Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

MPLS Netzwerk Struktur - wie sieht die Praxis aus?

Frage Sicherheit Firewall

Mitglied: Nagus

Nagus (Level 2) - Jetzt verbinden

08.11.2010, aktualisiert 22:51 Uhr, 12571 Aufrufe, 10 Kommentare

Hallo Zusammen,

ich mach mir gerade Gedanken um unsere Netzwerkstruktur, die ich auf Grund der aktuellen Kosten etwas optimieren möchte. Außerdem möchte ich unsere leidigen Performance Probleme in den Griff bekommen

Bei meinem alten Arbeitgeber haben wir ein MPLS Netzwerk ohne extra Verschlüsselung aufgesetzt. Beim suchen im Netz habe ich dann aber festgestellt, das viele Ihre MPLS Anbindung noch einmal per VPN verschlüsseln - was doch eigentlich die Vorteile der schnellen Verbindung wieder zu Nichte macht.

Deswegen interessiert es mich mal wie es so bei Euch umgesetzt wird - und warum!

Gruß
Nagus
Mitglied: dog
08.11.2010 um 23:29 Uhr
MPLS implementiert man als ISP und nicht als Firma.
Und ja, MPLS ist ohne Verschlüsselung - das ist auch gar nicht der Sinn davon.
Bei MPLS geht es darum Pakete durch ein großes Backbone-Netz möglichst schnell durch zu kriegen, indem man sie nicht routet sondern switcht.

Du als Kunde bekommst von MPLS ohnehin nichts mit, da du idR ohnehin nur einen Drop-Off-Port vom VPLS an beiden Enden bekommst.

Verschlüsselung ist auch über MPLS für den Benutzer Pflicht!
Bitte warten ..
Mitglied: 60730
08.11.2010 um 23:36 Uhr
moin,

"trau schau wem"

Meistens will man ja auch mal raus aus dem MPLS Verbund ins böse böse anders als der Name suggeriert Indernett.
Und spätestens dann nimmt man eine ordentliche Firewall, die zudem das bisschen VPN nebenbei macht.

MPLS ist nicht/keine

  • Standleitung
  • benutzt keine verschlüsselten Pakete
  • kennt kein UMTS und Co.
  • schütz deine Standorte nicht gegeneinander vor Virenattaken/DOS und Co aus den jeweils anderen Standorten,

Und außerdem:

  • VPN richtest du ein und verwaltest es
  • MPLS macht der Provider


Die "schnelle Verbindung" naja auch beim MPLS darfst du nicht denken, hier mein Router in Standort x da mein Router in Standort y und dazwischen kein einziger HOP.

Eines ist sicher, sicher ist sicher.

Gruß

edit Dog hat das meiste ja eh schon geschrieben... /edit
Bitte warten ..
Mitglied: Nagus
09.11.2010 um 07:33 Uhr
Moin,
es ist mir schon klar, das das MPLS Netz durch den Provider geschaltet und verwaltet wird. Aber letztlich ist das doch auch eine Separation vom "restlichen bösen" Netz - zumindest habe ich das bisher immer auch verstanden. Hatte letzthin einen ISP da und der war überrascht, als ich ihn auf VPN auf den MPLS Leitungen angesprochen habe.

Das es ohne Firewall nicht getan ist ist auch klar. Pro Standort eine, DMZ im Rechenzentrum mit einem Zentralen Internet-Knoten ... etc...

Wenn ich eh einen VPN Tunnel brauche, was ist dann der Vorteil einer reinen SDLS Leitung gegenüber einer MPLS Leitung, wenn ich auf beiden einen VPN Tunnel aufbaue? Die SDLS Leitung ist dann günstiger ....

Bis jetzt nicht wirklich erhellend ...

Nagus
Bitte warten ..
Mitglied: dog
09.11.2010 um 20:36 Uhr
ist das doch auch eine Separation vom "restlichen bösen" Netz - zumindest habe ich das bisher immer auch verstanden

Und was passiert wenn sich jemand im Verteilerkasten an die Leistung hängt und den unverschlüsselten Verkehr mitschneidet?
Oder wenn der ISP zufälligerweise mal MPLS auch mit auf den Glasfaster-Splitter legt der zur Überwachungseinrichtung des Staates geht?

Nein, das denke ich mir nicht aus. In den USA befindet sich in praktisch jeder großen Verteilerstelle ein Splitter, der einfach noch mal den gesamten Traffic auf Geräte der NSA etc. spiegelt um es ihn zu untersuchen. Da kann genauso auch dein MPLS bei sein.

Hatte letzthin einen ISP da und der war überrascht, als ich ihn auf VPN auf den MPLS Leitungen angesprochen habe.

