freenode
Goto Top

Unterschied VPN MPLS

Hallo liebe Kollegen,

kann mir jemand kurz und knackig den Unterschied zwischen einer VPN und MPLS erklären? Ich habe mich jetzt ein bisschen in das Thema eingelesen und wenn ich das richtig verstehe, ist MPLS quasi eine "VPN, die vom ISP bereitgestellt und unterhalten wird". Liege ich mit meiner (ziemlich oberflächlichen) Einschätzung da ungefähr richtig?

Gruß, freenode.

Content-Key: 251202

Url: https://administrator.de/contentid/251202

Ausgedruckt am: 29.03.2024 um 00:03 Uhr

Mitglied: sk
Lösung sk 07.10.2014 aktualisiert um 21:56:51 Uhr
Goto Top
Hallo,

Zitat von @freenode:

wenn ich das richtig verstehe, ist MPLS quasi eine "VPN, die vom ISP bereitgestellt und unterhalten
wird". Liege ich mit meiner (ziemlich oberflächlichen) Einschätzung da ungefähr richtig?

Das wird von den Vertrieblern gerne so verkauft, trifft aber in aller Regel nicht wirklich die Erwartung des Kunden. Meines Erachtens werden die unbedarften Kunden sogar oftmals bewusst getäuscht.

Sehr allgemein ausgedrückt ist MPLS eine Technik, die es dem Provider erlaubt, Deinen Traffic als Dir zugehörig zu markieren und auf seiner Infrastruktur unabhängig vom Inhalt besonders zu behandeln. So ist es u.a. möglich, den darin gekapselten Traffic über definierte Pfade zu führen und von dem Traffic anderer Kunden zu unterscheiden.
Das Versprechen des Providers beim MPLS-VPN ist es, sicherzustellen, dass andere (Kunden) keinen Zugriff auf Deine darüber übertragenen Daten erhalten. Was dem unbedarften Kunden aber wider besseren Wissens meist verschwiegen wird ist, dass der Traffic nicht verschlüsselt ist, sofern dies der Kunde nicht selbst erledigt. Mit anderen Worten: Du musst Deinem Provider nicht nur zutrauen, dass er keine Fehler macht, sondern auch annehmen, dass weder Mitarbeiter des Providers Einblick in den Traffic nehmen noch der Traffic an andere staatliche oder private Stellen ausgeleitet wird. Wer heute noch so naiv ist, muss die letzten 2 Jahre im Koma gelegen haben...

Gruß
Steffen
Mitglied: freenode
freenode 07.10.2014 um 21:59:22 Uhr
Goto Top
Danke für Deine Antwort!

Also müsste ich, wenn ich beispielsweise zum verbinden zweier Netze via Internet MPLS zum tunneln benutzen wollte, mich selbst noch um die Verschlüsselung kümmern.
Mitglied: Dani
Lösung Dani 07.10.2014, aktualisiert am 08.10.2014 um 12:45:42 Uhr
Goto Top
Guten Abend,
Also müsste ich, wenn ich beispielsweise zum verbinden zweier Netze via Internet MPLS zum tunneln benutzen wollte, mich selbst noch um die Verschlüsselung kümmern.
Dieser Blog erklärt es sehr einfach. Denn auch Provider bieten inzwischen MPLS-Verschlüsselung an.


Gruß,
Dani
Mitglied: sk
Lösung sk 07.10.2014, aktualisiert am 08.10.2014 um 12:45:44 Uhr
Goto Top
Zitat von @freenode:

Also müsste ich ... mich selbst noch um die Verschlüsselung kümmern.

Das hängt von Eurem konkreten Schutzbedürfnis und Eurer Risikobewertung ab, aber in aller Regel ist es dringend anzuraten.
Die Verschlüsselung dem Provider zu überlassen, ist meines Erachtens nahezu witzlos. Dann kann man das auch gleich unterlassen.

