mpls-verschluesselung

Verschlüsselung von MPLS

Transport von Ethernet Frames im MPLS
Ethernet Verschlüsselung im Transport-Modus vor Übergabe ans MPLS
Ethernet over MPLS (EoMPLS)
Verschlüsselung mit eingefügtem MPLS Tag
Verschlüsselung zwischen Carrier und Label Switch Router
Ethernet Frame mit beigefügtem MPLS Tag
Ethernet Frame mit Transport Modus über MPLSoE
Ethernet Frame mit Frame Modus über MPLSoE

Die Verschlüsselung in MPLS Netzen ist ein heikles Thema und wird immer wichtiger. Die sonst so abgeschlossenen MPLS Netze haben immer mehr Berührungspunkte zum Internet, sei es durch externe Mitarbeiter, Cloud Anbindungen oder anderes. Wir stellen hier verschiedene Verschlüsselungsmechanismen kurz vor. Grundsätzlich ist ein MPLS Netzwerk sicher. Warum? Es ist ein in sich abgeschlossenes, von einem Provider betriebenes, Netzwerk und hat in der Regel nur einen Berührungspunkt mit dem öffentlichen Internet. Dieser liegt meist entweder im Rechenzentrum oder in der Firmenzentrale. Doch auch abgeschlossene Netzwerke können durch physische Zugriffe auf Rechner oder Knotenpunkte unsicher werden. Eine Verschlüsselung des MPLS Verkehrs schafft hier mehr Sicherheit. MPLS verarbeitet und transportiert eine Vielzahl verschiedener Daten. Dazu gehören auch IP-Pakete und Ethernet Frames. Ethernet-Verschlüsseler sollten das MPLS unterstützen, doch je nach Lage des Verschlüsselers, wird eine abweichende Unterstützung benötigt. Bei der Nutzung von MPLS als reines Transportmedium für Ethernet Frames, ist es für das Unternehmen transparent. Das heißt, dass nur das Ethernet sichtbar ist und sich damit auch die Verschlüsselung darauf fokussiert. Verwendung von MPLS für den Transport von Ethernet-Frames Bei dieser Abbildung handelt es sich um ein normales Ethernet-Szenario, worauf sich auch die Verschlüsselung beschränkt Ethernet-Verschlüsselung im Transport-Modus vor Übergabe an MPLS-Netzwerk Ethernet over MPLS (EoMPLS) Nutzt man das MPLS nicht für den Transport von Ethernet Frames, sondern direkt, wird im Frame ein sog. MPLS-Tag eingefügt. Das führt zu einem anderen Inhalt: Es gibt aber zwei Arten der Nutzung von MPLS: Nebst dem Transport von Ethernet-Frames über MPLS kann auch MPLS direkt genutzt werden, wobei im Frame ein MPLS-Tag eingefügt wird. Das hat Auswirkungen auf den Inhalt der Frames: Authentizierte Verschlüsselung im Transport-Modus mit eingefügtem MPLS-Tag Ein anderer Aufbau ergibt sich, wenn der Verschlüssler zwischen dem MPLS Router und dem Ethernet Anschluss des Providers steht. Wird der Secure Switch nach dem MPLS Router (Label Switch Router) aufgestellt, kommen mehr Szenarien zum Tragen. Die Verschlüsselung darf dabei erst nach dem MPLS-Tag erfolgen. Im Falle das Frames mit MPLS Tag von der Ethernet Verschlüsselung ausgenommen werden können und der Secure Switch Ethernet over IP (EoIP) beherrscht, ist es möglich alle MPLS Szenarien zu unterstützen. Das beinhaltet MPLS über Ethernet und MPLS über IP. Vorteil an diesem Aufbau liegt im gewährten Komplettschutz, der Vertraulichkeit, Integritätsschutz, Entdecken und Verhindern von Eindringlingen, einer Layer 2-Firewall und Resistenz gegen DDos Attacken! Besonders bei breitbandigen Anschlüssen bringt es Kosteneinsparungen mit sich. Nachstehend finden Sie Verschlüsselungsoptionen, die sich auf MPLS über Ethernet (MPLSoE) beschränken, wobei MPLS auf Layer 2 terminiert wird. Eine Unterstützung von EoIP ist nicht vorausgesetzt. Ethernet-Frame mit eingefügtem MPLS-Tag Ethernet-Frame mit Transport-Modus-Verschlüsselung transportiert über MPLSoE Ethernet-Frame mit Frame-Modus-Verschlüsselung transportiert über MPLSoE

Ethernet über MPLS / VPLS

Ethernet über MPLS / VPLS

Transportiert man Ethernet-Frames über MPLS muss der Verschlüssler den Ethernet Header unverschlüsselt lassen, da das MPLS auf die Header Informationen angewiesen ist (MPLS Header). Hier sind die Voraussetzungen für MPLS sowohl im Transport- als auch im Tunnel-Modus erfüllt. Eine direkte Unterstützung ist nicht nötig, nur Transparenz. Zwei Transportvarianten von Ethernet über MPLS können genutzt werden:

