Lehrbuch. Advanced VPN. Rund um IPSec- und SSL-VPNs mit Routern von Cisco. Rukhsar Khan. 10. März 2010

Transkript

1 Lehrbuch Advanced VPN Rund um IPSec- und SSL-VPNs mit Routern von Cisco Rukhsar Khan 10. März 2010 Herausgeber: AIRNET Technologie- und Bildungszentrum GmbH Copyright c Alle Rechte vorbehalten. info@airnet.de Internet

2

3 Lektorat: Bertram Hoffmann, Walter Kahrmann (technisch) Typographie, Satz und Layout: Bertram Hoffmann, Rukhsar Khan Umschlaggestaltung: Jürgen Salzmann Wichtiger Hinweis Alle Angaben in diesem Lehrbuch wurden vom Autor mit größter Sorgfalt erarbeitet bzw. zusammengestellt und unter Einschaltung wirksamer Kontrollmaßnahmen reproduziert. Trotzdem sind Fehler nicht ganz auszuschließen. Der Herausgeber sowie der Autor sehen sich deshalb gezwungen, darauf hinzuweisen, daß sie weder eine Garantie noch die juristische Verantwortung oder irgendeine Haftung für Folgen, die auf fehlerhafte Angaben zurückgehen, übernehmen können. Für die Mitteilung etwaiger Fehler sind der Herausgeber und der Autor jederzeit dankbar. Internet-Adressen, Versionsund Revisionsstände stellen den bei Redaktionsschluss verfügbaren Informationsstand dar. Der Herausgeber und der Autor übernehmen keinerlei Verantwortung oder Haftung für Veränderungen, die sich aus nicht von ihnen zu vertretenden Umständen ergeben. ISBN , überarbeitete und erweiterte Auflage 2009 Die vorliegende Publikation ist urheberrechtlich geschützt. Alle Rechte, auch die der Übersetzung, vorbehalten. Kein Teil des Werkes darf in irgendeiner Form (Einscannen, Druck, Fotokopie, elektronische Form oder einem anderen Verfahren) ohne schriftliche Genehmigung des Herausgebers reproduziert, vervielfältigt oder verbreitet werden. In diesem Lehrbuch werden eingetragene Warenzeichen, Handelsnamen und Gebrauchsnamen verwendet. Auch wenn diese nicht als solche gekennzeichnet sind, gelten die entsprechenden Schutzbestimmungen. Dieses Lehrbuch wurde in keinerlei Weise von Cisco Systems gesponsert, zertifiziert oder autorisiert. Es handelt sich hierbei komplett um eine Eigenentwicklung der Airnet Technologie- und Bildungszentrum GmbH. Eine Affiliation mit Cisco Systems besteht nicht. c 2009, Airnet Technologie- und Bildungszentrum GmbH iii

4 iv c 2009, Airnet Technologie- und Bildungszentrum GmbH

5 Vorwort Die letzten 10 Jahre haben insbesondere im WAN-Bereich enorme Änderungen hervorgebracht. Während in den 1990er Jahren klassische Standleitungen, ISDN-Wählverbindungen, Frame-Relay und ATM stark im Einsatz waren, sind es heute Virtuelle Private Netze, Virtual Private Netwoks (VPNs). VPNs können jedoch nicht ohne ein physikalisches Übertragungsmedium betrieben werden. Hierzu wird heute sehr oft DSL und Fast-, Gigabit- oder 10-Gbit-Ethernet eingesetzt. In diesem Lehrbuch gehen wir zunächst ganz kurz auf die herkömmlichen WAN-Techniken ein. Anschließend werden die bekanntesten VPN-Techniken ausführlich behandelt. Hierzu zählt die Protokollfamilie IP Security, Generic Route Encapsulation (GRE) sowie Multipoint GRE (mgre) und Secure Socket Layer (SSL)-VPNs. Schließlich gehen wir auch ganz kurz auf das Protokoll Layer 2 Tunnel Protocol (L2TP) ein. Wir haben uns bemüht, verschiedene Methoden dieser Protokolle aufzuzeigen und den bestmöglichen Bezug zur Praxis herzustellen. Insbesondere zeigen wir in Kapitel 5 auf Seite 55 mehrere Probleme, die in vielen VPN-Umgebungen auftreten und meist unbemerkt bleiben. Im Vordergrund dieses Lehrbuchs stehen die Technologien und Protokolle. Hinsichtlich der Cisco-Implementierung haben wir uns auf die gängigsten Varianten beschränkt. Wir haben uns sehr bemüht, das Lehrbuch so zu gestalten, dass es sowohl für den Unterricht als auch für das Selbststudium geeignet ist. Um die nachträgliche Suche - insbesondere bei Einsatz dieser Lehrbücher im Unterricht - zu erleichtern, haben wir mehrere umfangreiche Verzeichnisse und Indizes aufgenommen. Am Anfang des Lehrbuchs haben wir nach dem Inhaltsverzeichnis ein Abbildungs- und Tabellenverzeichnis eingefügt. Dem folgt ein Verzeichnis der Beispiele, das sämtliche Beispielkonfigurationen dieses Lehrbuchs enthält. Am Ende haben wir ein Glossar und eine Liste der Akronyme angefügt, der das Stichwortverzeichnis und zum Schluss ein Befehlsverzeichnis folgt. Wird dieses Lehrbuch im Unterricht eingesetzt, benötigen Sie das Befehlsverzeichnis während der Praxisübungen. Jedes Kapitel beginnt dann noch mit einer kleinen Inhaltsangabe, in der die Abschnitte und Unterabschnitte aufgeführt sind. In der Hoffnung, dass es uns gelungen ist, ein praxisnahes, übersichtliches und gut leserliches Lehrbuch zu veröffentlichen, wünschen wir dem Leser viel Spaß! Rukhsar Khan Airnet Technologie- und Bildungszentrum GmbH November 2009 v

