Geschäftsprozesse hängen immer mehr von einer sicheren und schnellen Datenverbindung innerhalb des Unternehmens ab. Die Technik hat dabei große Schritte gemacht.
Wurden in den 80er Jahren noch teure getaktete Datenübertragungsdienste auf Basis von Telefonleitungen genutzt, um die Filiale an den Mainframe in der Zentrale anzubinden, so werden heute verschiedene Carrier und deren Dienste für die Verbindungen in Anspruch genommen.
Inhalt:
Access Technologien
Der Ausbau von Glasfaser in Deutschland ist in den letzten 5 Jahren deutlich schneller vorangegangen als zuvor. Trotzdem sind viele Orte bislang nur mit Kupfer Doppelader versorgt. Vorrangig sollten Standorte mit Glasfaser angebunden werden.
- Auf Kupferleitungen realisieren Anbieter in Deutschland nur Bandbreiten bis maximal 100 Mbit/s symmetrisch. Asynchrone Verbindungen über VDSL realisieren zwar höhere Downloadraten über Kupfer, sind aber nur als Backup Lösung zu empfehlen, da der Upload in der Regel maximal 10 Prozent der Downloadleistung beträgt und DSL überdies als „Shared Medium“ ausgeführt wird, d.h. man teilt sich die Bandbreite mit anderen Anschlussinhabern.
- In gut ausgebauten Gebieten lässt sich oft auch eine Verbindung über einen Kabelnetzbetreiber realisieren. Im DOCSIS 3.1 Standard sind bis zu 10 Gbit/s Durchsatz vorgesehen. Im Realbetrieb werden von den Providern jedoch maximal Gigabit Verbindungen angeboten, die dann auch nur asynchron verfügbar sind.
- Gigabit Geschwindigkeiten lassen sich zudem per Richtfunk erreichen. Dies setzt allerdings eine Sichtverbindung zwischen den beiden Endpunkten voraus. Zur Campusvernetzung auf weitläufigen Firmenarealen ist dies gut geeignet. Bei weiteren Strecken über viele Kilometer sind dann aber schon Funktürme und ggf. Relaisstationen notwendig, um das Signal zuverlässig zu transportieren.
- Mobilfunk bietet mit dem neuen Standard 5G großes Potential um eine terrestrische Verbindung mit einem 5G Backup zuverlässig zu ergänzen. Die Ausbausituation ist aber in Deutschland noch nicht weit fortgeschritten. Vornehmlich wird im ersten Schritt der Netzausbau mit kurzer Reichweite vorangetrieben, d.h. die Entfernung zum nächsten Mobilfunkmast darf nicht zu groß sein, wenn man die mögliche Bandbreite ausnutzen möchte. Erst in den nächsten Jahren wird die Technik von den Mobilfunkanbietern auf größere Entfernungen hin ausgebaut und optimiert.
- LTE oder 4G ist hingegen mittlerweile im ganzen Land verfügbar und bietet je nach Standort ausreichend Durchsatz um als Backup einer verkabelten Anbindung zu dienen.
- Satelliten Internet fristete lange Zeit ein Schattendasein in Mitteleuropa. Der Service und die Hardware waren teuer, die verfügbaren Bandbreiten sehr begrenzt und die IP Paketlaufzeiten so lange, dass viele Anwendungen damit nicht funktionierten.
Das ändert sich gerade, denn einige Unternehmen bauen seit geraumer Zeit globale Satellitennetzwerke auf, um jeden Flecken des Globus mit schnellem Internet versorgen zu können. Um das Problem der zu langen Paketlaufzeiten zu lösen, werden die Satelliten dazu in einen vergleichsweise niedrigen Orbit gebracht.
Um auf dieser Umlaufbahn eine möglichst große Abdeckung der Erdkugel zu erreichen sind tausende Satelliten notwendig. Starlink ist als einer der ersten Anbieter dazu aktuell in einer Beta Testphase. Andere Unternehmen planen ebenfalls umfangreiche Satellitennetzwerke.
Standortvernetzung & Sicherheit
Firmendaten sind ein schützenswertes Gut. Standortvernetzungen müssen deshalb den Fokus auf die Sicherheit, Zuverlässigkeit und Integrität der Datenverbindung legen. Der Schutz vor Datenspionage und Manipulation ist unabdingbar.
- Eine (wenn auch kostenintensive) Möglichkeit besteht darin, die eigenen Standorte nicht über das Internet sondern über eigens vom Provider geschaltete Wege zu verbinden. Dabei schaltet der Anbieter eine sogenannte MPLS Verbindung durch seinen Backbone. Hierüber wird dann per VLAN eine IP Layer 2 Verbindung realisiert. Eine MPLS Verbindung selbst besitzt allerdings abgesehen vom exklusiven Access keine inhärente Sicherheit. Das bedeutet, dass eine zusätzliche Verschlüsselung des Traffic erforderlich ist. IPSec, L2TP, SSL/TLS und Wireguard sind Softwareimplementierungen, welche unter dem Oberbegriff VPN zusammengefasst werden. Mit einer VPN Verbindung schaffen Sie ein virtuelles privates Netzwerk und können über einen Tunnel somit private Netzwerke miteinander verbinden. Die Verbindungen werden grundsätzlich verschlüsselt.
- Die Authentisierungsmethode wird heutzutage in der Regel über Zertifikate betrieben. In kurzen Abständen werden zwischen den Tunnel Endpunkten die kryptographischen Session Keys neu verhandelt um ein Abhören zu erschweren.
- Firewalls dienen heutzutage nicht nur dazu externe Angreifer aus dem Internet abzuwehren. Auch das interne Netz wird sinnvollerweise mit Perimeter Firewalls geschützt, die nach dem Prinzip „Zero Trust“ die internen Verbindungen überwachen.
