Grundlagen sicherer Filialanbindung

Sprache und Video via VPN

17. Mai 2011, 06:00 Uhr   |  Bernd Büttner, Leiter Produkt-Management/System-Engineering bei Funkwerk Enterprise Communications in Nürnberg

Sprache und Video via VPN

Für die erfolgreiche Umsetzung einer Vernetzung verteilter Standorte und Filialen sind neben den betriebswirtschaftlichen Betrachtungen hinsichtlich Investition und Betriebskosten bereits beim Design einer solchen Lösung eine Reihe technischer Aspekte zu berücksichtigen. Die stetig steigende Anzahl von Applikationen und Diensten, die Unternehmen in ihren geografisch verteilten Datennetzen betreiben oder zukünftig betreiben müssen, erfordert im Vorfeld eine genaue Planung.Die entscheidenden Aspekte im Umfeld der Standortvernetzung sind neben der Auswahl der Basisinfrastruktur (Leitungen, Bandbreiten, etc.) die Sicherheit, Verfügbarkeit, Skalierbarkeit und das intelligente Management solcher Infrastrukturen. Als Quasi-Industriestandard mit unterschiedlich realisierbaren Sicherheitsniveaus hat sich bereits seit Jahren das auf OSI-Layer 3 basierende IPSec-Protokoll zum Aufbau von VPNs etabliert. Unabhängig davon, ob die Standortverbindung ungemanagte Internet-Leitungen verwendet oder durch den Leitungsanbieter gemanagte Infrastrukturen wie zum Beispiel MPLS herangezogen werden, finden IPSec-basierte Verbindungen Verwendung.

Je nach Charakteristik und Anzahl der vernetzten Standorte kommen dabei für die Verschlüsselung der Datenverbindungen unterschiedliche Sicherheitsmechanismen zum Einsatz. Im einfachen Fall werden Pre-Shared Keys erzeugt. Der Einsatz digitaler Zertifikate erhöht zwar die Komplexität, gewinnt jedoch zunehmend an Bedeutung, da immer mehr Anwendungen innerhalb der Netzwerkinfrastrukturen den Einsatz von digitalen Zertifikaten erfordern und somit der Betrieb einer unternehmensinternen PKI (Public Key Infrastructure) oftmals bereits im Vorfeld erforderlich ist.

VPN: Sicher bis zum Ziel

Für Unternehmensinfrastrukturen stehen Verfügbarkeit und störungsfreier Betrieb auf der Prioritätenliste immer weit oben. Für den Einsatz von Echtzeitapplikationen wie Sprache oder Video bedeutet dies, dass QoS-Funktionen und Bandbreiten-Mangement eine besonders hohe Bedeutung für die Akzeptanz der Lösung zukommen. Typische Problemstellungen bei der Übertragung von Sprach- oder Videodaten sind Verzögerung (Delay), Laufzeitunterschiede (Jitter) und Paketverlust (Packet Loss). Diese Störgrößen wirken sich unmittelbar auf die Qualität der Sprach- oder Videoübertragung aus. Diese unerwünschten Effekte können verschiedene Ursachen haben, beispielsweise konkurrierenden Datenverkehr durch E?Mail, Internet-Download oder Applikationszugriff über VPN-Strecken.

Grundsätzlich ist es für die Verarbeitung von Echtzeitdaten nicht ausreichend, eine reine Datenpriorisierung vorzunehmen. Vielmehr muss das Design der Standortverbindungen gewährleisten können, dass ein kontinuierlicher Datenstrom mit einer hinreichenden Qualität zur Verfügung steht und somit sowohl VoIP-Daten als auch andere Datenströme gleichmäßig transportiert werden.

Dies lässt sich bei den filialtypischen ADSL-Anschlüssen durch eine gezielte Fragmentierung der konkurrierenden Datenpakete erreichen. Dabei wird anhand der zur Verfügung stehenden Bandbreite eine optimale Paketgröße berechnet, und beim Aufbau von VoIP-Gesprächen auf den Nicht-VoIP-Datenstrom kommt eine Paketfragmentierung zur Anwendung. Bei der Nutzung solcher Verbindungen muss jedoch der Leitungsqualität ab dem Übergabepunkt zum WAN vertraut werden, da hier die Möglichkeiten einer durchgängigen QoS-Implementierung enden. Letztlich handelt es sich hier um ein "Best Effort"-Prinzip.

Güteklassen

Mit den Anbietern gemanageter Leitungen sind entsprechende Dienst- und Güteklassen zu vereinbaren und zu realisieren, sodass auf dem gesamten Transportweg, also ausgehend vom Quellnetzwerk über die Weitverkehrsverbindung hin zum Zielnetzwerk, die Datenpakete mit der notwendigen Priorität transportiert werden. Je nach Netzdesign kommen unterschiedliche Mechanismen zum Einsatz, wie zum Beispiel die Markierung der Datenpakete per DSCP (Differentiated Service Code Point).

Hier wird der Netzwerkverkehr in unterschiedliche Dienstebenen eingeteilt, um daraus eine entsprechende Markierung für Datenpakete vorzunehmen. Je nach Dienstebene ergibt sich bei der weiteren Verarbeitung der Daten durch die beteiligten Netzwerkkomponenten eine Prioritätssteuerung. Für eine Ende-zu-Ende-Qualität ist die entsprechende Implementierung solcher QoS-Mechanismen auch in den lokalen Netzwerken der beteiligten Standorte erforderlich. Je nach zu erwartender Verbindungsgüte ist auch die Auswahl der Sprach- oder Video-Codecs von Bedeutung.