6 vi c 2009, Airnet Technologie- und Bildungszentrum GmbH

7 Inhaltsverzeichnis 1 Virtuelle Private Netze (Virtual Private Networks) Herkömmliche WAN-Technik VPN-Technik Kryptographie und IPSec-VPNs Kryptographie Übersicht IPSec-Übersicht Konfigurieren und Verifizieren von IPSec mit Pre-Shared-Keys Erweiterte IPSec-Konfiguration GRE, OSPF und IPSec Protokoll GRE-IP GRE-IP und OSPF GRE-IP, IPSec und OSPF Dynamisches Mehrpunkt-VPN Beschreibung eines DMVPN Konfigurieren und Verifizieren eines DMVPN IP-Fragmentierung, TCP-MSS, PMTUD und VPNs IP-Fragmentierung und TCP-MSS Path-MTU-Discovery und VPNs PKI und Digitale Zertifikate PKI-Überblick Digitale Zertifikate Public-Key-Kryptographie Standards und Protokolle Konfigurieren und Verifizieren von IPSec in einer PKI Zertifikatsserver unter Windows Installation des Zertifikatsservers SCEP-Installation Abfrage des Challenge-Passworts Administration des Zertifikatsservers Aufbau von Remote-Access-VPNs Beschreibung eines Easy-VPN-Servers Konfigurieren eines Easy-VPN-Servers Konfigurieren eines Easy-VPN-Remote-Routers Cisco VPN Client 115 vii

8 Inhaltsverzeichnis 9.1 Authentifizierung durch einen Pre-Shared-Key Authentifizierung durch digitale Zertifikate Adressübersetzung durch NAT und PAT Übersicht über NAT und PAT Konfigurieren und Verifizieren von NAT und PAT NAT-Erweiterungen für IPSec Problembeschreibung von IPSec und Adress-Übersetzung IPSec/NAT-Lösungen Beschreibung und Konfiguration von AAA AAA und Cisco ACS Authentifizierung (Authentication) Autorisierung (Authorization) Accounting SSL-VPNs Übersicht über SSL-VPNs Konfigurieren und Verifizieren von SSL-VPNs Remote-Access-VPN mit L2TP Übersicht über L2TP Konfigurieren und Verifizieren von VPDNs mit L2TP Glossar 185 Akronyme 187 Stichwortverzeichnis 189 Befehlsverzeichnis 193 viii c 2009, Airnet Technologie- und Bildungszentrum GmbH

