VPN, VLL und VPLS: So können Unternehmen mehrere Standorte miteinander vernetzen
Für Unternehmen mit mehreren Niederlassungen ist die effiziente Zusammenarbeit über die verschiedenen Standorte hinweg zentral. Um dies sicherzustellen, müssen die Standorte miteinander vernetzt werden. Am gängigsten ist die Vernetzung via Virtual Private Network (VPN), Virtual Leased Line (VLL) oder Virtual Private LAN Service (VPLS). Bei der Auswahl der geeigneten Methode gilt es, die jeweiligen Vor- und Nachteile sowie die Sicherheits-, Qualitäts- und Kostenansprüche zu berücksichtigen.
Unternehmen mit mehr als einem Standort müssen einen reibungslosen Daten- und Kommunikationstransfer zwischen den einzelnen Standorten sicherstellen. Damit die Mitarbeitenden von Standort A auf die gleichen Dokumente Zugriff haben wie die Mitarbeitenden von Standort B, müssen die beiden Standorte miteinander vernetzt sein. Diese Vernetzung kann auf unterschiedliche Arten umgesetzt werden. Jede Methode weist andere Vor- und Nachteile auf.
Standortvernetzung mittels Virtual Private Network (VPN)
Die Vernetzung mittels eines Virtual Private Networks (VPN) ist eine gängige Methode der Standortvernetzung. Ein VPN stellt eine sichere Verbindung zwischen Sender und Empfänger her, indem es mittels eines sogenannten Tunneling-Protokolls die Datenpakete verschlüsselt und diese in ein weiteres Datenpaket packt und übers Internet überträgt. Es baut quasi einen Tunnel durch das öffentliche Internet auf, der von aussen nicht einsehbar ist.
Vor- und Nachteile einer Standortvernetzung mittels VPN
Die VPN-Verschlüsselung schützt die Verbindung vor der Öffentlichkeit, was allerdings viel Prozessor-Leistung erfordert und entsprechend Strom verbraucht. Günstige VPN-Gateways haben zudem einen limitierten Datendurchsatz. Trotz gängiger 10-Gigabit-Internetanbindungen schrumpft der Durchsatz öfters in den Megabit-Bereich, sobald das VPN eingeschaltet ist. Entsprechend teuer sind leistungsfähigere VPN-Gateways, deren Konfiguration sehr komplex sein kann.
VPN funktioniert providerübergreifend, allerdings ist die Performance abhängig von der Qualität der Interkonnektion zwischen den involvierten Providern. Werden die Datenpakete nicht auf optimalem Weg von A nach B transportiert (suboptimales Routing), kann dies negative Auswirkungen auf das Nutzererlebnis von VPN haben.
Standortvernetzung mittels Virtual Leased Line (VLL)
Eine Virtual Leased Line ist eine dedizierte Punkt-zu-Punkt-Verbindung zwischen zwei Standorten, die durch einen einzigen Provider bereitgestellt wird. Die beiden Standorte können miteinander kommunizieren, als ob sie über eine direkte Leitung verbunden wären.
Man kann sich eine VLL-Verbindung wie ein sehr langes direktes Ethernetkabel vorstellen. Wenn mehrere Standorte verbunden werden, kommen mehrere VLL zum Einsatz, dabei wird typischerweise ein Hauptstandort definiert.
Für die VLL-Verbindung wird ein Teil der Verbindung über eine physische Leitung und ein Teil über eine virtuelle Leitung realisiert. Zwischen den Standorten und dem nächsten Point of Presence (PoP) des Providers wird eine physische Leitung gemietet, üblicherweise eine Glasfaser der örtlichen FTTH-Infrastruktur.
Der Teil zwischen den PoPs, also der Grossteil der Strecke, wird über eine virtuelle Leitung auf dem Netz (genauer gesagt auf dem Backbone) des Providers realisiert. «Virtuell» deshalb, weil ein Teil der Netz-Kapazität des Providers virtuell der VLL zugewiesen wird.