Hoch komprimierende Codecs sind beispielsweise deutlich empfindlicher gegen Paketverlust, da hier mehr Information pro Paket enthalten ist. Da der Bandbreitenbedarf unterschiedlicher Codecs stark variiert, ist bereits beim Design der Infrastruktur eine entsprechende Bandbreitenkalkulation vorzunehmen: Wieviele Gespräche oder Videoströme sollen simultan übertragen werden? Da die Auswahl der Codecs auch die zu transportierenden Paketgrößen für das VPN beeinflusst, muss sichergestellt sein, dass die eingesetzten Systeme die erforderliche Verschlüsselungsleistung bereitstellen können. Denn die für Audio und Video typischen kleinen Pakete belasten VPN-Gateways deutlich stärker.

Rerouting im Störungsfall

Immer mehr Applikationen, die in einem VPN-Szenario zum Einsatz kommen, treiben die Ansprüche an Verfügbarkeit und Zuverlässigkeit weiter nach oben. Kommen beispielsweise Applikationen im Bereich Zahlungsverkehr zum Einsatz, ist eine Unterbrechung der Datenübermittlung unter nahezu allen Umständen zu vermeiden. Zu einer Klassifizierung des Netzwerkverkehrs gehört somit auch eine Klassifizierung der Applikationen. Hier müssen klare Regeln definiert sein, welche Applikationen unter welchen Umständen in der Lage sein müssen, problemlos zu kommunizieren. Es sind Mechanismen zu etablieren, die automatisch auf eine Veränderung des normalen Betriebszustands reagieren und entsprechende Ersatzverbindungen beispielsweise via ISDN oder GSM transparent aktivieren.

Für die Dauer einer solchen Störung muss das Netzwerk-Equipment den Datenverkehr entsprechend routen. Auch das Zurückschalten, wenn die primäre Verbindung wieder zur Verfügung steht, muss automatisch erfolgen und darf keine manuellen Eingriffe erfordern. Dies könnte durchaus bedeuten, dass für die Dauer des Einsatzes dieser Ersatzverbindungen bestimmte Applikationen nicht zur Verfügung stehen und somit nicht über diese Backup-Strecken arbeiten. Beispielsweise sind VoIP- oder Videodienste über GSM-basierte Verbindung nicht brauchbar.

Installation und Wartung

Damit ein Rollout möglichst komfortabel und ohne viel Handarbeit erfolgen kann, sollte man bei der Auswahl der Komponenten einer geplanten Lösung darauf achten, ob der Hersteller ein leistungsfähiges Rollout-Management-Tool bereitstellt. Erst ein solches Tool ermöglicht einen professionellen Rollout einer VPN-Infrastruktur und stellt daher eine eigentlich notwendige Bedingung für das Ziel einer flexiblen und eleganten Lösung dar. Der Netzwerkadministrator kann unmöglich jedes Gateway einzeln konfigurieren - er muss über eine Management-Software globale Einstellungen für alle Geräte oder für Gruppen bestimmter VPN-Gateways eingeben können.

Hier sind ebenfalls während der Designphase einige entscheidende Fragen zu beantworten: Wie soll die Provisionierung und Inbetriebnahme der Systeme erfolgen - zentral oder vor Ort? Wie wird ein Out-of-Band-Management realisiert, also garantierte Erreichbarkeit, wenn die primäre Datenverbindung einmal nicht zur Verfügung steht? Sind die eingesetzten Systeme über Dial-up-Verbindungen wie ISDN oder GSM erreichbar, oder muss man für im Ausland befindliche Systeme andere Zugangswege vorsehen? Sind die Systeme auch bei Störungen und somit aktivierten Ersatzverbindungen noch für Management und Wartung zu erreichen?

Diejenigen Systeme, die eine große Bandbreite unterschiedlicher Schnittstellen (xDSL, ISDN, GSM oder analog) anbieten, sind hier klar im Vorteil und bei Bedarf auf mehreren Wegen erreichbar. Je nach Dynamik der Lösung muss mittels der Management-Applikation sowohl die Möglichkeit gegeben sein, einfache Konfigurationsänderungen in die Fläche zu bringen, als auch bestimmte Sicherheitsparameter wie Kennwörter, Pre-Shared-Keys und digitale Zertifikate in die gesamte Infrastruktur zu verteilen. Nur so lässt sich eine Vielzahl von VPN-Gateways effizient und zentral steuern. Mit einem Management-Tool dieser Art vereinfacht sich auch die Einbindung neuer Filialen - ein bestehendes Profil lässt sich ohne Aufwand auf ein neues Gerät aufspielen.

Fazit

Der Erfolg einer IT-Vernetzung ist von einer Vielzahl sehr divergenter Faktoren abhängig. Die zwei wesentlichen Punkte bei einem Filialisten sind ein solides und robustes Design der gesamten Infrastruktur, bevor der erste Standort in den Produktivbetrieb geht, und die Kosten pro Filiale - sowohl für die Installation als auch für den Betrieb.

Beispiel einer sicheren IT-Anbindung von Filialen mit Backup über UMTS und ISDN. Bild: Funkwerk Enterprise Communications LANline.

Auf Facebook teilenAuf Twitter teilenAuf Linkedin teilenVia Mail teilen

Das könnte Sie auch interessieren

Infrastruktur für universelle Video Collaboration

Verwandte Artikel

Remote Access

VDI

VPN