9 Abbildungsverzeichnis 1.1 Packet-, Frame- und Cell-Switching-Netzwerke Stand- und Wählleitungen Internet und DSL Privates Netz Virtuelles Privates Netz (Virtual Private Network) Charakteristik eines VPN VPN-Klassen Site-to-Site-VPN Remote-Access-VPN Kryptographie per definitionem Secret-Key-Kryptographie Secret-Key-Kryptographie - Anforderung an Schlüsselverwaltung Secret-Key-Kryptographie - Anforderung an Schlüsselverwaltung Schlüsselverwaltung - Diffie-Hellman-Schlüsselaustausch Diffie-Hellman-Schlüsselaustausch Diffie-Hellman-Schlüsselaustausch Anforderung der Authentifizierung Authentifizierung/Datenintegrität Public-Key-Verfahren Public-Key-Infrastructure Auszug aus dem IPSec-Framework IPSec-Protokollimplementierung IPSec-Modi IPSec-Implementierung im Tunnel-Modus IPSec-Implementierung im Transport-Modus Aushandlung von Security-Parametern Security-Association & Schlüsselverwaltung Security-Associations (SAs) IKE-Phase I IKE-Phase II IPSec-Tunnel Fünf IPSec-Schritte Layout Beispielnetzwerk Aufbau von IPSec-Tunneln zwischen mehreren Routern Layout Beispielnetzwerk GRE-Protokollimplementierung Client-Ping GRE-Protokollimplementierung OSPF über GRE-IP ix

10 Abbildungsverzeichnis 3.6 GRE/OSPF/IPSec-Kombination Eigenschaften eines DMVPN DMVPN-Einsatzmodell Hub-and-Spoke DMVPN-Einsatzmodell Spoke-to-Spoke Funktion in einem DMVPN Funktion in einem DMVPN Funktion in einem DMVPN Funktion in einem DMVPN IP-Fragmentierung Maximum-Segment-Size (MSS) des TCP-Protokolls Festlegung der MSS Path-MTU-Discovery (PMTUD) Einfache PMTUD mit IPSec Doppelte PMTUD mit IPSec Fazit Pre-Shared-Keys Erzeugung von digitalen Zertifikaten Authentifizierung durch digitale Zertifikate Bestandteile einer PKI-Umgebung PKI-Hierarchie Format eines digitalen Zertifikats Geräte-Information (Device Information) Identitäts- und CA-Zertifikat Signaturerstellung für ein Identitäts-Zertifikat Austausch der Identitäts-Zertifikate Authentifizierungsprozess Zertifikats-Sperrliste (Certificate Revocation List (CRL)) PKCS#10-Format PKCS#10-Zertifikatsanfrage PKCS#7-Antwort SCEP-Funktion Layout Beispielnetzwerk Start - Systemsteuerung - Software Software - Windows Komponenten hinzufügen/entfernen Anwendungsserver Zertifikatsdienste Meldung Zertifikatsdienste Zertifikatsdienste Zertifizierungsstellentyp Privates/Öffentliches Schlüsselpaar Informationen über die Zertifizierungsstelle Erzeugung des kryptographischen Schlüssels Einstellungen der Zertifikatdatenbank Komponenten werden konfiguriert Meldung Zertifikatsdienste x c 2009, Airnet Technologie- und Bildungszentrum GmbH

11 Abbildungsverzeichnis 7.14 Fertigstellen des Assistenten Ausführen SCEP Add-On for Certificate Services SCEP Setup Wizard Application Identity Options Challenge Phrase Options SCEP RA Certificate Enrollment Completing SCEP Setup Wizard SCEP Setup Successful Anmeldung am Zertifikatsserver Webbrowser - Challenge-Passwort Zertifizierungsstelle Zertifizierungsstelle - Airnet-CA Zertifizierungsstelle - Ausstehende Anforderungen Aktion - Alle Tasks - Ausstellen Zertifizierungsstelle - Ausgestellte Zertifikate Aktion - Alle Tasks - Zertifikat sperren Zertifikatsperrung Zertifizierungsstelle - Gesperrte Zertifikate Aktion - Eigenschaften Parameter für Sperrlistenveröffentlichung Zertifikatsperrliste anzeigen Einsatz eines Easy-VPN-Servers IKE-Phasen IKE-Phasen im Detail Layout Beispielnetzwerk HTTP-Interception HTTP-Interception HTTP-Interception Connection Entries Connection Entries - New Create New Connection Entry Connection Entries - Not Connected Benutzerauthentifizierung (XAUTH) Connection Entries - Connected Status - Statistics Statistics Route Details ipconfig -all Connection Entries - Disconnect Certificates Certificates - Enroll Certificate Enrollment Certificate Enrollment Certificate enrollment request message Certificates c 2009, Airnet Technologie- und Bildungszentrum GmbH xi

