Vorteile MPLS
Preis- und Verfügbarkeitscheck MPLS
Anbieterneutral
bis zu 20% sparen
Marktüberblick
Die wichtigsten Vorteile einer MPLS Lösung
Qualität des Dienstes (QoS)
Wichtige Anwendungen, die hohe Verfügbarkeit erfordern erhalten eine höhere Priorität als weniger wichtige Anwendungen.
Sicherheit
Datenpakete werden aufgrund ihrer Labels und nicht aufgrund ihrer IP-Adressen geroutet werden. Dies macht es schwieriger, den Verkehr zu manipulieren.
Skalierbarkeit
MPLS ermöglicht es, große Netzwerke mit vielen Standorten und Verbindungen zu verwalten und zu skalieren, ohne dass die Leistung beeinträchtigt wird.
Flexibilität
Verschiedene Dienste werden über dasselbe Netzwerk bereitgestellt. Damit ist es möglich, flexibler auf die Bedürfnisse des Unternehmens einzugehen.
Kompatibilität
MPLS ist mit vielen Netzwerkprotokollen und -geräten kompatibel. Damit ermöglicht es eine einfachere Integration in bestehende Netzwerke.
Redundanz
Hohe Verfügbarkeit des Netzwerkes durch Bereitstellung mehrerer Pfade für den Datenverkehr.
MPLS Sicherheit
Neben hoher Übertragungsqualität und schnellerer Übertagung der Datenpakete gewährleistet MPLS insbesondere hohe Sicherheit.
Multi Protocol Label Switching (MPLS) ist in erster Linie das Durchleiten von Daten über die Systeme des Anbieters oder dessen Kooperationspartnern.
Da der Datenfluss über die Label einem vorgegeben Weg folgt und so keine Routing-Entscheidungen getroffen werden müssen, sind MPLS Verbindungen als hochwertiger als Internet-Verbindungen einzustufen.
Die Knotenpunkte eines MPLS-Netzes sind für die Außenwelt unsichtbar und abgeschlossen. Die Daten werden in einem virtuellen Tunnel (VPN) übertragen.
Um eine ausreichende MPLS Sicherheit zu gewährleisten muss zusätzlich verschlüsselt werden.
Maßnahmen zur Sicherung von MPLS Netzen
Zuverlässigkeit verbundener MPLS-Carrier
Kunden, die ihre Auslandsstandorte über MPLS-VPN anbinden, müssen sich nicht nur auf den nationalen MPLS-Provider, sondern auch auf den/die beteiligten internationalen MPLS-Partner-Provider verlassen können.
Vertragsbeziehungen geht der Kunde üblicherweise nur mit dem nationalen MPLS Provider ein. Eine genaue Überprüfung der eingesetzten Lösungen / Varianten der Partner-Carrier ist zwingend anzuraten.
Verhindern von MPLS-Label-Spoofing
Die Eingangs-Netzknoten des MPLS-Cores (PE-Router oder Ingress-LSR) müssen markierte („labeled“) MPLS-Pakete blockieren, sobald sie über eine CE-PE-Verbindung in das Netz eintreten bzw. von einem nicht vertrauenswürdigen Router stammen.
Diese Maßnahme zur MPLS Sicherheit wird auf Seiten der Hersteller durch sichere Programmierung erreicht.
Einsatz von Netzüberwachungssystemen
Es müssen Netzüberwachungssysteme, meist als Bestandteil eines Netzmanagementsystems (NMS), eingesetzt werden. Diese sollen auf Kundenseite und auf Dienstleisterseite die Integrität des MPLS VPN überwachen. Die Kundeninformationen sollten dabei nicht direkt vom CE zum Kunden gelangen (z. B. über SNMP oder NetFlow), sondern über ein Kundenportal bereitgestellt werden.
Beim Netzmanagement sind sichere Protokolle zu nutzen. Insbesondere auf den Einsatz von Telnet sollte in diesem Umfeld zugunsten verschlüsselter Alternativen (SSH) verzichtet werden. SNMPv3 sollte in abgesicherter Form zum Einsatz kommen um hier eine ausreichende MPLS Sicherheit zu gewährleisten.
Internet-Übergang als eigenes MPLS-VPN
Im MPLS-Core kann für Kunden ein zentraler Übergang in das Internet bereitgestellt werden. Der Übergang kann in unterschiedlicher Art und Weise konfiguriert werden, insbesondere hinsichtlich des Routings.
Internet-Routen sollten innerhalb eines eigenen MPLS VPN über dedizierte VRF-Instanzen auf den PE-Routern für die Internet-Kunden vorgehalten werden. Diese PE-Router sollen ausschließlich mit Internet-CEs verbunden sein.
Andere Kunden-VPN-CEs sollen nicht direkt mit dem Internet-PE verbunden werden.
Redundanz für maximale Verfügbarkeit von MPLS-Netzen
Der Ausfall oder der Teilausfall des MPLS-Provider-Netzes hat i.d.R. erhebliche Auswirkungen. Durch den Einsatz redundanter Netzarchitekturen kann je nach Verfügbarkeits-Anforderung eine Ausfallsicherung erreicht werden.
Diese Maßnahme zur MPLS Sicherheit wird auf Seiten der Hersteller durch sichere Programmierung erreicht.
Nutzung von IPSec-Tunneln über MPLS-Verbindungen
Durch den Einsatz von verschlüsselten Tunneltechnologien, wie IPSec, TLS/SSL oder SSH, kann ein Kunde die Integrität und Vertraulichkeit seines VPNs absichern.
Die Nutzung von Site-to-Site-Verschlüsselung, beispielsweise mit Hilfe von IPSec, ermöglicht es dem Kunden, die Vertraulichkeit der über das MPLS-Netz übertragenen Daten gegenüber potentiellen Angreifern in der Man-in-the-Middle-Position zu schützen.
Die IPSec-Tunnel werden üblicherweise zwischen CE und CE zweier Kundenstandorte aufgebaut. Alternativ können zu diesem Zweck auch nachgelagerte Sicherheitsgateways oder VPN-Konzentratoren genutzt werden, die unter der alleinigen Kontrolle des Kunden liegen. Auf diese Weise kann ein erhöhter Schutz vor möglichen Angriffen des Providerpersonals erreicht werden.
Die wohl eleganteste Lösung für MPLS Sicherheit kommt von Cisco:
MPLS-Anbieter wie Colt & Vodafone setzen auf die Cisco-Technologie GET (Group Encrypted Transport).
Das von Cisco als RFC 3547 eingereichte GET VPN ermöglicht skalierbare Any-to-Any-Connectivity: Bei dem Verfahren wird lediglich die Payload verschlüsselt, der Header bleibt unverschlüsselt. Damit lässt sich neben QoS (Quality of Service) auch Multicasting mit sicherem Verkehr einsetzen. Da ein Server das Schlüsselmanagement übernimmt, muss sich ein Anwender nur noch bei einer Gruppe anmelden. Der Aufbau einzelner Punkt-zu-Punkt-Tunnel entfällt, die Verschlüsselung findet in der Cloud statt.
Ich freue mich auf Ihre Fragen!
Frank Frommknecht
Key Account Consultant