Von: Konrad Buck
Getrieben durch die Unvermeidlichkeit, E-Business-Applikationen zu etablieren, machen entsprechende Verbindungsarten vor allem in den Bereichen Intranet und Extranet Sinn. Unterstützt von Technikanbietern wie Cisco, Nortel oder Lucent haben Carrier wie AT&T, KPN Qwest, Infonet, Cable & Wireless oder Riodata IP-VPNs im Programm. Neben den größeren Carriern treten jetzt auch die Newcomer aus dem Bereich Richtfunk auf den Plan. Anbieter wie Star 21 Networks oder Callino wollen mit der bedarfsorientierten Connectivity ihr Portfolio abrunden. Nicht zuletzt startete der Mobilfunker Viag Interkom zur CeBIT mit GPRS-basierten IP-VPN-Diensten.
Boom bei den VPN-Diensten
Klassische VPNs auf Basis von ATM und Frame-Relay (FR) werden bis Ende dieses Jahres in Europa Umsätze von 2,1 Milliarden US-Dollar generieren, sagen die Analysten der britischen Marktforschungsgruppe Datamonitor voraus. Entsprechend werde der europäische Markt für Stand- und Wählleitungs-basierte Internet-VPNs im Bereich der kleineren und mittleren Unternehmen bis 2002 auf 580 Millionen Dollar anwachsen. Für IP-VPNs auf Basis von IP-Backbones sieht IDC bis 2003 sogar einen Markt von 2,36 Milliarden Dollar in Europa, davon 416 Millionen Dollar in Deutschland. Eine Studie der Yankee Group prognostiziert für den weltweiten Internet-VPN-Markt bis 2002 ein Anwachsen auf 2,4 Milliarden Dollar. IDC geht davon aus, dass im Jahr 2003 bis zu 20 Prozent des gesamten Datenverkehrs über VPNs - und zwar vorrangig mit dem IP-Protokoll - erfolgen werden. Remote-Access-VPNs stellen für Datamonitor eine essenzielle Ergänzung dar. Die Anzahl der mobilen Mitarbeiter wird weltweit bis Ende 2002 auf 100 Millionen wachsen. 75 Prozent aller Remote-Access-VPNs werden 2003 von Managed-Services-Providern erbracht, so Datamonitor.
VPNs sind in der technischen Gestaltung und im Leistungsumfang sehr vielfältig. Ebenso unterschiedlich sind auch die Nutzungsmöglichkeiten. Alles in allem wird zwischen den drei Kategorien Enterprise-, Remote Access- und Internet-VPN unterschieden. Alle drei Varianten sind IP-VPNs im eigentlichen Sinn, nämlich die Abbildung von geschlossenen Netz-Strukturen auf Basis des TCP/IP-Protokolls.
Enterprise-VPNs sind Angebote auf Basis von dedizierten, gesicherten und detailliert steuerbaren Backbones, die sich im Besitz des jeweiligen Carriers befinden. Die zugrunde liegende Technik ist häufig FR oder ATM. Enterprise-VPNs bieten beste Performance inklusive weitreichender Service Level Agreements (SLA). Optionen wie Hochverfügbarkeitsanbindung oder unterschiedliche Priorisierung von Daten können passgenau auf die Anforderungen zugeschnitten werden. Klarer Trend bei Enterprise-VPNs ist die Verwendung von IP-Switching und Multiprotocol Label Switching (MPLS), was verbesserte Class-of-Service-Funktionen (CoS) ermöglicht. MPLS-fähige Technik ist unter anderem bei Mobilcom, Viag Interkom und Equant sowie bei Callino oder der Deutschen Telekom AG (DTAG), bei letzteren für deren IP-Backbone der nächsten Generation, im Einsatz. MPLS bietet hohe Skalierbarkeit, sodass der Carrier selber und mit seinen Kunden wachsen kann. Auch die Inbetriebnahme ist im Gegensatz zu den aufwändigen Tunneling-Verfahren bei FR- oder ATM-VPN einfacher. Hinzu kommt die für Services der Carrier wie der Kundenunternehmen selber enorm wichtige Fähigkeit, Servicequalitäten zu definieren und unterschiedliche Güteklassen für Sprach-, Daten- oder Videoverbindungen anbieten zu können.
