Englisch

Next Generation Network Access Technology by NCP

Seamless Roaming im VPN-Umfeld: Always on!

Mobilgeräten stehen drei Techniken zur Verfügung, um sichere VPN-Tunnel (Virtual Private Network) zu einem Firmennetz aufzubauen: das traditionelle drahtgebundene Ethernet-LAN, Wireless LAN (WLANs) an öffentlichen Hotspots, Hotels oder im Unternehmen und Mobilfunkverbindungen. Beim Mobilfunk müssen wiederum unterschiedliche Technologien unterstützt werden, vom GSM-Netz über 3G-Verbindungen (UMTS) bis hin zu High-Speed-Verbindungen über 4G-Netze (LTE, Long Term Evolution).

"Seamless Roaming" ist die Fähigkeit automatisch zwischen diesen unterschiedlichen Netzen zu wechseln. Die ständig steigende Mobilität, aber auch Mitarbeiter, die sich innerhalb eines Gebäudes oder Campus bewegen, profitieren von Seamless Roaming und einer ständigen Verfügbarkeit von Anwendungen (Always on). Remote Access VPN-Lösungen stellt diese Flexibilität jedoch vor Herausforderungen. Sie müssen

  • den automatischen Wechsel des Verbindungsmediums unterstützen,
  • beim Wechsel des Mediums einen bestehenden VPN-Tunnel dynamisch umleiten und 
  • verhindern, dass Anwendungssitzungen (Sessions) abbrechen.

Als einer der ersten IPsec VPN-Clients weltweit unterstützt die Software von NCP in Verbindung mit dem NCP Secure Enterprise VPN Server das nahtlose Weiterreichen von VPN-Verbindungen über unterschiedliche Medien, und zwar ohne Kompromisse in Bezug auf die Sicherheit. Der Client wechselt während einer Session automatisch das Verbindungsmedium und leitet den VPN-Tunnel dynamisch um. Die VPN Software garantiert in diesem Zusammenhang auch „Location Awareness“, also die automatische Erkennung von sicheren und unsicheren Netzen. Ohne Zutun des Anwenders wird die jeweils erforderliche Firewall-Regel aktiviert bzw. deaktiviert.

Des Weiteren sorgt der VPN Client dafür, dass beim Abbruch einer Verbindung, etwa wenn während einer Zugfahrt keine Mobilfunkverbindung verfügbar ist, der VPN-Tunnel bis zum nächsten Wiederaufbau der physischen Verbindung erhalten bleibt. Die logische Connection besteht in diesem Fall weiterhin, auch wenn der VPN Client keinen Zugang zum VPN Server hat. Den Anwender informiert die Client Software über den zeitweiligen Ausfall der physischen Verbindung, indem sie den Status des VPN-Tunnels im Client-Monitor von Grün auf Gelb setzt. 

Dabei steuert die Software im Seamless Roaming-Betrieb dynamisch das DPD-Handling, sodass im Fall einer Unterbrechung der physikalischen Verbindung weder VPN Gateway noch VPN Client die Verbindung terminieren. DPD (Dead Peer Detection) ist ein Verfahren, das erkennt, ob eine VPN-Verbindung auf Basis von IPsec unterbrochen wurde und das den Neuaufbau des Tunnels ermöglicht. 

Beim VPN-Zugang über Mobilfunk, siehe das Beispiel Zugfahrt, baut die VPN-Lösung die Verbindung automatisch auf, sobald das Netz wieder verfügbar ist. Für den Anwender läuft dieser Vorgang transparent ab, um eine Fehlbedienung zu verhindern und um von dieser Aufgabe zu entlasten.

Zum Bedienkomfort trägt außerdem bei, dass sich der Benutzer des VPN-Clients nicht mit der Frage beschäftigen muss, welches Medium das "Beste" ist, etwa WLAN oder Mobilfunknetz. Er braucht lediglich einen "Connect"-Button drücken, und die Client Software wählt auf Basis der "Policies", die der Netzwerkmanager vorgegeben hat, den am besten verfügbaren Verbindungstyp aus. 

Detaillierte Informationen zum NCP Secure Enterprise Client finden Sie hier.