IPv6 ist den meisten ISPs nach über 15 Jahren, die es das schon gibt, auch immer noch ein Rätsel.

was ist dann der Vorteil einer reinen SDLS Leitung gegenüber einer MPLS Leitung

Du hast gute Chancen das deine SDSL-Leitung genauso auf dem DSLAM in einen VPLS-Tunnel terminiert wird.
Bitte warten ..
Mitglied: Nagus
10.11.2010 um 11:27 Uhr
Gut - also muss ein VPN Tunnel her.

Daraus ergeben sich für mich weitere Fragen zur Umsetzung:

Der VPN Gateway:
Hardware VPN Gateway wie bsp. watchguard oder Lancom etc. oder eine PC Lösung? Für die 20 Standorte müsste dann die Firewall die Aufgabe mit übernehmen.

Nächste Frage:
Wenn die Firewalls meiner 20 Einrichtungen das mit übernehmen müssen - gibt es welche die ich Zentral administrieren kann oder eine konfig die sich bsp. vom Master auf alle Slaves repliziert?

Gruß
Nagus
Bitte warten ..
Mitglied: 60730
10.11.2010 um 11:58 Uhr
Salü,

jede Hardware Firewall ist eine "PC" Lösung - nur ist das ein PC, der extra dafür oder schon gleich ein abgespekter "PC" ist.
Der einzige Unterschied ist - der Strom und Platzbedarf und das keiner diesen "PC" als Arbeitplatz missbrauchen würde.

Wobei dir diese Zeilen nur sagen sollen, immer eine "dedizierte HW Firewall" nutzen.

Eigentlich sind die konfigs der Firewall "simple" Textdateien, die du eigentlich auch "so" verteilen kannst.
Macht aber eigentlich auch keinen Sinn, denn was kümmert Standort C der nur mit A "telefonieren" soll, wie es in Standort B aussieht, der auch nur mit A "telefoniert".

Natürlich kannst du die global mit allen regeln verteilen und dann auf jedem Standort die regeln weglasern, die da nicht gelten, ist aber eher so herum mehrarbeit, als die gleich mit Ihren speziellen Daten zu füttern.

Gruß

btw:
was ist dann der Vorteil einer reinen SDLS Leitung gegenüber einer MPLS Leitung
Andersherum eine MPLS Leitung hat immer eine zusätzliche (bei den kleinen wäre das ISDN) Notleitung, die SDLS "normalerweise" nicht dabei hat und die im Fall der Fälle ohne dein Zutun einspringt.
Bitte warten ..
Mitglied: Nagus
11.11.2010 um 09:47 Uhr
Moin,

jede Hardware Firewall ist eine "PC" Lösung - nur ist das ein PC, der extra dafür oder schon gleich ein
abgespekter "PC" ist.
Der einzige Unterschied ist - der Strom und Platzbedarf und das keiner diesen "PC" als Arbeitplatz missbrauchen
würde.

hüstel - das ist schon klar ....

Wobei dir diese Zeilen nur sagen sollen, immer eine "dedizierte HW Firewall" nutzen.

auch das ist logisch! Ich könnte aber meine Firewall bsw. von einer CD booten und per Diskette/USB Stick etc. die Konfig ziehen lassen (das wäre dann aus meiner Sicht die PC Lösung) oder ich hole mir eine "Box" die letztlich das gleiche macht. Bestes Bsp. ist Astaro welche beide Lösungen anbietet.

Was ich aber vor allem meinte war: VPN Gateway und Firewall in einem: ist das ein Problem oder nicht?

Eigentlich sind die konfigs der Firewall "simple" Textdateien, die du eigentlich auch "so" verteilen kannst.
Macht aber eigentlich auch keinen Sinn, denn was kümmert Standort C der nur mit A "telefonieren" soll, wie es in
Standort B aussieht, der auch nur mit A "telefoniert".

Natürlich kannst du die global mit allen regeln verteilen und dann auf jedem Standort die regeln weglasern, die da nicht
gelten, ist aber eher so herum mehrarbeit, als die gleich mit Ihren speziellen Daten zu füttern.

Hm - mal sehen ...


Gruß

btw:
> was ist dann der Vorteil einer reinen SDLS Leitung gegenüber einer MPLS Leitung
Andersherum eine MPLS Leitung hat immer eine zusätzliche (bei den kleinen wäre das ISDN) Notleitung, die SDLS
"normalerweise" nicht dabei hat und die im Fall der Fälle ohne dein Zutun einspringt.

Stimmt - ich erinnre mich langsam wieder ....

Schon mal Danke!
Nagus
Bitte warten ..
Mitglied: 60730
11.11.2010 um 10:11 Uhr
Moin,

Was ich aber vor allem meinte war: VPN Gateway und Firewall in einem: ist das ein Problem oder nicht?

