Zweigstellen und Remote-User sicher anbinden:
Aruba ist jetzt auch Netzwerk-Anbieter für Remote-Access

von Werner Veith (werner.veith@networkcomputing.de)

Share
20.05.2009

Mit dem »Virtual Branch Network« (VBN) bindet Aruba nun auch Zweigstellen und Home-Offices über das WAN an die Zentrale an. Für den Zugang per VPN verwendet der Hersteller Technologie aus seinen Wireless-Infrastruktur-Lösungen.

(Fortsetzung des Artikels von Seite 1)

Aruba [1] wagt sich in den drahtgebundenen Bereich. Mit dem »Virtual Branch Network« (VAB) bindet der Wireless-Hersteller nun Zweigstellen, Home-Offices oder Remote-User per VPN an die Zentrale eines Unternehmens an. Gegenüber anderen Remote-Access-Lösungen will das Unternehmen darüber punkten, dass in den entfernten Büros selbst fast keine Konfiguration notwendig ist. Dazu greift Aruba auch auf eigene Sicherheitstechnologie mit übergreifenden Regeln zurück, die es bereits in ihre Wireless-Infrastruktur-Lösungen integriert hat. In der Zentrale kommt ein »Multi Service Controller« zum Einsatz, der »Remote Access Point« (RAP) beziehungsweise »Branch Office Controller« (BOC) in den entfernten Orten steuert. Anwender müssen bei der ersten Konfiguration des RAP oder BOC lediglich über den Web-Browser dem Gerät die Adresse des Multi-Service-Controllers mitgeben. Alles andere konfiguriert dieser dann Remote, inklusive Updates. Die Adresse kann der Administrator einfach per E-Mail verschicken.

Der »Branch Office Controller 651« von Aruba bindet über das »Virtual Branch Network« per VPN bis zu 256 Nutzer an die Zentrale an.

Den Zugang zu Netzwerk-Diensten, Applikationen und Ressourcen definiert das VAB über Regeln, die dann für alle RAPs oder BOCs gelten. Diese lassen sich pro Nutzer, Gerät oder Session definieren. Bei Anwendern spielt es daher keine Rolle, ob sie sich in einer Zweigstelle befinden oder remote zugreifen. Damit gelten sie unabhängig davon, in welcher Zweigstelle der Nutzer sich gerade aufhält.

Eine »Distributed Policy Enforcement Firewall«-Engine (PEF) setzt in den Geräten die Regeln vor Ort um. Da auch auf den kleinen, nicht mal Taschenbuch großen RAP-2 eine PEF ist, muss auch hier auf dem Client-Computer kein VPN-Client für den Remote-Access laufen. Die Regeln greifen sowohl für Wireless-LAN als auch den LAN-Zugang.

Für die Verbindung zwischen dem Controller und den Aruba-Endpunkten kommt ein IPsec-Tunnel zum Einsatz. NAT wird mittels NAT-Traversal durchquert. Die Schlüssel liegen im Data-Center-Controller, so dass ein Diebstahl der RAPs beziehungsweise BOCs nichts bringt. VAB lässt sich auch gemeinsam etwa mit Riverbeds WAN-Beschleunigern einsetzen.

Auf den Data-Center-Controllern muss Arubas VBN-Software laufen. Die Controller gibt es in vier Größen. Dabei lassen sich zwischen 128 bis 8192 RAPs beziehungsweise BOCs kontrollieren. Die größte Ausbaustufe verwaltet bis zu 32.000 Anwender.

Die Administration des Ganzen erfolgt mit Hilfe der »AirWave Management Platform«. Sie bietet Funktionen für Konfiguration, Compliance-Management, Sicherheit, Monitoring und Reports.

Auf der Seite der Zweigstellen beziehungsweise Remote-Worker gibt es einmal die RAP-2 und -5-Serie. Für Büros mit bis zu 256 Nutzern kommt die »600er BOC«-Serie zum Einsatz. Gegenüber dem RAP verfügt über der BOC noch über einen kleinen Wireless-Controller, der Access-Points vor Ort steuert. Aber auch dieser Controller wird remote kontrolliert.

Alle Einheiten bringen für WLAN auch ein Wireless-Intrusion-Protection-System (WIPS) mit. Dank Split-Tunneling können Nutzer auch direkt ins Internet gehen, ohne dass die Daten über die Zentrale laufen. Aber auch hier greift die Policy-Enforcement-Firewall. Mit Hilfe von Policies regelt VAB auch das Forwarding. So greift der Nutzer auf den lokalen Drucker zu. Sein VoIP-Telefon verbindet sich aber mit der Zentrale.

Die RAP-2-Serie lässt sich fast in die Tasche stecken und besitzt ein WLAN-Modul für 11b/g und zwei Ethernet-Ports. Einer dient für den WAN-Anschluss. An dem anderen kann etwa ein IP-Telefon arbeiten. Die RAP-5-Serie dagegen besitzt einen Fast-Ethernet-Switch mit vier Ports und einen Gigabit-Ethernet-Port. Wahlweise gibt es die Geräte auch mit WLAN für 802.11a/b/g/n.

Der BOC 620 liefert 8 Fast-Ethernet-Ports und zweimal Gigabit-Ethernet. Beim 650er kommen noch Print-Server und NAS-Unterstützung für den Anschluss per USB beziehungsweise für USB-Festplatten. Schließlich bringt der 651 noch 802.11a/b/g/n mit einem Funkmodul.

Die Kosten für den RAP-2 mit WLAN liegen bei 109 Dollar. Für den RAP-5 fallen 434 Dollar an. Die Preise für die BOCs beginnen bei 1644 Dollar. Letztere kommen erst im Juni.

[1] http://www.arubanetworks.com/index.de.php

Verwandte Artikel