Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

MPLS Netzwerk Struktur - wie sieht die Praxis aus?

Frage Sicherheit Firewall

Mitglied: Nagus

Nagus (Level 2) - Jetzt verbinden

08.11.2010, aktualisiert 22:51 Uhr, 11931 Aufrufe, 10 Kommentare

Hallo Zusammen,

ich mach mir gerade Gedanken um unsere Netzwerkstruktur, die ich auf Grund der aktuellen Kosten etwas optimieren möchte. Außerdem möchte ich unsere leidigen Performance Probleme in den Griff bekommen

Bei meinem alten Arbeitgeber haben wir ein MPLS Netzwerk ohne extra Verschlüsselung aufgesetzt. Beim suchen im Netz habe ich dann aber festgestellt, das viele Ihre MPLS Anbindung noch einmal per VPN verschlüsseln - was doch eigentlich die Vorteile der schnellen Verbindung wieder zu Nichte macht.

Deswegen interessiert es mich mal wie es so bei Euch umgesetzt wird - und warum!

Gruß
Nagus
Mitglied: dog
08.11.2010 um 23:29 Uhr
MPLS implementiert man als ISP und nicht als Firma.
Und ja, MPLS ist ohne Verschlüsselung - das ist auch gar nicht der Sinn davon.
Bei MPLS geht es darum Pakete durch ein großes Backbone-Netz möglichst schnell durch zu kriegen, indem man sie nicht routet sondern switcht.

Du als Kunde bekommst von MPLS ohnehin nichts mit, da du idR ohnehin nur einen Drop-Off-Port vom VPLS an beiden Enden bekommst.

Verschlüsselung ist auch über MPLS für den Benutzer Pflicht!
Bitte warten ..
Mitglied: 60730
08.11.2010 um 23:36 Uhr
moin,

"trau schau wem"

Meistens will man ja auch mal raus aus dem MPLS Verbund ins böse böse anders als der Name suggeriert Indernett.
Und spätestens dann nimmt man eine ordentliche Firewall, die zudem das bisschen VPN nebenbei macht.

MPLS ist nicht/keine

  • Standleitung
  • benutzt keine verschlüsselten Pakete
  • kennt kein UMTS und Co.
  • schütz deine Standorte nicht gegeneinander vor Virenattaken/DOS und Co aus den jeweils anderen Standorten,

Und außerdem:

  • VPN richtest du ein und verwaltest es
  • MPLS macht der Provider


Die "schnelle Verbindung" naja auch beim MPLS darfst du nicht denken, hier mein Router in Standort x da mein Router in Standort y und dazwischen kein einziger HOP.

Eines ist sicher, sicher ist sicher.

Gruß

edit Dog hat das meiste ja eh schon geschrieben... /edit
Bitte warten ..
Mitglied: Nagus
09.11.2010 um 07:33 Uhr
Moin,
es ist mir schon klar, das das MPLS Netz durch den Provider geschaltet und verwaltet wird. Aber letztlich ist das doch auch eine Separation vom "restlichen bösen" Netz - zumindest habe ich das bisher immer auch verstanden. Hatte letzthin einen ISP da und der war überrascht, als ich ihn auf VPN auf den MPLS Leitungen angesprochen habe.

Das es ohne Firewall nicht getan ist ist auch klar. Pro Standort eine, DMZ im Rechenzentrum mit einem Zentralen Internet-Knoten ... etc...

Wenn ich eh einen VPN Tunnel brauche, was ist dann der Vorteil einer reinen SDLS Leitung gegenüber einer MPLS Leitung, wenn ich auf beiden einen VPN Tunnel aufbaue? Die SDLS Leitung ist dann günstiger ....

Bis jetzt nicht wirklich erhellend ...