Die zweite Kategorie sind die Remote-Access-VPNs. Sie erlauben weltweit den überprüften Zugang auf firmeninterne Daten per Wählverbindung, beispielsweise auch über Mobiltelefone. Die Daten sind dabei gegen externen Zugriff geschützt. Genau wie Internet-VPNs sind auch Remote-Access-VPNs im Kommen. Ursache sind Trends wie die Globalisierung und damit die wachsende Zahl von Dienstreisen, die Zunahme von Home Offices oder die Unterstützung von Außendienstmitarbeitern durch Informationen vom Server.
Dezidierte Internet-VPNs schließlich erlauben gesicherte Kommunikation zu einem attraktiven Preis und die Einbindung von Dritt-ISPs, beispielsweise in schwach erschlossenen Regionen. Ein IP-VPN benutzt das verbindungslose, paketvermittelnde IP-Protokoll, um virtuelle Verbindungen zwischen den beteiligten Kommunikationspartnern zu etablieren. Benutzt man dabei das Internet als weltweit verfügbares und obendrein kostengünstiges IP-Netz, werden zusätzlich noch entsprechende Sicherheitsmaßnahmen zum Schutz der Vertraulichkeit und Integrität der Daten notwendig. Als Standard hat sich IP-Security (IPSec) durchgesetzt, was auch zu einer hohen Interoperabilität zwischen den verschiedenen Herstellern geführt hat. Die Lösungsangebote sind so vielfältig wie die Anzahl der Anbieter. Der Anwender kann aus einer breiten Palette verschiedener Dienste wählen, beginnend beim Outsourcing des VPN an einen Serviceprovider bis hin zum reinen Eigenbetrieb.
IP-VPNs fördern Flexibilität
Aufgrund der Flexibilität und des integrativen Charakters sind Internet-VPNs nach den Worten von Andreas Meyer, Produktmanager bei der AT&T Global Network Services Deutschland GmbH, besonders gut für Extranet-Lösungen geeignet. Auf Basis solcher Lösungen können Geschäftspartner oder Lieferanten ihre Prozessdaten und Informationen sicher austauschen. Ein großer Vorteil von IP-VPNs ist außerdem, dass der Kunde sein bisheriges IP-Design weiter benutzen und schrittweise auf die neue Technik umsteigen kann. Gute VPN-Systeme unterstützen beispielsweise im Remote-Access-Bereich Authentifizierungssysteme wie Radius oder SecurID. Somit kann der Benutzer weiterhin in seiner ihm vertrauten Umgebung arbeiten - nur dass der Einwählknoten nicht mehr der eigene Remote-Access-Server, sondern der Point of Presence (PoP) eines Serviceproviders ist. Auch im Bereich der LAN-to-LAN-Kopplung ist eine sanfte Migration durchaus möglich. Der Kunde braucht meist nicht einmal besondere Fachkenntnisse vorzuhalten. Techniken wie Kryptografie, Tunneling oder Quality-of-Service-Programme (QoS) sind aufgrund von komfortablen Anwenderoberflächen für die Benutzer einfach bedienbar geworden. Auch als Einstiegslösung für mittelständische Unternehmen kommen Internet-VPNs in Frage. Sie bieten gute Skalierbarkeit, von der Verbindung von Einzelplätzen über das Zusammenschalten kleinerer Zweigstellen mittels "virtueller Standleitungen" bis hin zu permanenten Verbindungen mit Bandbreiten bis zu 155 MBit/s.
Migrationen müssen gut geplant werden
Eine Migration auf eine VPN-Lösung sollte dem Networking-Spezialisten Meyer zufolge sorgfältig geplant werden. Es gelte, die Anforderungen klar zu identifizieren: Wie läuft die Kommunikation zur Zeit ? Über ISDN? Auch international? Über direkte Standleitungsverbindungen? Mit Internet-E-Mail? Welche Leistungsmerkmale müssen aufrechterhalten werden, welche werden nicht wirklich benötigt? Welche Datenvolumina laufen wann und von wo nach wo? Nach der Bestandsaufnahme müssen zukünfige Entwicklungen abgeschätzt werden. Lösungen können der Aufbau eines Extranets mit den Lieferanten oder ein Außendienstinformationssystem sein, das den Verkauf ankurbeln soll. Auch Enterprise-Resource-Planning-Projekte (ERP) stellen erhebliche Anforderungen an das Netz. Und so wie sich Partnerschaften im geschäftlichen Bereich verstärkt durchsetzen, muss dies auch in der zugrunde liegenden Infrastruktur nachvollzogen werden. Dabei treffen die Anforderungen verschiedener Unternehmen aufeinander, was vom Netzwerk eine hohe Flexibilität verlangt.