  • Der MPLS Tag wird zwischen den Ethernet Header und die Nutzlast gesetzt (nur bei durchgängigen Ethernet Netzwerk)
  • Der Originalframe wird vom MPLS enkapsuliert und der MPLS Tag wird vor die Nutzlast gesetzt (bei unterschiedlichen Layer 2 Netzwerken)

MPLS Interconnect

Bei einer Verschlüsselung der Verbindung von lokalen MPLS Wolken über ein WAN, muss der Secure Switch (Verschlüsseler) sich dem Frameformat anpassen. Zwei Frame Varianten sind möglich:

  • Ethernet Frame mit MPLS Tag
  • Ethernet Frame mit MPLS Tag, wobei der „Original“-Frame enkapsuliert und als Nutzlast übertragen wird

MPLS Interconnect

Zwischen MPLS-Clouds

Will man die Verbindung zweier lokaler MPLS Clouds über eine Provider MPLS Cloud verschlüsseln, ist es erforderlich das der Verschlüsseler nur die Nutzlast verschlüsselt, die aus dem enkapsulierten Originalframe besteht. Die genauen Anforderungen an den Verschlüsseler variieren hier je nach Szenario und auch Topologie. Eine optimale Lösung für Multipunkt Topologien ist nur schwer erreichbar.

IPSec als MPLS Verschlüsselung

Eine Absicherung mit IPSec ist auch möglich. Jedoch macht diese nur Sinn, wenn es sich um ein reines IP Netzwerk handelt. Ist es eine Carrier Ethernet Netzwerk Lösung bietet es nicht ausreichend Sicherheit, da eine Verschlüsselung unterhalb von Layer 3 wegfällt. Sie benötigen Beratung zu Ihrem MPLS Netzwerk? Sprechen Sie uns an! Unsere Experten helfen Ihnen gerne weiter. Mit freundlicher Genehmigung von Herrn Christoph Jaggi. Die Originalpublikation finden Sie hier. Merken

GET STARTED: Vereinbaren Sie Ihre individuelle Beratung

Unsere Experten haben Erfahrung in der Analyse Ihrer Anforderungen und dem Vergleich vieler Anbieter, um die beste Lösung für Sie zu finden.

migration-all-ip

All IP – Whitepaper zu Migration

ISDN gehört bald der Vergangenheit an, daran besteht kein Zweifel. Die Deutsche Telekom will bis spätestens Ende 2018 ISDN abschalten. Unternehmen sollten sich daher baldmöglichst entscheiden, wie sie den Umstieg zu All IP organisatorisch und technisch angehen wollen. Die Zeit drängt. Das verdeutlicht eine Umfrage des DVPT* (Deutscher Verband für Post, Infomationstechnologie und Telekommunikation). Weniger als die Hälfte der befragten Unternehmen arbeitet bereits aktiv an einer Umstellung von ISDN zu IP-Telefonie. Für 13 Prozent ist die Migration aktuell noch kein Thema; ebenso viele wollen sich erst 2018 damit befassen. Wer Entscheidungen aufschiebt, setzt sich später allerdings unnötig unter Druck. Die Empfehlung von Savecall: Unternehmen sollten sich baldmöglichst mit den Migrationsoptionen vertraut machen.

Warum überhaupt All IP

Der Hauptvorteil für Unternehmen liegt in den ITK-Konvergenzvorteilen. Während klassische Telekommunikation und Datenverarbeitung zwei verschiedene Welten mit unterschiedlichen Regeln und Erfordernissen waren, erlaubt die IP-Telefonie nun, auf einen Teil davon zu verzichten. Alles – auch die Telekommunikation – läuft damit über IP. Die Zusammenführung von Sprach- und Datennetzen auf IP-Basis reduziert den Aufwand für Installation, Betrieb und Wartung erheblich. IP-Telefonie bietet Unternehmen somit deutliche Kosten- und Strukturvorteile beim Aufbau von Telefonanlagen (UCC*-/TK-Anlagen) – die ITK-Infrastruktur ist wesentlich einfacher zu pflegen. Auch lassen sich moderne UCC-/TKAnlagen besser in die Computerumgebung integrieren (Computer-Telephony-Integration (CTI) wird einfacher). Ein weiterer Vorteil ist die einfache Skalierbarkeit – etwa bei der Wahl der gleichzeitig nutzbaren Sprachkanäle. Denn während man bei ISDN je nach Anschluss an feste Kanalzahlen gebunden ist (je S0-Anschluss 2 Kanäle oder je S2M 30 Kanäle), kann bei IP auch in flexibleren Schritten erweitert werden, abhängig von der vorhandenen Bandbreite.

