Bei der Migration von IT-Infrastrukturen in die Cloud und in externe Rechenzentren ist es wichtig, zuverlässige Kanäle einzurichten, die die Cloud mit Ihrem Unternehmen verbinden. Viele Anbieter werben damit, dass sie „einen physischen dedizierten Kanal“, „Glasfaser“, „L2-Kanäle“, "VPN" usw. anbieten. Wir klären auf, was es mit diesen Möglichkeiten auf sich hat und welche Vor- und Nachteile sie mit sich bringen.
Physische und virtuelle Kanäle
1. Die Einrichtung einer physischen Leitung oder eines Layer-2-Kanals bezieht sich im Allgemeinen auf einen Dienst, bei dem ein Anbieter entweder ein dediziertes Kabel (Kupfer oder Glasfaser) oder einen Funkkanal zwischen den Büroräumen des Unternehmens und den Räumlichkeiten des Rechenzentrums bereitstellt. Wenn Sie sich für diesen Dienst entscheiden, erhalten Sie in der Regel einen dedizierten Glasfaserkanal zur Miete.
Der Vorteil dieser Lösung ist, dass der Provider für die Zuverlässigkeit der Verbindung verantwortlich ist. Wenn das Kabel ausfällt, muss der Anbieter es wieder in Stand setzen. Allerdings besteht ein solches Kabel aus mehreren miteinander verschweißten Teilen, was es wiederum etwas unzuverlässiger macht. Der Anbieter muss entlang der Kabelstrecke Verstärker und Splitter und an den Endpunkten Router einsetzen.
Im Marketing wird diese Art von Lösung als L2 (Data Link) OSI Network Model oder TCP/IP bezeichnet. Sie ermöglicht den Betrieb auf der Vermittlungsebene von Ethernet-Frames in einem LAN ohne die Probleme der Paketweiterleitung auf der IP-Netzwerkebene. So ist es z.B. möglich, in virtuellen Netzen eigene private IP-Adressen anstelle von registrierten öffentlichen Adressen zu verwenden. Da es sehr bequem ist, private IP-Adressen in lokalen Netzwerken zu verwenden, wurden den Benutzern spezielle Bereiche aus den grundlegenden Adressklassen zugewiesen:
- 10.0.0.0 – 10.255.255.255 in Klasse A (mit Maske 255.0.0.0 oder /8);
- 100.64.0.0 – 100.127.255.255 in Klasse A (mit einer 255.192.0.0 oder /10 Maske);
- 172.16.0.0 – 172.31.255.255 in Klasse B (mit einer 255.240.0.0 oder /12 Maske);
- 192.168.0.0 – 192.168.255.255 in Klasse C (mit einer 255.255.0.0 oder /16 Maske).
Diese Adressen werden von den Nutzern selbst für den internen Gebrauch gewählt und können daher in Tausenden von Client-Netzwerken mehrfach verwendet werden. Datenpakete mit privaten Adressen im Header werden nicht über das Internet weitergeleitet, um Verwechslungen zu vermeiden. Um sich mit dem Internet zu verbinden, muss ein Benutzer NAT oder eine ähnliche Lösung verwenden.
Hinweis: NAT – ist eine Methode, bei der ein IP-Adressraum in einen anderen umgewandelt wird, indem die Netzwerkadressinformationen im IP-Header von Transitpaketen geändert werden, um Pakete vom lokalen Netz des Kunden zu anderen Netzen oder zum Internet zu leiten und umgekehrt – vom LAN des Kunden zum Empfänger.
Dieser dedizierte Kanal hat einen Nachteil: Wenn ein Kunde in eine andere Niederlassung umzieht, kann es zu Verbindungsproblemen in den neuen Räumlichkeiten kommen, und der Kunde muss möglicherweise zu einem anderen Anbieter wechseln.
Die Behauptung, solche Kanäle seien besser gegen Hacker geschützt oder weniger anfällig für Schwachstellen, wenn ein Techniker einen Fehler macht, ist unbegründet. Unsere Erfahrung zeigt, dass Sicherheitsprobleme in der Regel auf der Kundenseite durch menschliches Versagen entstehen (oder von einem Hacker absichtlich herbeigeführt werden).
2. Virtuelle Kanäle und darauf basierende VPNs (Virtual Private Networks) sind sehr beliebt und stellen die Kunden vor zahlreiche Herausforderungen.