Angenommen, ein Unternehmen verfügt über einen Standort in Zürich und einen Standort in Genf und möchte diese beiden Standorte mit einer VLL-Lösung von Init7 vernetzen. In diesem Fall stellt Init7 dem Unternehmen eine physische Leitung vom Zürich-Standort bis zum nächsten Init7-PoP (Point of Presence) in Zürich und vom Genf-Standort zum nächsten Init7-PoP in Genf zur Verfügung. Die Verbindung zwischen den beiden PoPs (also zwischen Zürich und Genf) erfolgt über eine virtuelle Leitung. Für die Standorte fühlt es sich aber so an, als wären sie direkt übers LAN verbunden
Routing ist nicht immer optimal
Normalerweise funktioniert der Datentransfer so: Die Daten (z.B. eine E-Mail), die jemand sendet, werden in kleine Datenpakete aufgeteilt. Jedes Datenpaket wird mit einem sogenannten Header versehen. Der Header enthält Informationen, die für die Verarbeitung des Pakets relevant sind. Zum Beispiel sind darin Sender- und Zieladresse definiert.
Die Datenpakete passieren eine Vielzahl von Routern, bis sie zu ihrem Ziel gelangen. Jeder Router liest den Header der Pakete und leitet diese dann anhand einer Routingtabelle an den nächsten Router weiter.
Dieses Routing ist «destination based», der Absender der Daten kann nicht bestimmen, welchen Pfad seine Pakete nehmen. Deshalb kommt es öfters vor, dass Datenpakete nicht auf dem optimalen Pfad weitergeleitet werden (suboptimales Routing). Beispielsweise können Datenpakete zwischen Winterthur und Zürich einen Umweg über London nehmen – in Fachjargon spricht man dann jeweils spöttisch von «Scenic Routing». VPN-Verbindungen können dadurch in Mitleidenschaft gezogen werden.
VLL basiert auf MPLS (Multiprotocol Label Switching)
Anders ist dies beim Multi Protocol Label Switching (MPLS): Der Pfad, den die Datenpakete nehmen, wird im Voraus durch den Provider definiert.
Dazu werden den Datenpaketen Labels zugewiesen, die einen bestimmten Pfad (einen sogenannten Label Switched Path (LSP)) vorgeben. Diese Informationen werden in einen Header gepackt, der über dem «normalen» Header steht. Die Router im Backbone des Providers lesen nur diesen MPLS-Header und leiten die Pakete an den entsprechend vordefinierten nächsten Router weiter.
Weil MPLS nur innerhalb des Provider-Netzes betrieben wird, hat der Provider die Kontrolle über die Qualität der Verbindung. Entsprechend kann mit einem sehr guten Datendurchsatz gerechnet werden.
Für «normale» Bedürfnisse ist bei VLL keine Verschlüsselung notwendig
Im Vergleich zu VPN sind VLL nicht verschlüsselt. Da die Daten jedoch nur über die Infrastruktur des Providers und nicht über das öffentliche Internet fliessen, reicht es, einen vertrauenswürdigen VLL-Provider zu engagieren.
Die über MPLS übertragenen Daten sind wie erwähnt mittels Label markiert und gelangen ausschliesslich zur Zieladresse. Man kann es sich vorstellen wie bei Gepäckstücken auf Flugreisen: Das Kofferlabel definiert die Destination, aber die Airline (der Provider) kann (theoretisch – in der Praxis passiert es nicht) mittels Röntgengerät den Inhalt des Koffers anschauen.
Im dümmsten Fall kann es passieren, dass aufgrund einer Fehlkonfiguration die Label verwechselt werden und das Datenpaket an der falschen Destination ankommt. Dies würde aufgrund der resultierenden Fehlfunktion jedoch sofort bemerkt. Das Sicherheitsrisiko ist also gering.
Hochsicherheits-Verschlüsselung ist über VLL möglich
Für Standort-Verbindungen mit erhöhtem Sicherheitsbedürfnis, zum Beispiel im Banking, ist eine Verschlüsselung mittels zusätzlicher Geräte möglich. Dabei werden bei den VLL-Anschlüssen spezielle Verschlüsselungsboxen angeschlossen, die den Datenverkehr komplett codieren. Eine derartige Verschlüsselung ist so sicher, wie wenn der PIN der Bankkarte im Minutentakt verändert würde. Das Unternehmen muss in desem Fall also nicht mal mehr seinem VLL-Provider vertrauen.
Leistungsfähige Verschlüsselungsboxen mit einem Datendurchsatz ohne Einbussen sind indes kostspielig und schlagen mit einem fünfstelligen Betrag pro Paar zu Buche. Dafür lassen sie sich sozusagen wartungsfrei über mehrere Jahre betreiben. Eine Marktübersicht zu Verschlüsselungsboxen wurde vor einiger Zeit von inside-it.ch veröffentlicht.
