10
MPLS Netzwerk Struktur - wie sieht die Praxis aus?
Hallo Zusammen,
ich mach mir gerade Gedanken um unsere Netzwerkstruktur, die ich auf Grund der aktuellen Kosten etwas optimieren möchte. Außerdem möchte ich unsere leidigen Performance Probleme in den Griff bekommen
Bei meinem alten Arbeitgeber haben wir ein MPLS Netzwerk ohne extra Verschlüsselung aufgesetzt. Beim suchen im Netz habe ich dann aber festgestellt, das viele Ihre MPLS Anbindung noch einmal per VPN verschlüsseln - was doch eigentlich die Vorteile der schnellen Verbindung wieder zu Nichte macht.
Deswegen interessiert es mich mal wie es so bei Euch umgesetzt wird - und warum!
Gruß
Nagus
ich mach mir gerade Gedanken um unsere Netzwerkstruktur, die ich auf Grund der aktuellen Kosten etwas optimieren möchte. Außerdem möchte ich unsere leidigen Performance Probleme in den Griff bekommen
Bei meinem alten Arbeitgeber haben wir ein MPLS Netzwerk ohne extra Verschlüsselung aufgesetzt. Beim suchen im Netz habe ich dann aber festgestellt, das viele Ihre MPLS Anbindung noch einmal per VPN verschlüsseln - was doch eigentlich die Vorteile der schnellen Verbindung wieder zu Nichte macht.
Deswegen interessiert es mich mal wie es so bei Euch umgesetzt wird - und warum!
Gruß
Nagus
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 150597
Url: https://administrator.de/contentid/150597
Printed on: April 19, 2024 at 03:04 o'clock
10 Comments
Latest comment
MPLS implementiert man als ISP und nicht als Firma.
Und ja, MPLS ist ohne Verschlüsselung - das ist auch gar nicht der Sinn davon.
Bei MPLS geht es darum Pakete durch ein großes Backbone-Netz möglichst schnell durch zu kriegen, indem man sie nicht routet sondern switcht.
Du als Kunde bekommst von MPLS ohnehin nichts mit, da du idR ohnehin nur einen Drop-Off-Port vom VPLS an beiden Enden bekommst.
Verschlüsselung ist auch über MPLS für den Benutzer Pflicht!
Und ja, MPLS ist ohne Verschlüsselung - das ist auch gar nicht der Sinn davon.
Bei MPLS geht es darum Pakete durch ein großes Backbone-Netz möglichst schnell durch zu kriegen, indem man sie nicht routet sondern switcht.
Du als Kunde bekommst von MPLS ohnehin nichts mit, da du idR ohnehin nur einen Drop-Off-Port vom VPLS an beiden Enden bekommst.
Verschlüsselung ist auch über MPLS für den Benutzer Pflicht!
moin,
"trau schau wem"
Meistens will man ja auch mal raus aus dem MPLS Verbund ins böse böse anders als der Name suggeriert Indernett.
Und spätestens dann nimmt man eine ordentliche Firewall, die zudem das bisschen VPN nebenbei macht.
MPLS ist nicht/keine
Und außerdem:
Die "schnelle Verbindung" naja auch beim MPLS darfst du nicht denken, hier mein Router in Standort x da mein Router in Standort y und dazwischen kein einziger HOP.
Eines ist sicher, sicher ist sicher.
Gruß
edit Dog hat das meiste ja eh schon geschrieben... /edit
"trau schau wem"
Meistens will man ja auch mal raus aus dem MPLS Verbund ins böse böse anders als der Name suggeriert Indernett.
Und spätestens dann nimmt man eine ordentliche Firewall, die zudem das bisschen VPN nebenbei macht.
MPLS ist nicht/keine
- Standleitung
- benutzt keine verschlüsselten Pakete
- kennt kein UMTS und Co.