Wenn ein Unternehmen ein L2-VPN anbietet, kann man aus einer Reihe von L2-Diensten wählen:
VLAN: Der Kunde erhält ein virtuelles Netzwerk zwischen seinen Büros (in Wirklichkeit wird der Datenverkehr des Kunden über die aktive Ausrüstung des Anbieters geleitet, was die Geschwindigkeit begrenzt);
PWE3, eine Punkt-zu-Punkt-Verbindung oder, anders ausgedrückt, die Emulation einer Punkt-zu-Punkt-Verbindung über ein paketvermitteltes Netz. Dies ermöglicht die Übertragung von Ethernet-Frames zwischen zwei Knoten, als ob diese miteinander verkabelt wären. Es ist wichtig, dass alle übertragenen Frames unverändert an einen entfernten Knoten geliefert werden. Gleiches gilt für die Übertragung in umgekehrter Richtung. Dies wird dadurch ermöglicht, dass der Frame des Anwenders, wenn er den Router des Anbieters erreicht, in einen High-Level-Datenblock (MPLS-Paket) eingekapselt (eingefügt) und am Endpunkt wieder extrahiert wird;
Hinweis: PWE3 – Pseudo-Wire Emulation Edge to Edge – ist ein Mechanismus, der aus Sicht des Nutzers eine dedizierte Verbindung darstellt.
VPLS ist eine Technologie, die ein lokales Netz mit Mehrpunkt-zu-Mehrpunkt-Verbindungen emuliert. In diesem Fall stellt sich das Netz des Anbieters aus Sicht des Kunden als ein Switch dar, der eine Tabelle mit den MAC-Adressen der Netzwerkgeräte speichert. Dieser virtuelle Switch leitet einen Ethernet-Frame, der aus dem Netz des Kunden kommt, an das richtige Ziel weiter, d.h. der Frame wird in ein MPLS-Paket eingekapselt und dann extrahiert.
MPLS – MultiProtocol Label Switching ist eine Datenübertragungstechnologie, bei der Daten von einem Netzknoten zum nächsten auf der Grundlage von Transport-/Service-Labels für kurze Pfade statt langer Netzwerkadressen geleitet werden, unabhängig von Übertragungsmedium und Protokoll. Neue Identifier können bei Bedarf während des Routing-Prozesses hinzugefügt oder entfernt werden, wenn ihre Funktion erfüllt ist. Der Inhalt der Pakete wird weder überprüft noch verändert.
3. Bei einem L3-VPN sieht der Kunde das Netz des Anbieters als einen einzigen Router mit mehreren Schnittstellen. Daher trifft das lokale Netzwerk des Kunden auf das Netzwerk des Anbieters auf der L3-Ebene des OSI- oder TCP/IP-Netzwerkmodells.
Öffentliche IP-Adressen für die Netzwerkverbindungen können mit dem Anbieter vereinbart werden (und können entweder dem Kunden oder dem Anbieter gehören). Der Kunde richtet die IP-Adressen an seinen Routern auf beiden Seiten ein (private für das lokale Netz und öffentliche für den Anbieter), und der Anbieter übernimmt das Routing der Datenpakete. Technisch gesehen wird für diese Lösung MPLS (siehe oben) zusammen mit GRE und IPSec verwendet.
Hinweis: GRE – Generic Routing Encapsulation, ein Tunneling-Protokoll für die Paketierung von Netzwerkpaketen, das den Aufbau einer sicheren logischen Punkt-zu-Punkt-Verbindung durch Protokollkapselung auf L3 ermöglicht. IPSec – IP Security, eine Reihe von Netzwerksicherheitsprotokollen, die auf über IP übertragene Daten angewendet werden und Mechanismen zur Paketauthentifizierung, Verschlüsselung und Integritätsprüfung verwenden.
Es ist wichtig zu beachten, dass moderne Netzwerkinfrastrukturen so konzipiert sind, dass ein Kunde nur einen Teil davon sieht, der in der Vereinbarung festgelegt ist. Dedizierte Ressourcen (virtuelle Server, Router, Betriebsdaten und Backup-Speicher) sowie Betriebsprogramme und Speicherinhalte sind von anderen Nutzern vollständig isoliert. Mehrere physische Server können gleichzeitig und konsistent für einen Kunden arbeiten, der sie als einen einzigen leistungsstarken Serverpool wahrnimmt. Umgekehrt kann ein physischer Server mehrere virtuelle Maschinen beherbergen, die sich für den Benutzer jeweils wie ein eigener Computer mit eigenem Betriebssystem verhalten. Es gibt auch maßgeschneiderte Lösungen, die den Anforderungen des jeweiligen Kunden an eine sichere Datenverarbeitung und -speicherung entsprechen.
Darüber hinaus kann die Konfiguration eines L3-Cloud-Netzwerks auf nahezu jede Größe skaliert werden (so wie auch das Internet und große Rechenzentren konzipiert sind). Dynamische Routing-Protokolle wie OSPF und andere, die in L3-Cloud-Netzwerken verwendet werden, ermöglichen die Auswahl der kürzesten Routen für Datenpakete und das gleichzeitige Senden von Paketen über mehrere Routen. So kann die Last optimiert und die Kapazität der Kanäle erhöht werden.
Gleichzeitig kann ein virtuelles Netzwerk auf L2 bereitgestellt werden, was typisch für kleine Rechenzentren und ältere (oder sehr spezifische) Kundenanwendungen ist. In einigen Fällen wird die L2-over-L3 Technologie verwendet, um die Netzwerkkompatibilität und die Kapazität des Anwendungsbetriebs zu verbessern.