- Beim Zero-Trust-Modell handelt es sich um ein Sicherheitskonzept, das grundsätzlich allen Diensten, Anwendern und Geräten misstraut. Es wird kein Unterschied zwischen Diensten, Anwendern und Geräten innerhalb oder außerhalb des eigenen Netzwerks gemacht. Sämtlicher Verkehr muss geprüft werden und alle Anwender oder Dienste müssen sich authentifizieren. Verbindungen von Clients zu Servern erfolgen grundsätzlich verschlüsselt und im Idealfall wird ein Single Sign On mit einer 2 Faktor Authentifizierung kombiniert.
Kombination der Architekturen
Die bislang erwähnten Techniken werden in Kombination genutzt um eine sichere und zuverlässige Standortvernetzung zu erreichen.
- Internet VPN: Bei einem sogenannten Site-to-Site VPN kommt an jedem Standort ein VPN Router zum Einsatz, der den nötigen VPN-Tunnel zwischen den Standorten aufbaut. Üblicherweise wird dies als „Hub and Spoke“ designt, d.h. alle Filialen sind mit der Firmenzentrale verbunden. Die Kommunikation zwischen den Standorten läuft also immer über die Zentrale.
- Bei Any-to-Any erfolgt die Vernetzung in einer vermaschten Topologie, dabei kann der Datentransfer sowohl über den Hauptstandort aber auch über alle Außenstellen laufen. Dies macht vor allem bei geographisch weit verteilten und internationalen Standorten Sinn.
- MPLS: Hub and Spoke und Any-to-Any kann auch im MPLS-Netz designt werden. Die klar vordefinierten Routen innerhalb des Netzes werden komplett vom gewählten Provider verwaltet. Eine Priorisierung verschiedener Dienstklassen und ein Bandbreitenmanagement zwischen den verschiedenen Dienstklassen wird ebenfalls vom Provider bereitgestellt.
Internet VPN, MPLS und SD-WAN
- Internet VPN ist eine preisgünstige Möglichkeit Standorte mit hoher Bandbreite schnell zu vernetzen. Es fehlen aber wichtige Merkmale wie z.B. die Klassifizierung und Priorisierung von Traffic Klassen.
- MPLS hingegen wurde designt, um Datenverkehr auf definierten Pfaden und mit QoS Merkmalen weiterzuleiten. Allerdings stellen diese Verbindungen einen hohen Kostenfaktor dar und sind in hohen Bandbreiten wirtschaftlich nicht mehr darstellbar. Zudem ist das Management und die Bereitstellung der Verbindung komplett vom gewählten Carrier abhängig. Darum setzt sich seit einigen Jahren ein Lösungsansatz durch, der das Beste von beiden Welten vereinigt.
- SD-WAN ist ein softwarebasiertes Netzwerkdesign, welches seinen Ursprung in der Rechenzentrumstechnik hat. Hierbei werden mehrere Internetverbindungen gebündelt und zu einem verschlüsselten Tunnel zusammengefasst. Der Datenverkehr kann zusätzlich mit MPLS ähnlichen Merkmalen proirisiert werden. Das Management erfolgt hier transparent und Carrier unabhängig über einen Orchestration Server, welcher Konfiguration und Monitoring bietet. Mit diesem Ansatz erreicht man eine hohe logische und physische Sicherheit in der Standortvernetzung ohne sich von einem einzelnen Provider abhängig zu machen.
In Zukunft wird das Management komplexer Netze zunehmend von Software gesteuert. Die ersten Anbieter arbeiten schon an Algorithmen mit künstlicher Intelligenz um die Vision des „Self Healing Network“ zu erreichen.
Im Idealfall entlastet dies den Netzwerkadministrator von zeitraubenden Routine Tätigkeiten und gibt ihm mehr Freiraum für die Fortentwicklung des Netzes.
Jamboon Enterprise SD-WAN Grafik – Hybrid Modell
SD-WAN Lösungen von becom
Jamboon Enterprise SD-WAN ist die Lösung für komplexe Ansprüche. Maximale Performance gepaart mit Redundanz, Backup und Quality of Service sind nur einige Merkmale.
- Als SD-WAN Anbieter realisieren wir für unsere Kunden zeitnah und flexibel SD-WAN Architekturen.
- In Verbindung mit unseren weltweiten Services bieten wir unseren Kunden eine vollständige und globale Netzwerklösung an. Das SD-WAN und die darunter liegende WAN Infrastruktur werden vollständig von becom bereitgestellt.
- SD-WAN Managed-Service: Auf Ihren Wunsch übernehmen wir die gesamte Planung, Ausführung und das gesamte Netzwerkmanagement Ihrer Standortvernetzung. So können Sie sich voll und ganz auf Ihr Business konzentrieren.
- Gemeinsam mit Ihnen erstellen wir hochwertige SLA’s, damit Sie genau wissen, was Sie erwarten können. Der Support wird dabei ganz auf die Bedürfnisse unserer Kunden abgestimmt.
- Weitere Services: Fachkundige Hard- und Softwareberatung, Hardware Verkauf, Planung von WAN Verbindungen und/oder Internetzugängen inkl. Bündelung, Einrichtung und Betrieb gehosteter Rechenzentren uvm.
Sind Sie interessiert mehr über Jamboon Enterprise SD-WAN zu erfahren? In einer Live-Demo zeigen wir Ihnen alle technischen Möglichkeiten und Vorteile dieser Technologie. Nehmen Sie Kontakt zu uns auf!
Wir freuen uns über Ihre Anfrage über das Kontaktformular oder direkt per Telefon: +49 6441 96500.
Ihr becom Systemhaus