@Dani: Guter Link. Danke.
Mitglied: aqui
Lösung aqui 08.10.2014 aktualisiert um 12:45:38 Uhr
Goto Top
Ergänzend könnte man noch sagen das MPLS in sich auch noch 3 Funktionen enthält:
Layer 3 VPNs = Also ein kundenspezifisches Routing von Kundennetzen über ein Provider Backbone
VPLS = eine Layer 2 Emulation also quasi ein Bridging von Kundenentzen über ein Provider Backbone
VLL = Link Emulation wie quasi eine Port zu Port Standleitung über ein Provider Backbone
Das Backbone muss aber nicht immer ein Provider sein. Auch Unternehmen nutzen diese Funktionen über ihre eigenen Firmennetze um z.B, RZ Netze über mehrere Standorte im Layer 2 zu bridgen usw.
Gemein ist aber das auch alle diese Subfunktionen bei MPLS nicht verschlüsselt sind. Der Traffic wird wie der Name schon sagt nur durch Label klassifiziert.
Sehr oft ist es aber so das die Provider ihre Kunden MPLS Netze nicht zusammen mit der Internet Infrastruktur übertragen also das die Kunden MPLS Netze über eine eigene autarke Backbone Infrastruktur laufen. Insofern gehen diese Daten dann nicht über öffentliche Netze und dann spielt die Verschlüsselung nur eine untergeorndete Rolle !
Mitglied: Baarrd
Baarrd 06.02.2015 um 10:22:54 Uhr
Goto Top
Ist zwar schon mehr oder weniger gelöst, aber ich möchte auch noch meinen Senf dazu geben. MPLS verwendet VPN, nur das die Daten über MPLS Datenpackete versendet werden. Diese sind schneller als wenn du "normales" VPN verwendest. MPLS verwendet nämlich Labels. In diesen sind die Verbindungsinformationen gespeichert. Die Daten werden zusätzlich verschlüsselt, so dass MPLS besonders sicher ist. Weitere Informationen findest du auf http://www.savecall.de/mpls/
Mitglied: aqui
aqui 07.02.2015 aktualisiert um 18:34:27 Uhr
Goto Top
.."MPLS verwendet VPN, nur das die Daten über MPLS Datenpackete versendet werden."
Nein, das ist technsich falsch oder du hast es falsch ausgedrückt. Es werden bei MPLS definitv keine "VPN" nach dem klasssichen Tunnel Verfahren wie IPsec, L2TP, SSL, PPTP etc. verwendet.
Der VPN "Effekt" beruht vielmehr auf dem Labeling und der daraus folgenden Forwarding Information in einem MPLS Backbone ums mal laienhaft verständlich auzudrücken. Einzig das Labeling ist oben richtig beschrieben. MPLS realisiert damit 3 Haupt Funktionen nämlich Layer 3 VPN, VPLS und VLL.

Das MPLS per se verschlüsselt ist, ist leider völliger Unsinn und ein Trugschluss. Der MPLS Standard sieht per se keinerlei Verschlüsselung vor und die Ursprungspakete in den Lables sind ja immer die Origianlpakete.
Wenn also VOR der MPLS Encapsulierung schon keine Verschlüsselung mit IPsec etc. verwendet wurde ist auch ein MPLS Paket vollkommen unverschüsselt.
Das das also per se "besonders sicher" sein soll, ist barer technischer Blödsinn und traurig das solche "Halbwahrheiten" noch in einem Administrator Forum verbreitet werden face-sad !
Ein Wireshark Trace eines MPLS Paketes wird dir das sofort zeigen !
Außerdem liefert der oben zitierte URL einen Page Error !
Mitglied: freenode
freenode 08.02.2015 um 16:15:28 Uhr
Goto Top
Ich glaube es ging Baarrd eher um das posten des Links. ;)
Mitglied: Baarrd
Baarrd 12.02.2015 um 16:14:37 Uhr
Goto Top
@ freenode: nein ging es nicht

@ aqui: Danke für die Aufklärung, habe ich dann wohl doch etwas anders verstanden.
Mitglied: aqui
aqui 12.02.2015 aktualisiert um 16:25:38 Uhr
Goto Top
Macht nix, kann ja mal passieren. Dafür gibts ja die Wikipedia wo man solcherlei (MPLS) Grundlagen nachlesen kann. face-wink