Ausgangssituation

Die Auswirkungen der ISDN-Kündigung sind abhängig von der Ausgangssituation des Unternehmens. Dabei sollten folgende Punkte geprüft werden:

Wie ist die vertragliche Situation

  • Stand der Verträge mit dem Provider (Vertragslaufzeiten und Kündigungsfristen abfragen; liegt eine Kündigung des ISDN-Anschlusses durch den bisherigen Anbieter bereits vor und wenn ja zu welchem Stichtag?)
  • Wartungs-/Serviceverträge mit dem TK-Anlagen-Anbieter etc.

Welche Technik wird derzeit eingesetzt?

Dazu gehören neben der TK-Anlage, den Telefonen, Firewalls, Routern und Faxgeräten beispielsweise auch Tür- und Schrankenöffner, Alarmanlagen sowie EC-Cashsysteme, die über ISDN oder analoge Leitungen angeschlossen sind. Die Ist-Analyse ermittelt unter anderem, wie weit der Lebenszyklus der eingesetzten Produkte fortgeschritten ist.

Welches Budget wird benötigt bzw. steht zur Verfügung?

(Planung, Freigabe..)

Welche Ansprüche werden an die zukünftige Telefonie gestellt?

(was wird benötigt: UCC, CTI etc.) Die Bestandsaufnahme bildet die Basis für die Planung in Richtung All IP, an der kein Weg vorbei führt.

All IP Whitepaper

In unserem Whitepaper haben wir mehrere exemplarische Migrationsszenarien von klassischen ISDN zu den verschiedenen All IP Produkten am Beispiel der QSC aufgeführt. Das Whitepaper finden Sie hier: Migration auf All IP Sie wollen zu All IP umsteigen. Kontaktieren Sie uns direkt oder nutzen Sie unseren All IP Online Check zur Übersicht aller Anbieter und Preise.

GET STARTED: Vereinbaren Sie Ihre individuelle Beratung

Unsere Experten haben Erfahrung in der Analyse Ihrer Anforderungen und dem Vergleich vieler Anbieter, um die beste Lösung für Sie zu finden.

colt-iq-network

Colt IQ Network in Helsinki

Europas führender Business Provider Colt breitet seine Flügel aus und fliegt wie ein Adler durch Europa und über die Ozeane. Nach dem Ausbau des Point of Presence Marseille als Gateway zu Afrika, Asien und den Nahen Osten, hat Colt nun auch sein IQ Network nach Helsinki erweitert. Unternehmen in Österreich profitieren damit von sicheren, schnellen und zuverlässigen Verbindungen nach Finnland. Laut dem Data Centre Risk Index von 2016 gehört es zu den fünf attraktivsten Rechenzentrumstandorten weltweit! Dies ist den niedrigen Stromkosten als auch dem kalten Klima zu verdanken. Die Betriebs- als auch Kühlkosten können so deutlich reduziert werden. Die Erweiterung des IQ Networks bietet Kunden zwischen Helsinki und Stockholm Verbindungen von bis zu 10 Tbit/s. Zusätzlich verbindet eine 100 Gbit/s Glasfaserleitung Finnland und Deutschland. Deutsche Unternehmen mit Standorten in Finnland haben damit Zugriff auf das komplette Colt IQ Network, an dem weltweit mehr als 700 Rechenzentren und über 24.500 Gebäude angeschlossen sind. Zum Colt IQ Network gehören Verbindungen die die Länder Europas mit wichtigen Zentren in Asien wie zum Beispiel Tokio, Osaka, Hongkong oder Singapur vernetzen. Ideale Bedingungen für österreichische Unternehmen, die zukunftssichere Bandbreitenkapazitäten benötigen! Süleyman Karaman, CEO von Colt Deutschland sagt dazu: „Finnland ist ein attraktiver Standort für Investitionen in Rechenzentren. Von den idealen Bedingungen vor Ort profitieren Konnektivitätsanbieter, Betreiber von Rechenzentren und Unternehmenskunden. Colt investiert in den kommenden drei Jahren 500 Millionen Euro in den Ausbau des Colt IQ Networks. Dadurch schaffen wir für unsere Kunden schnellere und flexiblere Verbindungen, bieten bessere Service Level Agreements und berücksichtigen die strategische Bedeutung von Finnland als Knotenpunkt zwischen Europa und Asien.“ Zusammen mit dem neuen PoP in Marseille und dem Ausbau der Stadtnetze in Asien schafft Colt perfekte Lösungen für internationale Unternehmen, die einen hohen Bandbreitenbedarf haben. Werden Sie jetzt Teil der Savecall Colt Familie! Sprechen Sie uns direkt an unter: Tel: +43 130 100 160 E-Mail: kontakt@savecall.at Oder nutzen Sie unseren Online Check zur Verfügbarkeitsprüfung von Colt an nationalen und internationalen Standorten ihres Unternehmens.

GET STARTED: Vereinbaren Sie Ihre individuelle Beratung

Unsere Experten haben Erfahrung in der Analyse Ihrer Anforderungen und dem Vergleich vieler Anbieter, um die beste Lösung für Sie zu finden.