MPLS Netzwerk Struktur - wie sieht die Praxis aus?
Hallo Zusammen,
ich mach mir gerade Gedanken um unsere Netzwerkstruktur, die ich auf Grund der aktuellen Kosten etwas optimieren möchte. Außerdem möchte ich unsere leidigen Performance Probleme in den Griff bekommen
Bei meinem alten Arbeitgeber haben wir ein MPLS Netzwerk ohne extra Verschlüsselung aufgesetzt. Beim suchen im Netz habe ich dann aber festgestellt, das viele Ihre MPLS Anbindung noch einmal per VPN verschlüsseln - was doch eigentlich die Vorteile der schnellen Verbindung wieder zu Nichte macht.
Deswegen interessiert es mich mal wie es so bei Euch umgesetzt wird - und warum!
Gruß
Nagus
ich mach mir gerade Gedanken um unsere Netzwerkstruktur, die ich auf Grund der aktuellen Kosten etwas optimieren möchte. Außerdem möchte ich unsere leidigen Performance Probleme in den Griff bekommen
Bei meinem alten Arbeitgeber haben wir ein MPLS Netzwerk ohne extra Verschlüsselung aufgesetzt. Beim suchen im Netz habe ich dann aber festgestellt, das viele Ihre MPLS Anbindung noch einmal per VPN verschlüsseln - was doch eigentlich die Vorteile der schnellen Verbindung wieder zu Nichte macht.
Deswegen interessiert es mich mal wie es so bei Euch umgesetzt wird - und warum!
Gruß
Nagus
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 150597
Url: https://administrator.de/forum/mpls-netzwerk-struktur-wie-sieht-die-praxis-aus-150597.html
Ausgedruckt am: 03.04.2025 um 20:04 Uhr
10 Kommentare
Neuester Kommentar
MPLS implementiert man als ISP und nicht als Firma.
Und ja, MPLS ist ohne Verschlüsselung - das ist auch gar nicht der Sinn davon.
Bei MPLS geht es darum Pakete durch ein großes Backbone-Netz möglichst schnell durch zu kriegen, indem man sie nicht routet sondern switcht.
Du als Kunde bekommst von MPLS ohnehin nichts mit, da du idR ohnehin nur einen Drop-Off-Port vom VPLS an beiden Enden bekommst.
Verschlüsselung ist auch über MPLS für den Benutzer Pflicht!
Und ja, MPLS ist ohne Verschlüsselung - das ist auch gar nicht der Sinn davon.
Bei MPLS geht es darum Pakete durch ein großes Backbone-Netz möglichst schnell durch zu kriegen, indem man sie nicht routet sondern switcht.
Du als Kunde bekommst von MPLS ohnehin nichts mit, da du idR ohnehin nur einen Drop-Off-Port vom VPLS an beiden Enden bekommst.
Verschlüsselung ist auch über MPLS für den Benutzer Pflicht!

moin,
"trau schau wem"
Meistens will man ja auch mal raus aus dem MPLS Verbund ins böse böse anders als der Name suggeriert Indernett.
Und spätestens dann nimmt man eine ordentliche Firewall, die zudem das bisschen VPN nebenbei macht.
MPLS ist nicht/keine
Und außerdem:
Die "schnelle Verbindung" naja auch beim MPLS darfst du nicht denken, hier mein Router in Standort x da mein Router in Standort y und dazwischen kein einziger HOP.
Eines ist sicher, sicher ist sicher.
Gruß
edit Dog hat das meiste ja eh schon geschrieben... /edit
"trau schau wem"
Meistens will man ja auch mal raus aus dem MPLS Verbund ins böse böse anders als der Name suggeriert Indernett.
Und spätestens dann nimmt man eine ordentliche Firewall, die zudem das bisschen VPN nebenbei macht.
MPLS ist nicht/keine
- Standleitung
- benutzt keine verschlüsselten Pakete
- kennt kein UMTS und Co.
- schütz deine Standorte nicht gegeneinander vor Virenattaken/DOS und Co aus den jeweils anderen Standorten,
Und außerdem:
- VPN richtest du ein und verwaltest es
- MPLS macht der Provider
Die "schnelle Verbindung" naja auch beim MPLS darfst du nicht denken, hier mein Router in Standort x da mein Router in Standort y und dazwischen kein einziger HOP.