- schütz deine Standorte nicht gegeneinander vor Virenattaken/DOS und Co aus den jeweils anderen Standorten,
Und außerdem:
- VPN richtest du ein und verwaltest es
- MPLS macht der Provider
Die "schnelle Verbindung" naja auch beim MPLS darfst du nicht denken, hier mein Router in Standort x da mein Router in Standort y und dazwischen kein einziger HOP.
Eines ist sicher, sicher ist sicher.
Gruß
edit Dog hat das meiste ja eh schon geschrieben... /edit
Moin,
es ist mir schon klar, das das MPLS Netz durch den Provider geschaltet und verwaltet wird. Aber letztlich ist das doch auch eine Separation vom "restlichen bösen" Netz - zumindest habe ich das bisher immer auch verstanden. Hatte letzthin einen ISP da und der war überrascht, als ich ihn auf VPN auf den MPLS Leitungen angesprochen habe.
Das es ohne Firewall nicht getan ist ist auch klar. Pro Standort eine, DMZ im Rechenzentrum mit einem Zentralen Internet-Knoten ... etc...
Wenn ich eh einen VPN Tunnel brauche, was ist dann der Vorteil einer reinen SDLS Leitung gegenüber einer MPLS Leitung, wenn ich auf beiden einen VPN Tunnel aufbaue? Die SDLS Leitung ist dann günstiger ....
Bis jetzt nicht wirklich erhellend ...
Nagus
es ist mir schon klar, das das MPLS Netz durch den Provider geschaltet und verwaltet wird. Aber letztlich ist das doch auch eine Separation vom "restlichen bösen" Netz - zumindest habe ich das bisher immer auch verstanden. Hatte letzthin einen ISP da und der war überrascht, als ich ihn auf VPN auf den MPLS Leitungen angesprochen habe.
Das es ohne Firewall nicht getan ist ist auch klar. Pro Standort eine, DMZ im Rechenzentrum mit einem Zentralen Internet-Knoten ... etc...
Wenn ich eh einen VPN Tunnel brauche, was ist dann der Vorteil einer reinen SDLS Leitung gegenüber einer MPLS Leitung, wenn ich auf beiden einen VPN Tunnel aufbaue? Die SDLS Leitung ist dann günstiger ....
Bis jetzt nicht wirklich erhellend ...
Nagus
ist das doch auch eine Separation vom "restlichen bösen" Netz - zumindest habe ich das bisher immer auch verstanden
Und was passiert wenn sich jemand im Verteilerkasten an die Leistung hängt und den unverschlüsselten Verkehr mitschneidet?
Oder wenn der ISP zufälligerweise mal MPLS auch mit auf den Glasfaster-Splitter legt der zur Überwachungseinrichtung des Staates geht?
Nein, das denke ich mir nicht aus. In den USA befindet sich in praktisch jeder großen Verteilerstelle ein Splitter, der einfach noch mal den gesamten Traffic auf Geräte der NSA etc. spiegelt um es ihn zu untersuchen. Da kann genauso auch dein MPLS bei sein.
Hatte letzthin einen ISP da und der war überrascht, als ich ihn auf VPN auf den MPLS Leitungen angesprochen habe.
IPv6 ist den meisten ISPs nach über 15 Jahren, die es das schon gibt, auch immer noch ein Rätsel.
was ist dann der Vorteil einer reinen SDLS Leitung gegenüber einer MPLS Leitung
Du hast gute Chancen das deine SDSL-Leitung genauso auf dem DSLAM in einen VPLS-Tunnel terminiert wird.
Gut - also muss ein VPN Tunnel her.
Daraus ergeben sich für mich weitere Fragen zur Umsetzung:
Der VPN Gateway:
Hardware VPN Gateway wie bsp. watchguard oder Lancom etc. oder eine PC Lösung? Für die 20 Standorte müsste dann die Firewall die Aufgabe mit übernehmen.
Nächste Frage:
Wenn die Firewalls meiner 20 Einrichtungen das mit übernehmen müssen - gibt es welche die ich Zentral administrieren kann oder eine konfig die sich bsp. vom Master auf alle Slaves repliziert?