Und da trennt sich die Spreu vom Weizen - bei einer dafür ausgelegten Kiste kein Thema, bei einem PC mit 0815 Gedöhns kann das in die Hose gehen.
Sowohl unsere olle Astaro Reihe, als auch die Sonicwalls machen das alle reibungslos.

Evtl. verwechselst du das auch mit dem geflügeltem Satz " DIe Kiste, die geschützt werden soll, darf nicht die Firewall sein"

Gruß
Bitte warten ..
Mitglied: Nagus
22.11.2010 um 11:48 Uhr
So - nach dem ich wieder fit bin und ein paar Infos habe kann das als gelöst markiert werden.

Weitere Infos/Kommentare sind aber immer erwünscht!

Gruß
Nagus
Bitte warten ..
Mitglied: Baarrd
06.02.2015, aktualisiert um 10:19 Uhr
MPLS wird verschlüsselt und ist damit sicher. Nur so zu Info.
Bitte warten ..
Ähnliche Inhalte
Netzwerkgrundlagen
Verständnissproblem MPLS
Frage von dextroRITNetzwerkgrundlagen1 Kommentar

Hallo, in einer Vorlesung haben wir heute MPLS behandelt. Leider ging mir alles viel zu schnell und nun habe ...

Router & Routing
Routing bei MPLS
gelöst Frage von salixhoriganRouter & Routing8 Kommentare

Hallo Community, ich hänge gerade bei der Konfiguration von zwei Standorten die über MPLS miteinander verbunden sind. Hier der ...

Backup
Novastor Back up Praxis
gelöst Frage von MinaOBBackup18 Kommentare

Hallo, ich habe das Programm Novastor Back up für Praxis, sichere damit Daten auf externe Festplatte, habe mehrere Festplatten ...

Netzwerke
DMZ - Fragen für die Praxis
gelöst Frage von 118080Netzwerke12 Kommentare

Hi Ich werde demnächst eine DMZ einrichten. Hierzu habe ich ein paar Fragen für die Praxis: Momentan haben wir ...

Neue Wissensbeiträge
Windows 10

Windows 10 v1709 EN murkst bei den Regionseinstellungen

Tipp von DerWoWusste vor 4 StundenWindows 10

Dieser kurze Tipp richtet sich an den kleinen Personenkreis, der Win10 v1709 EN-US frisch installiert und dabei die englische ...

Webbrowser

Kein Ton bei Firefox Quantum über RDP

Tipp von Moddry vor 4 StundenWebbrowser

Hallo Kollegen! Hatte das Problem, dass der neue Firefox bei mir auf der Kiste keinen Ton hat, wenn ich ...

Internet

EU-DSGVO: WHOIS soll weniger Informationen liefern

Information von sabines vor 16 StundenInternet4 Kommentare

Wegen der europäische Datenschutzgrundverordnung stehen die Prozesse um die Registrierung von Domains auf dem Prüfstand. Sollte die Forderungen umgesetzt ...

Verschlüsselung & Zertifikate

19 Jahre alter Angriff auf TLS funktioniert immer noch

Information von BassFishFox vor 22 StundenVerschlüsselung & Zertifikate1 Kommentar

Interessant zu lesen. Der Bleichenbacher-Angriff gilt unter Kryptographen als Klassiker, trotzdem funktioniert er oft noch. Wie wir herausgefunden haben, ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
Von rj11 auf rj45
Frage von jensgebkenLAN, WAN, Wireless19 Kommentare

Hallo Gemeinschaft, könnt ihr mir vielleicht bei der anfertigung eines Kabels helfen - habe ein rj 11 stecker und ...

Netzwerkmanagement
Firefox Profieles im Roaming
gelöst Frage von Hendrik2586Netzwerkmanagement17 Kommentare

Hallo liebe Leute. :) Ich hab da ein kleines Problem, welches anscheinend nicht unbekannt ist. Wir nutzen hier in ...

LAN, WAN, Wireless
Häufig Probleme beim Anmelden in WLAN
Frage von mabue88LAN, WAN, Wireless15 Kommentare

Hallo zusammen, in einem Netzwerk gibt es relativ häufig (1-2 mal pro Woche) Probleme mit der WLAN-Verbindung. Zunächst mal ...

Windows Server
Remotesteuerung der Sitzung (Kennung XX) fehlgeschlagen
gelöst Frage von Stefan91Windows Server14 Kommentare

Hallo Zusammen, seit kurzem bekomme ich oben genannte Fehlermeldung, wenn ich versuche eine Remotesitzung über den Taskmanager fernzusteuern (Rechtsklick ...