12 Abbildungsverzeichnis 9.18 Certificates - Retrieve Approved Certificate Certificate Password Certificate enrollment message Certificates Connection Entries Connection Entries - Modify Properties NAT-Terminologie Private Adressbereiche NAT-Funktion NAT-Funktion NAT-Funktion NAT-Funktion PAT-Funktion PAT-Funktion IPSec-Protokollimplementierung NAT und IPSec mit AH NAT und IPSec mit ESP ohne AH PAT und IPSec mit ESP ohne AH Funktion von NAT-T NAT-T-Protokollimplementierung AuthenticationAA AAuthorizationA AAAccounting Warum AAA? Roaming-Anforderung Cisco Access Control Server (ACS) ACS-Startfenster Network Configuration AAA Client Setup AAA Server Setup Authentifizierungsmodi ACS - User Setup ACS - User Setup Autorisierungsmodi Group Setup Adress-Pool Zuweisung des Adress-Pools Reports and Activity - Accounting Passed Authentications Eigenschaften von SSL-VPNs WebVPN-Login WebVPN-Portal Thin-Client Thin-Client DOS-Box xii c 2009, Airnet Technologie- und Bildungszentrum GmbH

13 Abbildungsverzeichnis 13.6 Thin-Client DOS-Box Vorbereitung des Full-Tunnel-Modus Full-Tunnel-Modus AnyConnect-Client AnyConnect-Client AnyConnect-Client AnyConnect-Client DOS-Box L2TP-Terminologie Verbindungsinitiierung von L2TP L2TP-Implementierung L2TP-Protokollimplementierung Layout Beispielnetzwerk c 2009, Airnet Technologie- und Bildungszentrum GmbH xiii

14 Abbildungsverzeichnis xiv c 2009, Airnet Technologie- und Bildungszentrum GmbH

15 Tabellenverzeichnis 5.1 IP-Fragmentierung im Detail Lösungen von Adress-Übersetzung xv

16 Tabellenverzeichnis xvi c 2009, Airnet Technologie- und Bildungszentrum GmbH

17 Verzeichnis der Beispiele 2.1 Konfiguration der IKE-Phase I - G1R Konfiguration der IKE-Phase I - G1R Crypto-Access-Liste für IKE-Phase II - G1R Crypto-Access-Liste für IKE-Phase II - G1R Konfiguration der IKE-Phase II - G1R Konfiguration der IKE-Phase II - G1R Verifizieren von IPSec ISAKMP-Richtlinie IPSec-Transform-Set ISAKMP-SA IPSec-SA Crypto-Map Access-Liste als Datenfilter Erweiterte IPSec-Konfiguration Konfiguration OSPF über GRE - G1R Konfiguration OSPF über GRE - G1R Verifizieren von OSPF über GRE Konfiguration von GRE, IPSec und OSPF - G1R Konfiguration von GRE, IPSec und OSPF - G1R Konfiguration des DMVPN-Hub Konfiguration des DMVPN-Spoke Verifizieren der Routing-Tabelle Verifizieren der NHRP-Tabelle - G1R Verifizieren der NHRP-Tabelle - G2R Wireshark-Trace von PMTUD Debugging von PMTUD Verifizieren von PMTUD mit IPSec Zeitkonfiguration und -verifikation Erzeugung des privaten/öffentlichen Schlüsselpaares Vertrauensstellen-Konfiguration und Zertifikateserver-Authentifizierung Einschreibungsprozess Anpassen der ISAKMP-Richtlinie PKI-Verifikationsbefehle Verifikation der Vertrauensstelle Verifikation der Zertifikate Verifikation der Zertifikate-Sperrliste Verifikation der lokalen öffentlichen Schlüssel xvii

18 Verzeichnis der Beispiele 8.1 Konfiguration des Easy-VPN-Servers Routing-Tabelle Konfiguration des Easy-VPN-Remote-Routers Verifikation des Easy-VPN-Remote-Routers Verifikation des Easy-VPN-Remote-Routers Verifikation des Easy-VPN-Remote-Routers Statische NAT-Konfiguration Dynamische NAT-Konfiguration PAT-Konfiguration Verifizieren von NAT und PAT Debuggen von NAT und PAT NAS-Grundkonfiguration NAS-Grundkonfiguration Authentifizierung von Netzwerkbenutzern Authorization-Konfiguration Accounting-Konfiguration Web-VPN-Konfiguration ohne SVC SVC-Installation SVC-Konfiguration Verifikationsbefehle Verifikation des WebVPN-Gateways Verifikation des WebVPN-Kontextes Verifikation der Richtliniengruppe WebVPN Verifikation der WebVPN-Sitzungen Konfiguration des Remote-Systems LAC-Konfiguration - unidirektional LNS-Konfiguration unidirektional LAC-Konfiguration - bidirektional LNS-Konfiguration - bidirektional Verifizieren von L2TP VPDN-Informationen VPDN-Tunnelinformationen VPDN-Sitzungsinformationen Virtual-Access-Schnittstelle Routing-Tabelle xviii c 2009, Airnet Technologie- und Bildungszentrum GmbH