Gruß
Nagus
Daraus ergeben sich für mich weitere Fragen zur Umsetzung:
Der VPN Gateway:
Hardware VPN Gateway wie bsp. watchguard oder Lancom etc. oder eine PC Lösung? Für die 20 Standorte müsste dann die Firewall die Aufgabe mit übernehmen.
Nächste Frage:
Wenn die Firewalls meiner 20 Einrichtungen das mit übernehmen müssen - gibt es welche die ich Zentral administrieren kann oder eine konfig die sich bsp. vom Master auf alle Slaves repliziert?
Gruß
Nagus
Salü,
jede Hardware Firewall ist eine "PC" Lösung - nur ist das ein PC, der extra dafür oder schon gleich ein abgespekter "PC" ist.
Der einzige Unterschied ist - der Strom und Platzbedarf und das keiner diesen "PC" als Arbeitplatz missbrauchen würde.
Wobei dir diese Zeilen nur sagen sollen, immer eine "dedizierte HW Firewall" nutzen.
Eigentlich sind die konfigs der Firewall "simple" Textdateien, die du eigentlich auch "so" verteilen kannst.
Macht aber eigentlich auch keinen Sinn, denn was kümmert Standort C der nur mit A "telefonieren" soll, wie es in Standort B aussieht, der auch nur mit A "telefoniert".
Natürlich kannst du die global mit allen regeln verteilen und dann auf jedem Standort die regeln weglasern, die da nicht gelten, ist aber eher so herum mehrarbeit, als die gleich mit Ihren speziellen Daten zu füttern.
Gruß
btw:
jede Hardware Firewall ist eine "PC" Lösung - nur ist das ein PC, der extra dafür oder schon gleich ein abgespekter "PC" ist.
Der einzige Unterschied ist - der Strom und Platzbedarf und das keiner diesen "PC" als Arbeitplatz missbrauchen würde.
Wobei dir diese Zeilen nur sagen sollen, immer eine "dedizierte HW Firewall" nutzen.
Eigentlich sind die konfigs der Firewall "simple" Textdateien, die du eigentlich auch "so" verteilen kannst.
Macht aber eigentlich auch keinen Sinn, denn was kümmert Standort C der nur mit A "telefonieren" soll, wie es in Standort B aussieht, der auch nur mit A "telefoniert".
Natürlich kannst du die global mit allen regeln verteilen und dann auf jedem Standort die regeln weglasern, die da nicht gelten, ist aber eher so herum mehrarbeit, als die gleich mit Ihren speziellen Daten zu füttern.
Gruß
btw:
was ist dann der Vorteil einer reinen SDLS Leitung gegenüber einer MPLS Leitung
Andersherum eine MPLS Leitung hat immer eine zusätzliche (bei den kleinen wäre das ISDN) Notleitung, die SDLS "normalerweise" nicht dabei hat und die im Fall der Fälle ohne dein Zutun einspringt.
Moin,
hüstel - das ist schon klar ....
auch das ist logisch! Ich könnte aber meine Firewall bsw. von einer CD booten und per Diskette/USB Stick etc. die Konfig ziehen lassen (das wäre dann aus meiner Sicht die PC Lösung) oder ich hole mir eine "Box" die letztlich das gleiche macht. Bestes Bsp. ist Astaro welche beide Lösungen anbietet.
Was ich aber vor allem meinte war: VPN Gateway und Firewall in einem: ist das ein Problem oder nicht?
Hm - mal sehen ...
Gruß
btw:
> was ist dann der Vorteil einer reinen SDLS Leitung gegenüber einer MPLS Leitung
Andersherum eine MPLS Leitung hat immer eine zusätzliche (bei den kleinen wäre das ISDN) Notleitung, die SDLS
"normalerweise" nicht dabei hat und die im Fall der Fälle ohne dein Zutun einspringt.
Stimmt - ich erinnre mich langsam wieder ....
Schon mal Danke!