Nagus
Bitte warten ..
Mitglied: dog
09.11.2010 um 20:36 Uhr
ist das doch auch eine Separation vom "restlichen bösen" Netz - zumindest habe ich das bisher immer auch verstanden

Und was passiert wenn sich jemand im Verteilerkasten an die Leistung hängt und den unverschlüsselten Verkehr mitschneidet?
Oder wenn der ISP zufälligerweise mal MPLS auch mit auf den Glasfaster-Splitter legt der zur Überwachungseinrichtung des Staates geht?

Nein, das denke ich mir nicht aus. In den USA befindet sich in praktisch jeder großen Verteilerstelle ein Splitter, der einfach noch mal den gesamten Traffic auf Geräte der NSA etc. spiegelt um es ihn zu untersuchen. Da kann genauso auch dein MPLS bei sein.

Hatte letzthin einen ISP da und der war überrascht, als ich ihn auf VPN auf den MPLS Leitungen angesprochen habe.

IPv6 ist den meisten ISPs nach über 15 Jahren, die es das schon gibt, auch immer noch ein Rätsel.

was ist dann der Vorteil einer reinen SDLS Leitung gegenüber einer MPLS Leitung

Du hast gute Chancen das deine SDSL-Leitung genauso auf dem DSLAM in einen VPLS-Tunnel terminiert wird.
Bitte warten ..
Mitglied: Nagus
10.11.2010 um 11:27 Uhr
Gut - also muss ein VPN Tunnel her.

Daraus ergeben sich für mich weitere Fragen zur Umsetzung:

Der VPN Gateway:
Hardware VPN Gateway wie bsp. watchguard oder Lancom etc. oder eine PC Lösung? Für die 20 Standorte müsste dann die Firewall die Aufgabe mit übernehmen.

Nächste Frage:
Wenn die Firewalls meiner 20 Einrichtungen das mit übernehmen müssen - gibt es welche die ich Zentral administrieren kann oder eine konfig die sich bsp. vom Master auf alle Slaves repliziert?

Gruß
Nagus
Bitte warten ..
Mitglied: 60730
10.11.2010 um 11:58 Uhr
Salü,

jede Hardware Firewall ist eine "PC" Lösung - nur ist das ein PC, der extra dafür oder schon gleich ein abgespekter "PC" ist.
Der einzige Unterschied ist - der Strom und Platzbedarf und das keiner diesen "PC" als Arbeitplatz missbrauchen würde.

Wobei dir diese Zeilen nur sagen sollen, immer eine "dedizierte HW Firewall" nutzen.

Eigentlich sind die konfigs der Firewall "simple" Textdateien, die du eigentlich auch "so" verteilen kannst.
Macht aber eigentlich auch keinen Sinn, denn was kümmert Standort C der nur mit A "telefonieren" soll, wie es in Standort B aussieht, der auch nur mit A "telefoniert".

Natürlich kannst du die global mit allen regeln verteilen und dann auf jedem Standort die regeln weglasern, die da nicht gelten, ist aber eher so herum mehrarbeit, als die gleich mit Ihren speziellen Daten zu füttern.

Gruß

btw:
was ist dann der Vorteil einer reinen SDLS Leitung gegenüber einer MPLS Leitung
Andersherum eine MPLS Leitung hat immer eine zusätzliche (bei den kleinen wäre das ISDN) Notleitung, die SDLS "normalerweise" nicht dabei hat und die im Fall der Fälle ohne dein Zutun einspringt.
Bitte warten ..
Mitglied: Nagus
11.11.2010 um 09:47 Uhr
Moin,

jede Hardware Firewall ist eine "PC" Lösung - nur ist das ein PC, der extra dafür oder schon gleich ein
abgespekter "PC" ist.
Der einzige Unterschied ist - der Strom und Platzbedarf und das keiner diesen "PC" als Arbeitplatz missbrauchen
würde.

hüstel - das ist schon klar ....