Kombinierbare Lösungen
Mit den beiden Produktgruppen "IP-VPN Internet (Firewall)" und "IP-VPN Internet (Router)" bietet Cable & Wireless zwei komplementäre und kombinierbare Lösungen für die Realisierung von IP-VPNs an. Der Kunde erhält hierbei jeweils eine komplette Lösung inklusive Netzzugang, Consulting sowie Sercice Level Agreements (SLA) und weltweitem Service. Mit "Managed Firewall" wird das Angebot rund um die sichere IP-basierte Datenkommunikation abgerundet. Die Cable & Wireless (C&W) Deutschland GmbH ist eigenen Angaben zufolge weltweit zweitgrößter Eigentümer von Glasfaserkapazitäten. In Europa arbeitet C&W unter anderem mit Global Crossing zusammen, wobei Dark Fiber so langfristig angemietet wird, dass man faktisch von eigenen Kapazitäten sprechen kann. Hier zu Lande verfügt das Unternehmen über etwa 30 Zugangsknoten. Die Briten kooperieren im Bereich Technik weltweit im Rahmen strategischer Partnerschaften mit Ausrüstern wie Nortel, Cisco oder Nokia und hinsichtlich IP-VPN mit Nortel, Nokia und Checkpoint. Eingesetzt werden hier Produkte wie "Nokia IP 330/440/ 650", "Checkpoint Firewall-1" oder "Nortel Contivity 600/1500/2600/ 4500".
Neue Dienste werden möglich
Im Rahmen des größten europäischen Automobilbau-Branchennetzes European Network Exchange (ENX) hat der hiesige Platzhirsch Deutsche Telekom AG (DTAG) bereits eine umfangreiche Anwendung zu bieten. Mit neu entwickelten branchenspezifischen Value Added Services bringt die DTAG das volle Wertschöpfungspotenzial des Branchennetzes in die gesamte Kfz-Produktionskette ein. Das ENX-Portfolio wurde um einen preisgünstigen Netzzugang "ENX Solution Dial In" erweitert; damit ist eine Einwahl national (über eine 0800-Nummer) und international (über des Netz des Telekom-Partners Infonet) in das ENX mit gleichem Sicherheitsstandard möglich.
Solche VPN-Backbones bieten die Basis, um darauf aufbauend in weitere Servicestrukturen zu verzweigen. Darum wird T-Systems die zentralen Dienste für ENX jetzt sukzessive erweitern. Ausgehend vom "Application & Service Portal" stellt T-Systems zusammen mit seinem Joint Venture Debis Systemhaus ein "Manufacturing Portal" vor. Im Vordergrund stehen hier so genannte Collaboration Solutions für die herstellende Industrie. Unter den Produktnamen "E-Engineering", "E-Factory" und "E-Supply" entstehen Dienste und Projekte, die die Geschäftsprozesse unmittelbar unterstützen. Zahlreiche Produkte namhafter Partner der Software-Industrie werden dazu eingebunden, um unter anderem mit einen "Automotive Workspace" neue ASP-Lösungen zu ermöglichen.
Die Frankfurter Infonet GmbH indessen bezeichnet als IP-VPN ein auf den Kunden zugeschnittenes, abgeschlossenes Netzwerk, in dem auch temporäre Benutzer oder Geschäftspartner integriert sein können. Der Kunde erhält von Infonet einen weltweit vollständig gemanagten Dienst, wobei der Carrier sich um die gesamte Implementierung und die Verwaltung des kompletten Netzes kümmert. Daneben stellt Infonet alle zur Kommunikation erforderlichen Komponenten bereit. Der Übergabepunkt der Zuständigkeit ist die LAN-Schnittstelle des Routers. Infonet betreibt lokale Support-Organisationen in mehr als 60 Ländern und bietet einen transparenten Datendienst, den der Kunde seinen Anforderungen entsprechend nutzen kann. Die Unternehmen realisieren nach den Worten von Sales Director André Woltemade Anwendungen wie E-Business und E-Procurement, Portallösungen, Betrieb oder Nutzung von Data-Centern beziehungsweise Web-Hotels oder firmeneigene Intra- oder Extranet-Services.
nehmens und spricht als Zielgruppe Firmen mit einem oder mehrer-
en Standorten an, die eine sichere Verbindung der Firmenstandorte untereinander auf Basis einer IP-Plattform wünschen.