Nagus
jede Hardware Firewall ist eine "PC" Lösung - nur ist das ein PC, der extra dafür oder schon gleich ein
abgespekter "PC" ist.
Der einzige Unterschied ist - der Strom und Platzbedarf und das keiner diesen "PC" als Arbeitplatz missbrauchen
würde.
abgespekter "PC" ist.
Der einzige Unterschied ist - der Strom und Platzbedarf und das keiner diesen "PC" als Arbeitplatz missbrauchen
würde.
hüstel - das ist schon klar ....
Wobei dir diese Zeilen nur sagen sollen, immer eine "dedizierte HW Firewall" nutzen.
auch das ist logisch! Ich könnte aber meine Firewall bsw. von einer CD booten und per Diskette/USB Stick etc. die Konfig ziehen lassen (das wäre dann aus meiner Sicht die PC Lösung) oder ich hole mir eine "Box" die letztlich das gleiche macht. Bestes Bsp. ist Astaro welche beide Lösungen anbietet.
Was ich aber vor allem meinte war: VPN Gateway und Firewall in einem: ist das ein Problem oder nicht?
Eigentlich sind die konfigs der Firewall "simple" Textdateien, die du eigentlich auch "so" verteilen kannst.
Macht aber eigentlich auch keinen Sinn, denn was kümmert Standort C der nur mit A "telefonieren" soll, wie es in
Standort B aussieht, der auch nur mit A "telefoniert".
Natürlich kannst du die global mit allen regeln verteilen und dann auf jedem Standort die regeln weglasern, die da nicht
gelten, ist aber eher so herum mehrarbeit, als die gleich mit Ihren speziellen Daten zu füttern.
Macht aber eigentlich auch keinen Sinn, denn was kümmert Standort C der nur mit A "telefonieren" soll, wie es in
Standort B aussieht, der auch nur mit A "telefoniert".
Natürlich kannst du die global mit allen regeln verteilen und dann auf jedem Standort die regeln weglasern, die da nicht
gelten, ist aber eher so herum mehrarbeit, als die gleich mit Ihren speziellen Daten zu füttern.
Hm - mal sehen ...
Gruß
btw:
> was ist dann der Vorteil einer reinen SDLS Leitung gegenüber einer MPLS Leitung
Andersherum eine MPLS Leitung hat immer eine zusätzliche (bei den kleinen wäre das ISDN) Notleitung, die SDLS
"normalerweise" nicht dabei hat und die im Fall der Fälle ohne dein Zutun einspringt.
Stimmt - ich erinnre mich langsam wieder ....
Schon mal Danke!
Nagus
Moin,
Und da trennt sich die Spreu vom Weizen - bei einer dafür ausgelegten Kiste kein Thema, bei einem PC mit 0815 Gedöhns kann das in die Hose gehen.
Sowohl unsere olle Astaro Reihe, als auch die Sonicwalls machen das alle reibungslos.
Evtl. verwechselst du das auch mit dem geflügeltem Satz " DIe Kiste, die geschützt werden soll, darf nicht die Firewall sein"
Gruß
Was ich aber vor allem meinte war: VPN Gateway und Firewall in einem: ist das ein Problem oder nicht?
Und da trennt sich die Spreu vom Weizen - bei einer dafür ausgelegten Kiste kein Thema, bei einem PC mit 0815 Gedöhns kann das in die Hose gehen.
Sowohl unsere olle Astaro Reihe, als auch die Sonicwalls machen das alle reibungslos.
Evtl. verwechselst du das auch mit dem geflügeltem Satz " DIe Kiste, die geschützt werden soll, darf nicht die Firewall sein"
Gruß
So - nach dem ich wieder fit bin und ein paar Infos habe kann das als gelöst markiert werden.
Weitere Infos/Kommentare sind aber immer erwünscht!
Gruß
Nagus
Weitere Infos/Kommentare sind aber immer erwünscht!
Gruß
Nagus
MPLS wird verschlüsselt und ist damit sicher. Nur so zu Info.