Wobei dir diese Zeilen nur sagen sollen, immer eine "dedizierte HW Firewall" nutzen.

auch das ist logisch! Ich könnte aber meine Firewall bsw. von einer CD booten und per Diskette/USB Stick etc. die Konfig ziehen lassen (das wäre dann aus meiner Sicht die PC Lösung) oder ich hole mir eine "Box" die letztlich das gleiche macht. Bestes Bsp. ist Astaro welche beide Lösungen anbietet.

Was ich aber vor allem meinte war: VPN Gateway und Firewall in einem: ist das ein Problem oder nicht?

Eigentlich sind die konfigs der Firewall "simple" Textdateien, die du eigentlich auch "so" verteilen kannst.
Macht aber eigentlich auch keinen Sinn, denn was kümmert Standort C der nur mit A "telefonieren" soll, wie es in
Standort B aussieht, der auch nur mit A "telefoniert".

Natürlich kannst du die global mit allen regeln verteilen und dann auf jedem Standort die regeln weglasern, die da nicht
gelten, ist aber eher so herum mehrarbeit, als die gleich mit Ihren speziellen Daten zu füttern.

Hm - mal sehen ...


Gruß

btw:
> was ist dann der Vorteil einer reinen SDLS Leitung gegenüber einer MPLS Leitung
Andersherum eine MPLS Leitung hat immer eine zusätzliche (bei den kleinen wäre das ISDN) Notleitung, die SDLS
"normalerweise" nicht dabei hat und die im Fall der Fälle ohne dein Zutun einspringt.

Stimmt - ich erinnre mich langsam wieder ....

Schon mal Danke!
Nagus
Bitte warten ..
Mitglied: 60730
11.11.2010 um 10:11 Uhr
Moin,

Was ich aber vor allem meinte war: VPN Gateway und Firewall in einem: ist das ein Problem oder nicht?

Und da trennt sich die Spreu vom Weizen - bei einer dafür ausgelegten Kiste kein Thema, bei einem PC mit 0815 Gedöhns kann das in die Hose gehen.
Sowohl unsere olle Astaro Reihe, als auch die Sonicwalls machen das alle reibungslos.

Evtl. verwechselst du das auch mit dem geflügeltem Satz " DIe Kiste, die geschützt werden soll, darf nicht die Firewall sein"

Gruß
Bitte warten ..
Mitglied: Nagus
22.11.2010 um 11:48 Uhr
So - nach dem ich wieder fit bin und ein paar Infos habe kann das als gelöst markiert werden.

Weitere Infos/Kommentare sind aber immer erwünscht!

Gruß
Nagus
Bitte warten ..
Mitglied: Baarrd
06.02.2015, aktualisiert um 10:19 Uhr
MPLS wird verschlüsselt und ist damit sicher. Nur so zu Info.
Bitte warten ..
Neuester Wissensbeitrag
Microsoft

Lizenzwiederverkauf und seine Tücken

(5)

Erfahrungsbericht von DerWoWusste zum Thema Microsoft ...

Ähnliche Inhalte
LAN, WAN, Wireless
gelöst Neuplanung Netzwerk mit VLAN, VOIP, Gästenetz (3)

Frage von GKKKAT zum Thema LAN, WAN, Wireless ...

Windows Netzwerk
Windows Server 2003 SBS Netzwerk durch neuen Server Ersetzen (9)

Frage von MultiStorm zum Thema Windows Netzwerk ...

Windows Netzwerk
USB-Gerät ins Netzwerk (Domäne) einbinden (4)

Frage von griss0r zum Thema Windows Netzwerk ...

Monitoring
Netzwerk-Qualität Monitoring Toolempfehlung (9)

Frage von michmeie zum Thema Monitoring ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (18)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Windows Netzwerk
Windows 10 RDP geht nicht (16)

Frage von Fiasko zum Thema Windows Netzwerk ...

Windows Server
Outlook Verbindungsversuch mit Exchange (15)

Frage von xbast1x zum Thema Windows Server ...