Kombination mit Internetzugang sinnvoll
Zusätzlich zur Standortvernetzung ist es möglich, die Anbindung ans Internet mit der VLL-Lösung zu kombinieren. In der obenstehenden Grafik sähe das z.B. so aus: Der Standort Zürich wird ans Internet angeschlossen, der Standort Genf nicht.
Ruft ein Mitarbeitender in Genf eine Internetseite auf, geht der Traffic zuerst durch die VLL nach Zürich, von dort ins öffentliche Internet und wieder durch die VLL von Zürich nach Genf.
Dies erhöht zwar die Latenz (Verzögerungszeit) um einige Millisekunden, spart aber Kosten, da nur an einem Ort in die Firewall-Infrastruktur investiert werden muss. Zusätzlich wird die Sicherheit erhöht, da die Angriffsfläche auf ein Minimum reduziert wird.
Vor- und Nachteile einer Standortvernetzung mittels VLL
VLL bieten eine hohe Flexibilität und Skalierbarkeit, da sie einfach eingerichtet werden können. Aus Nutzersicht ist es eine «Plug and Play»-Lösung ohne komplizierte Konfiguration. VLL sind sehr oft kostengünstiger als herkömmliche dedizierte Leased Lines, da weniger Infrastruktur beschafft werden muss. Die Anwendungsmöglichkeit der örtlichen FTTH-Infrastruktur wird erweitert.
Eine Standortvernetzung mittels VLL bietet zudem den Vorteil, dass die einzelnen Standorte so miteinander verbunden sind, als wären sie direkt mit 1 oder 10 Gigabit verkabelt. Der Datendurchsatz wird im Gegensatz zu VPN nicht beeinträchtigt.
Es besteht jedoch die Gefahr, dass der Backbone des VLL-Anbieters überlastet ist und es zum Datenstau kommt. Bei seriösen Anbietern ist dies im Normalbetrieb jedoch nicht Fall. Im Vergleich zu einer herkömmlichen VPN-Lösung ist eine VLL in jedem Fall wesentlich leistungsstärker. VLL erfordert allerdings Vertrauen in den Provider, denn VLL wird ohne Zusatzaufwand nicht verschlüsselt.
Standortvernetzung mittels Virtual Private LAN Service (VPLS)
Bei der Vernetzumg mittels VPLS werden alle verschiedenen Standorte eines Unternehmens untereinander vernetzt. Jeder Standort ist mit jedem Standort verbunden. Wie bei der VLL-Lösung ist es für die Standorte so, als wären sie direkt übers LAN angeschlossen.
Im Unterschied zur Vernetzung mittels VLL sind VPLS-Lösungen nicht gemanagt. Das heisst, der Provider stellt lediglich die Verbindung zur Verfügung, das Routing des Datenverkehrs übernimmt das Unternehmen selbst.
Man kann sich VPLS wie ein Ethernetkabel mit mehr als zwei Enden vorstellen. Das Unternehmen muss selbst dafür besorgt sein, dass die Daten am richtigen Ausgang ankommen.
Vor- und Nachteile einer Standortvernetzung mittels VPLS
Im Vergleich zu VLL ist bei VPLS die Konfiguration sowohl beim Unternehmen als auch beim Provider komplexer. VPLS eignet sich typischerweise, wenn es darum geht, eine Handvoll Standorte zu vernetzen. Sobald eine grosse Anzahl verschiedener Standorte verbunden werden muss, ist VPLS weniger geeignet. Die Routing-Logik muss das Unternehmen selbst erbringen, was die Vernetzung viel aufwändiger macht.
Standortvernetzung mit Init7
Wir vernetzen die Standorte unserer Kunden mit flexiblen, konkurrenzlos günstigen und skalierbaren VLL, die sowohl für kleine als auch für grosse Unternehmen geeignet sind. VPLS bieten wir aus den genannten Nachteilen nicht an.
Wenn mehrere Standorte vernetzt werden sollen, kommen bei uns mehrere VLL zum Einsatz. Das ist betriebssicherer, aber nicht teurer, weil unser Abrechnungsmodell pro Standort und nicht pro Verbindung kalkuliert. Im Angebot sind VLL mit 1 Gigabit und 10 Gigabit zum selben Preis, getreu unserer MaxFix-Garantie. Welche Bandbreite gewählt wird, hängt daher nur vom vorhandenen LAN Equipment des Kunden ab. Mehr dazu auf unserer Webseite.