Konstantin Emelyanov - Fotolia

So berechnen Sie die benötigte VPN-Bandbreite richtig

Firmen haben IPsec-VPNs als effizienten Weg zur Remote-Anbindung entdeckt. Wir zeigen, wie Sie die richtige VPN-Bandbreite bestimmen und was beim VPN-Overhead zu beachten ist.

Internet-VPNs sind ein unverzichtbares Tool für Unternehmen, die Remote-Arbeiter mit Unternehmensressourcen und -anwendungen verbinden müssen. Doch bevor Unternehmen diese VPNs bereitstellen, gilt es, zwei wichtige Fragen zu beantworten: Wie viel VPN-Bandbreite ist im Internet möglich? Und wenn es um die Beschaffung von Leitungen für die Internetkonnektivität an Remote-Standorten geht: Wie viel Bandbreite sollten Sie angeben? Um diese Fragen zu beantworten, lassen Sie uns die treibenden Faktoren untersuchen.

Für diesen Artikel betrachten wir nur IPsec-VPNs. Dabei handelt es sich um echte VPNs, die so konfiguriert sind, dass sie Hosts oder Netzwerke mit einem privaten Netzwerk verbinden. VPN-Verbindungen, die Transport Layer Security (TLS) nutzen, bleiben außen vor, weil TLS generell verwendet wird, um bestimmte Anwendungs-Sessions zu schützen.

IPsec-VPN-Overhead

Der Overhead bei IPsec-VPN hängt davon ab, ob der Tunnelmodus oder der Transportmodus zum Einsatz kommt. Der Tunnelmodus bietet eine bessere Sicherheit bei geringfügig größerem Overhead, indem er den Original-IP-Header kapselt. Es ist die Methode, die üblicherweise für Site-to-Site-VPNs verwendet wird. Deshalb nutzen wir sie für unsere Analyse.

Ein weiterer Aspekt ist die Qualität der Internetverbindung. Die Geschwindigkeit von ISP-Verbindungen (Internet Service Provider) nimmt überall auf der Welt immer weiter zu. Natürlich hängt das tatsächlich erreichte Tempo von der lokalen Konnektivität und etwaigen Überlastungen ab, unabhängig von der Geschwindigkeit des physischen Links. Gut angebundene Teile der Welt erleben Multimegabit-Geschwindigkeiten. Mobilfunkverbindungen wiederum erlauben oft nur ein Tempo von wenigen Megabit – oder sogar weniger. Das ist abhängig von der Signalstärke und Auslastung.

Betrachten wir den VPN-Overhead für mehrere unterschiedliche Paketgrößen und den Effekt auf eine Ethernet-Verbindung mit 10 MBit/s zu einem ISP. Die Zahlen für 10 MBit/s lassen sich einfach an die verfügbaren ISP-Link-Geschwindigkeiten nach oben und unten anpassen.

  • 1 Byte an Anwendungsdaten. Der ungünstigste Fall ist der Transport von 1 Byte an Anwendungsdaten, wie bei Telnet oder Secure Socket Shell (SSH). Das resultierende TCP/IP-Paket ist 41 Byte groß. Der IPsec-VPN-Overhead für dieses Paket beträgt zusätzliche 84 Byte, was zu einer Paketgröße von insgesamt 128 Byte führt, eine Zunahme von 200 Prozent. Ein Ethernet-Link mit 10 MBit/s kann bei dieser Paketgröße ungefähr 8.845 Pakete bewältigen. Zum Glück werden Anwendungen, die ein einzelnes Byte gleichzeitig übertragen, selten genutzt und arbeiten bei geringen Geschwindigkeiten.
  • 160 Byte an Anwendungsdaten. Realistischer ist ein 711-Breitband-Codec für Voice over IP (VoIP) mit 50 Paketen pro Sekunde und einem Payload von jeweils 160 Byte. Der UDP/IP-Header ist 28 Byte groß, was vor dem Eintritt in das VPN ein Paket von 188 Byte ergibt. Die Größe des verschlüsselten IPsec-Pakets beträgt 272 Byte, eine Zunahme von circa 50 Prozent. Ein Ethernet-Link mit 10 MBit/s kann ungefähr 4.032 Pakete pro Sekunde oder 80 gleichzeitige Telefonanrufe bewältigen.
  • 328 Byte an Anwendungsdaten. Die maximale sichere Paketgröße für ein IPsec-VPN beträgt 1.328 Byte. Die meisten Internet-Links sind auf Pakete mit einer Größe von nicht mehr als 1.500 Byte begrenzt. Die Differenz ermöglicht IPsec und andere häufig verwendete Protokoll-Header. Addiert man den TCP/IP-Header von 40 Byte, ergibt sich eine unverschlüsselte Paketgröße von 1.368 Byte. Die Größe des IPsec-Pakets beträgt dann 1.456 Byte, eine Zunahme von circa 6 Prozent. Ein Ethernet-Link mit 10 MBit/s kann ungefähr 836 Pakete pro Sekunde bewältigen. Um dann die benötigte Bandbreite zu bestimmen, ist ein Verständnis der Anwendungen erforderlich.

VPN-Bandbreitendaten nutzbringend einsetzen

Sie können nun Ihr Wissen über den IPsec-VPN-Overhead auf die Dimensionierung von Internet-Links anwenden. Sie müssen die Eigenschaften der Anwendungen verstehen, die über das IPsec-VPN genutzt werden, um die zur Erfüllung der Serviceerwartungen notwendige Bandbreite abzuschätzen. Schlüsselfaktoren sind die Paketgrößen einer Anwendung, ihr Umfang und ihre Häufigkeit.

Es finden sich häufig mehrere gängige Paketgrößen auf einem Link. Sprachübertragungen verwenden Pakete von 250 Byte, während Dateitransfers und grafische Anwendungen die größten Pakete nutzen. Webanwendungen setzen verschiedene Paketgrößen ein, von klein bis groß, je nachdem, welche Operation gerade stattfindet.

Praktisch sind Anwendungsanbieter selten in der Lage, die notwendigen Daten zur Verfügung zu stellen. Es können Paketmitschnitte einer genutzten Anwendung erforderlich sein, um den Mix von Paketgrößen, die der Link unterstützen sollte, zu verstehen. Um zu einer korrekten Einschätzung der Link-Bandbreite zu kommen, werden diese Informationen mit der Anzahl der User an einem Standort und den Anwendungen, die sie typischerweise einsetzen, kombiniert.

Natürlich hilft es, die Link-Geschwindigkeit etwas größer zu wählen, um eine Spitzenauslastung abzudecken, die in den Paketmitschnitten nicht zu erkennen war, oder um Wachstum und neue Anwendungen zu berücksichtigen.

Beachten Sie, dass es beim ISP selbst zu einer Überlastung kommen kann, die den Durchsatz begrenzt – auch dann, wenn Sie den Internet-Link ausreichend dimensioniert haben. Möglicherweise müssen Sie Tools für Application Performance Monitoring und Active Path Testing bereitstellen, um den Pfaddurchsatz zu messen. Service Level Agreements (SLA) mit Ihren ISP-Carriern können ebenfalls dazu beitragen, nicht erfüllte Erwartungen zu verhindern, wenn Sie die korrekte benötigte VPN-Bandbreite bestimmen.

Erfahren Sie mehr über Netzwerksicherheit