Die noch jungen Richtfunk-Carrier mischen mit komplett neuer Technik und Spezialangeboten für kleinere und mittlere Unternehmen kräftig mit. Immerhin gibt es hier zu Lande rund 850 000 Mittelstandskunden, die preiswerte und bedarfsgerechte Lösungen brauchen können. Das Produkt "Star 21 IP-VPN" basiert auf dem Wireless-Local-Loop-Service (WLL) der Frankfurter Star 21 Networks AG und spricht als Zielgruppe Unternehmen mit einem oder mehreren Standorten an, die für die unternehmensinterne Kommunikation eine sichere Verbindung der Firmenstandorte untereinander auf Basis einer IP-Plattform wünschen.
VPNs über Funk kommen in Mode
Der direkte Anschluss der Kundenendeinrichtungen erfolgt am Netzübergabepunkt. Dieser Anschluss ist als 10Base-T-Schnittstelle ausgeführt und wird für den Zeitraum der Dienstenutzung am Customer Premises Equipment (CPE) zur Verfügung gestellt. Der Anschluss für das Kundensystem ist als RJ45-Buchse für Twisted-Pair-Kabel ausgeführt und entspricht der IEEE-802.3-Norm für 10Base-T-Ethernet. Handelt es sich nicht um einen Punkt-zu-Multipunkt-Richtfunkanschluss (PMP), so können auch andere Zugangstechniken oder Anschlussleitungen anderer Netzbetreiber zum Einsatz kommen. Der Kunde kann beim IP-VPN-Service der Frankfurter Richtfunkanbieter die geeignete Zugangsbandbreite pro Standort auswählen. Es können symmetrische Datenraten zwischen 1 und 6 MBit/s spezifiziert werden. Höhere Kapazitäten werden auf Anfrage als Spezialprojekt behandelt.
Neben Star 21 wird sich auch der in München ansässige Richtfunk-Carrier Callino auf das IP-VPN-Parkett wagen. Allerdings läuft die Auswahl der Technik nach Aussagen von Ralf Cordes derzeit noch. Auf der Basis "logischer IP-Verbindungen" sollen potenzielle Kunden des Münchener Unternehmens künftig kostengünstige Intranet-, Extranet- oder Remote-LAN-Access-Lösungen nutzen können. Die nötige Datensicherheit will Callino durch Ende-zu-Ende-Datenverschlüsselung, Authentifizierung und Datenintegritätsprüfung auf Basis von IPSec garantieren.
Nicht zuletzt mischen die Internet-Serviceprovider mit. So hat die als DSL-Carrier gestartete und inzwischen zum "Data-Serviceprovider" mutierte Riodata GmbH aus Mörfelden-Walldorf zur CeBIT IP-VPN-Lösungen für den Mittelstand vorgestellt. Das Produkt wird nach Angaben des Unternehmens ausschließlich über den eigenen Backbone realisiert, der ein separates logisches Teilnetz darstellt und für Geschwindigkeiten von mindestens 155 MBit/s ausgelegt ist.
Das innovativste VPN-Projekt ist das auf der CeBIT von Viag Interkom-Gschäftsführer Burkhardt Ziermann präsentierte Mobilfunkprodukt für professionelle Anwender namens "GPRS-IP-VPN". Damit stehen beispielsweise den Mitarbeitern eines Unternehmens neben den üblichen Kommunikationsmitteln wie E-Mail oder dem Firmenadressbuch auch der Zugriff auf das unternehmenseigene Intranet und interne Datenbanken zur Verfügung. Über PDA oder Laptop und ein GPRS-Handy kann auf ein VPN zugegriffen werden. Mit einer zusätzlichen Software, die auf dem mobilen Gerät sowie auf der Gegenstelle im Unternehmen installiert sein muss, lässt sich eine gesicherte Übertragung der Daten durchführen. (pri)