Eine Technik mit vielen Gesichtern

End-to-Site-Netz: Fernzugriff für mobile Mitarbeiter

Die dritte Alternative, End-to-Site, ist eine Mischform der beiden zuvor genannten Lösungen. Damit lassen sich Remote-Access-VPNs aufbauen, mit denen ein externer Client eine sichere Verbindung zum Firmennetz herstellt. Vor allem für kleine Niederlassungen, Heimarbeitsplätze oder die Anbindung von Außendienstmitarbeitern ist das eine Alternative, um die direkte Einwahl ins Firmennetz zu umgehen und damit die Kosten niedrig zu halten. Stattdessen baut der Anwender über einen nahe gelegenen Internet-Serviceprovider (ISP) die Verbindung zum Corporate Network auf. Stellt der ISP kein VPN-Gateway zur Verfügung, muss auf dem Mobilgerät eine VPN-Software installiert sein.

Der VPN-Tunnel erstreckt sich vom Mobilgerät bis zum Firmen-Gateway. Der Rechner des Mitarbeiters muss allerdings über eine offizielle IP-Adresse verfügen. Diese kann der ISP dynamisch vergeben. Bietet der Serviceprovider ein VPN-Gateway an, ist es nicht unbedingt nötig, auf dem mobilen Rechner einen Client zu installieren. Außerdem benötigt der Rechner dann keine offizielle IP-Adresse. Allerdings laufen die Daten dann unverschlüsselt zum VPN-Gateway des Providers. Deshalb ist diese Variante nicht zu empfehlen.

Eine sternförmige Topologie findet sich vor allem bei VPNs, die aus einer Zentrale mit vielen Außenstellen und Heimarbeitsplätzen besteht. Bei dieser Konstellation läuft der gesamte Datenverkehr von den Außenstellen bidirektional zur Zentrale. Zwischen den Filialen findet keine direkte Kommunikation statt.

Anders bei einer vermaschten Struktur: Bei ihr sind alle Standorte miteinander verbunden, das heißt, jeder kann mit jedem kommunizieren. Diese Struktur sollte dann gewählt werden, wenn alle Standorte denselben Stellenwert haben. Wichtig ist, dass die entsprechende VPN-Lösung über ein effizientes Verfahren für die Verwaltung der Tunnel verfügt. Denn je stärker ein VPN vermascht ist, desto höher ist der Konfigurationsaufwand für die Tunnel: Sollen n Standorte miteinander verbunden werden, sind (n2-n)/2 Verbindungen notwendig. Zusätzlich müssen n2-n Tunnelenden konfiguriert werden. Mit jeder weiteren Außenstelle steigt der Konfigurationsaufwand erheblich an. Bei 20 Sites sind beispielsweise 190 Verbindungen und 380 Tunnelenden zu verwalten, bei 100 Standorten dagegen bereits 4950 Verbindungen und 9900 Tunnelenden.