromausfälle
sind in vielen Regionen an der Tagesordnung, sodass jederzeit mit einer totalen Beschädigung der
Hardware gerechnet werden muss. Problematisch wird dies, wenn die betreffende Region strenge
Regelungen für Technikimporte aufweist, wie zum Beispiel China. Der Austausch einer
Hardware-Appliance kann so zu einem langwierigen bürokratischen Prozess führen, wenn nicht schon im
Vorfeld für Austauschgeräte gesorgt wurde. Eine Alternative bieten Software-Appliances mit
integrierter Sicherheitssoftware und Betriebssystem, die sich von CD auf Standardhardware
einrichten lassen. In Verbindung mit der Remote-Administration kann ein Unternehmen so außerdem
vermeiden, dass Mitarbeiter in der externen Filiale über sicherheitsrelevantes Wissen verfügen
müssen.

Fazit

Die Integration von Niederlassungen in Regionen mit schwacher Kommunikationsinfrastruktur stellt
hohe Anforderungen an die Wirtschaftlichkeit und technische Leistung des Connectivity-Gateways.
Dabei sind Probleme zu bedenken, wie zum Beispiel Stromausfälle oder nicht verfügbare
Leitungstypen. Bei der Evaluierung einer Lösung sollten daher ausgereifte Failover- und
Multi-Provider-Funktionen eine wichtige Rolle spielen. Nur durch die angepasste Kombination
verfügbarer Leitungstypen und die Lastverteilung des kritischen Datenverkehrs durch ein
Connectivity-Gateway ist nach Einschätzung von Experten gewährleistet, dass auch Niederlassungen in
schwierigen Regionen reibungslos an Geschäftsabläufen teilnehmen können.

Virtual Private Networks (VPNs):

Unterstützung für redundante VPN-Gateways und automatisches Failover

Protokoll- oder adressbasierendes Load-Balancing über mehrere VPN-Tunnel

Unterstützung für Remote Access VPNs

Zentrales Policy-Management für Clients

Traffic Management:

Definition eines Traffic-Management-Modells (maximale Bandbreite für ein- und ausgehende Verbindungen) für jedes Interface sowie vier Bandbreiten, denen jeweils ein bestimmter Prozentsatz der gesamten zur Verfügung stehenden Bandbreite zugewiesen wird. Auf Basis der IP-Adresse oder Netzwerkprotokollinformationen lässt sich der Datenverkehr innerhalb des Firewall-Regelwerks einem dieser vier Bereiche zuordnen, sodass kritische Applikationen über eine garantierte Mindestbandbreite verfügen.

Traffic Intelligence

Dieses Feature ermöglicht redundante Internet-Connectivity und protokollbasierendes Load-Balancing über mehrere Provider-Anbindungen. In Kombination mit der VPN-Funktion und dem Bandbreitenmanagement der Connectivity-Gateways sollen sich so wirtschaftliche und gleichzeitig ausfallsichere Netzwerkstrukturen realisieren lassen.


Lesen Sie mehr zum Thema


Jetzt kostenfreie Newsletter bestellen!

Weitere Artikel zu Lampertz GmbH & Co. KG

Matchmaker+