Das Magazin für Netze, Daten- und Telekommunikation - ITwelzel.biz
Das Magazin für Netze, Daten- und Telekommunikation - ITwelzel.biz
Das Magazin für Netze, Daten- und Telekommunikation - ITwelzel.biz
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
204 LANline 12/2000<br />
SCHWERPUNKT: VIRTUAL PRIVATE NETWORKS<br />
Bild 2. Prinzip der IP-VPN-Architektur – Variante 1: die Intelligenz befindet sich am<br />
K<strong>und</strong>enstandort<br />
Service-Providers. Der Unternehmensk<strong>und</strong>e<br />
ist hierbei ähnlich wie bei Frame<br />
Relay <strong>und</strong> ATM an den Backbone angeschlossen<br />
<strong>und</strong> versendet seine IP-<strong>Daten</strong><br />
über dieses Netz. Der Vorteil dieser Infrastruktur<br />
liegt darin, dass sich die Zuverlässigkeit<br />
durch zusätzliche Sicherheitsmaßnahmen<br />
gewährleisten lässt <strong>und</strong><br />
die Qualität des Netzwerks <strong>und</strong> der Übertragungen<br />
kontrolliert <strong>und</strong> gesteuert werden<br />
kann.<br />
In puncto Sicherheit bieten die Service-<br />
Provider derzeit zwei gr<strong>und</strong>sätzliche Methoden<br />
an, nämlich zum einen Intelligenz<br />
<strong>und</strong> Sicherheitsfunktionen am K<strong>und</strong>enstandort<br />
<strong>und</strong> zum anderen Intelligenz <strong>und</strong><br />
Sicherheitsfunktionen am Eingangspunkt<br />
zum WAN.<br />
Die erste Variante (Bild 2) realisiert alle<br />
Maßnahmen zur Gewährleistung der<br />
Sicherheit in einem Gerät am K<strong>und</strong>enstandort.<br />
Dies umfasst Funktionen wie<br />
VPN-Gateways mit IPSec, Firewalls<br />
oder Routing. Damit entspricht dieser<br />
Ansatz einer Lösung mit Anschluss an<br />
das Internet. Für den Provider ergibt sich<br />
daraus der Vorteil, dass er sein Backbone-Netzwerk<br />
nicht erweitern oder aufrüsten<br />
muss <strong>und</strong> dadurch relativ niedrige<br />
Anafangsinvestitionen zu tätigen sind beziehungsweise<br />
Investments nur bei Anschaltung<br />
eines K<strong>und</strong>en anfallen. Ein<br />
Vorteil <strong>für</strong> den K<strong>und</strong>en ist, dass diese Lö-<br />
sung an jedem Standort eingesetzt werden<br />
kann, egal, wo auf der Welt er an das<br />
Internet angeb<strong>und</strong>en ist.<br />
Die Nachteile sind hauptsächlich auf<br />
der Seite des Providers zu sehen. Dieser<br />
muss die Geräte am K<strong>und</strong>enstandort<br />
warten, was Updates <strong>und</strong> ähnliche Maßnahmen<br />
mit einschließt. Vor allem das<br />
Verwalten der VPNs mehrerer K<strong>und</strong>en<br />
ist ein enormer administrativer Aufwand.<br />
Die zweite Variante (Bild 3) verlegt einige<br />
Funktionen <strong>und</strong> “Intelligenz” an den<br />
Access-Punkt des <strong>Netze</strong>s des Providers.<br />
Der K<strong>und</strong>e verbindet sich dann über eine<br />
sichere Access-Leitung, beispielweise<br />
mit IPSec-Tunneln mit dem Provider-<br />
Netz. Die Vorteile dieser Lösung liegen<br />
vor allem auf der Seite des Betreibers, da<br />
er nun über zentralisierte Funktionen <strong>und</strong><br />
Komponenten verfügt, die wesentlich<br />
einfacher zu installieren, zu warten <strong>und</strong><br />
zu verwalten sind als die am K<strong>und</strong>enstandort<br />
befindlichen Endgeräte. Auch die<br />
Umsetzung neuer Dienste oder Leistungsmerkmale<br />
ist durch Erweiterung der<br />
zentralen POPs wesentlich einfacher. Ein<br />
zusätzlicher Vorteil liegt in der besseren<br />
Skalierbarkeit der zentralen Komponenten,<br />
denn Ressourcen wie Prozessorkapazität,<br />
Router-Kapazität oder Speicherkapazität<br />
lassen sich auf mehrere K<strong>und</strong>en<br />
verteilen. Dabei muss der Provider je-<br />
www.lanline.de