19 Kapitel 1 Virtuelle Private Netze (Virtual Private Networks) Dieses Kapitel gibt einen Einblick in die VPN-Technik und bereitet gleichzeitig auf die nächsten Kapitel vor. Um diese Technik besser klassifizieren zu können, gehen wir zunächst auf herkömmliche WAN-Techniken ein. Anschließend wird dargestellt, wie die VPN-Technik auf die verschiedensten Übertragungstechniken aufsetzt. Es ist darauf zu achten, dass der Begriff VPN mittlerweile weit gefasst ist. Grundsätzlich wird zwischen einem Provider-Initiated-VPN und einem Customer-Initiated-VPN unterschieden. Ein VPN des ersten Typs wird von einem Netzbetreiber, ein VPN des zweiten Typs vom Endkunden betrieben. MPLS-Layer-2-VPNs und MPLS-Layer-3- VPNs sind Beispiele für Provider-Initiated-VPNs und werden nicht im Rahmen dieses Lehrbuchs abgehandelt. IPSec, GRE, SSL-VPNs und L2TP sind Customer-Initiated- VPNs und bilden die Themen für dieses Lehrbuch. Wann immer wir den Begriff VPN erwähnen, meinen wir damit ein Customer-Initiated-VPN. Inhaltsangabe 1.1 Herkömmliche WAN-Technik VPN-Technik

20 Kapitel 1 Virtuelle Private Netze (Virtual Private Networks) 1.1 Herkömmliche WAN-Technik Abbildung 1.1 zeigt die drei WAN-Switching-Techniken X.25, Frame-Relay und ATM. Genau genommen handelt es sich beim X.25 um eine Packet-Switching-Technik, beim Frame-Relay um eine Frame-Switching-Technik und beim ATM um eine Cell-Switching- Technik. Alle drei Techniken haben die Gemeinsamkeit, dass zuerst virtuelle Ende-zu- Ende-Verbindungen (Virtual-Circuits) aufgebaut werden, die anschließend das Übertragen von Daten ermöglichen. WAN-Switching-Netzwerke werden von Service-Providern wie zum Beispiel der Deutschen Telekom betrieben. Das Einsatzgebiet dieser Techniken erstreckt sich von nationalen und internationalen Zweigstellenanbindungen über Anbindungen externer Geschäftspartner bis hin zu Hochgeschwindigkeitsanbindungen zwischen Internet-Service-Providern X.25 Frame-Relay ATM Abbildung 1.1: Packet-, Frame- und Cell-Switching-Netzwerke Weiterhin sind in Abbildung 1.2 auf der nächsten Seite einige Techniken und Schnittstellenspezifikationen für die Bereitstellung von Standleitungen aufgeführt. Diese sind unter anderem V.35, X.21, ISDN, G.703, G.704, Synchronous Optical Network (SONET) und Synchronous Digital Hierarchy (SDH). Auch Circuit-Switched-Netzwerke 1 wie zum Beispiel das Public Switched Telephone Network (PSTN) sowie das Integrated Services Digital Network (ISDN) sind abgebildet. Da die ISDN-Technik sowohl Standleitungen als auch Wählverbindungen unterstützt, ist sie doppelt aufgeführt. Auch ISDN-Netzwerke werden von Service-Providern betrieben. Das Einsatzgebiet von Standleitungen hat sich im Laufe der Jahre drastisch verändert. Vor Einführung der VPN-Technik wurden sie sehr häufig für die Anbindung von Zweigstellen bzw. für die Anbindung von Geschäftspartnern verwendet. Die VPN-Technik hat heute große Teile des Standleitungsmarktes 1 Unter dem Begriff Circuit-Switched sind Netzwerke mit Wählverbindungseigenschaften zu verstehen. 2 c 2009, Airnet Technologie- und Bildungszentrum GmbH

21 1.1 Herkömmliche WAN-Technik abgelöst. Auch der Einsatz von Wählverbindungen hat sich stark verändert. Während früher noch große Entfernungen über eine ISDN-Einwahl überbrückt wurden, hat heute ebenfalls die VPN-Technik Einsatz gefunden. Das Hauptkriterium dieses neuen Trends ist die gewaltige Kostenreduzierung. Auch die Tatsache, dass Standleitungen und Wählverbindungen an die Erfordernisse des variablen Datenverkehrs nicht anpassungsfähig sind, ist ein weiterer Pluspunkt für die VPN-Technik V.35 / X.21 / ISDN / G.703 / G.704 / Sonet / SDH... Standleitung Standleitung V.35 / X.21 / ISDN / G.703 / G.704 / Sonet / SDH... Dialup PSTN / ISDN Abbildung 1.2: Stand- und Wählleitungen In Abbildung 1.3 auf der nächsten Seite sind zusätzlich zu den bereits erwähnten Techniken auch Digital Subscriber Line (DSL) und das Internet als weitere WAN-Technik aufgeführt. DSL ist zwar im Zusammenhang mit dem Internet zum Vorschein gekommen, jedoch handelt es sich hierbei um eine eigenständige WAN-Technik. Es wird heute hauptsächlich eingesetzt, um den Bandbreiten-Anforderungen von Internetbenutzern gerecht zu werden. Beim Internet selbst handelt es sich jedoch nicht um eine eigenständige WAN-Technik. Es ist vielmehr ein globales Netzwerk, das durch den Zusammenschluss von vielen Teilstrecken gebildet ist. Die Techniken, die auf den einzelnen Teilstrecken verwendet werden, sind abgesehen vom X.25 und Frame-Relay oftmals jene, die wir in den beiden Abbildungen 1.1 auf der vorherigen Seite und 1.2 gesehen haben. Auch Gigabit- und 10-Gigabit-Ethernet im Zusammenhang mit SDH werden von Internet-Service-Providern mittlerweile häufig verwendet, um Teilstrecken des Internets zu bilden. Man fragt sich vielleicht, warum das Internet überhaupt entstehen musste, wenn bereits ausreichende WAN-Techniken vorhanden waren. Hierfür gibt es zwar viele Gründe, jedoch war eine der Hauptursachen der hohe Preis vieler vorhandener WAN-Techniken. c 2009, Airnet Technologie- und Bildungszentrum GmbH 3

22 Kapitel 1 Virtuelle Private Netze (Virtual Private Networks) Standleitung V.35 / X.21 / ISDN / G.703 / G.704 / Sonet / SDH... Internet Einwahl PSTN / ISDN DSL Abbildung 1.3: Internet und DSL 1.2 VPN-Technik Auch ein virtuelles privates Netz (Virtual Private Network) ist keine eigenständige WAN-Technik. VPNs sind abhängig von einer darunter liegenden Übertragungstechnik. Ob es sich dabei um eine LAN- oder WAN-Technik handelt, ist unbedeutend. VPNs werden heute jedoch hauptsächlich über das Internet gebildet. Anders als bei den bekannten LAN- und WAN-Techniken gibt es bezüglich VPNs keine klare Definition, die von einem Normungsinstitut festgelegt wäre. Vielmehr herrscht eine Einigkeit bei den führenden Herstellern und Entwicklern von VPN-Produkten über die folgende Begriffsbestimmung: A VPN is an enterprise network deployed on a shared infrastructure employing the same security, management, and throughput policies applied in a private network. Auf Deutsch: Ein VPN ist ein Firmennetzwerk, das auf einer gemeinsam genutzten Infrastruktur 2 betrieben wird, die die gleichen Sicherheits-, Verwaltungs- und Durchsatzrichtlinien hat wie ein privates Netzwerk. Abbildung 1.4 auf der nächsten Seite zeigt zum Beispiel das private Netz der Firma AIRNET, das aus insgesamt drei Zweigstellen besteht. Jede Zweigstelle hat gewisse Sicherheits- sowie Datendurchsatz- und Verwaltungsrichtlinien. Sollen nun diese drei Zweigstellen über eine gemeinsam genutzte Infrastruktur miteinander verbunden werden, müssen die erwähnten lokalen Richtlinien auch über diese Infrastruktur bereit- 2 Beispiel einer gemeinsam genutzten Infrastruktur ist das Internet 4 c 2009, Airnet Technologie- und Bildungszentrum GmbH