Eines ist sicher, sicher ist sicher.
Gruß
edit Dog hat das meiste ja eh schon geschrieben... /edit
ist das doch auch eine Separation vom "restlichen bösen" Netz - zumindest habe ich das bisher immer auch verstanden
Und was passiert wenn sich jemand im Verteilerkasten an die Leistung hängt und den unverschlüsselten Verkehr mitschneidet?
Oder wenn der ISP zufälligerweise mal MPLS auch mit auf den Glasfaster-Splitter legt der zur Überwachungseinrichtung des Staates geht?
Nein, das denke ich mir nicht aus. In den USA befindet sich in praktisch jeder großen Verteilerstelle ein Splitter, der einfach noch mal den gesamten Traffic auf Geräte der NSA etc. spiegelt um es ihn zu untersuchen. Da kann genauso auch dein MPLS bei sein.
Hatte letzthin einen ISP da und der war überrascht, als ich ihn auf VPN auf den MPLS Leitungen angesprochen habe.
IPv6 ist den meisten ISPs nach über 15 Jahren, die es das schon gibt, auch immer noch ein Rätsel.
was ist dann der Vorteil einer reinen SDLS Leitung gegenüber einer MPLS Leitung
Du hast gute Chancen das deine SDSL-Leitung genauso auf dem DSLAM in einen VPLS-Tunnel terminiert wird.

Salü,
jede Hardware Firewall ist eine "PC" Lösung - nur ist das ein PC, der extra dafür oder schon gleich ein abgespekter "PC" ist.
Der einzige Unterschied ist - der Strom und Platzbedarf und das keiner diesen "PC" als Arbeitplatz missbrauchen würde.
Wobei dir diese Zeilen nur sagen sollen, immer eine "dedizierte HW Firewall" nutzen.
Eigentlich sind die konfigs der Firewall "simple" Textdateien, die du eigentlich auch "so" verteilen kannst.
Macht aber eigentlich auch keinen Sinn, denn was kümmert Standort C der nur mit A "telefonieren" soll, wie es in Standort B aussieht, der auch nur mit A "telefoniert".
Natürlich kannst du die global mit allen regeln verteilen und dann auf jedem Standort die regeln weglasern, die da nicht gelten, ist aber eher so herum mehrarbeit, als die gleich mit Ihren speziellen Daten zu füttern.
Gruß
btw:
jede Hardware Firewall ist eine "PC" Lösung - nur ist das ein PC, der extra dafür oder schon gleich ein abgespekter "PC" ist.
Der einzige Unterschied ist - der Strom und Platzbedarf und das keiner diesen "PC" als Arbeitplatz missbrauchen würde.
Wobei dir diese Zeilen nur sagen sollen, immer eine "dedizierte HW Firewall" nutzen.
Eigentlich sind die konfigs der Firewall "simple" Textdateien, die du eigentlich auch "so" verteilen kannst.
Macht aber eigentlich auch keinen Sinn, denn was kümmert Standort C der nur mit A "telefonieren" soll, wie es in Standort B aussieht, der auch nur mit A "telefoniert".
Natürlich kannst du die global mit allen regeln verteilen und dann auf jedem Standort die regeln weglasern, die da nicht gelten, ist aber eher so herum mehrarbeit, als die gleich mit Ihren speziellen Daten zu füttern.
Gruß
btw:
was ist dann der Vorteil einer reinen SDLS Leitung gegenüber einer MPLS Leitung
Andersherum eine MPLS Leitung hat immer eine zusätzliche (bei den kleinen wäre das ISDN) Notleitung, die SDLS "normalerweise" nicht dabei hat und die im Fall der Fälle ohne dein Zutun einspringt.
Moin,
Und da trennt sich die Spreu vom Weizen - bei einer dafür ausgelegten Kiste kein Thema, bei einem PC mit 0815 Gedöhns kann das in die Hose gehen.
Sowohl unsere olle Astaro Reihe, als auch die Sonicwalls machen das alle reibungslos.
Evtl. verwechselst du das auch mit dem geflügeltem Satz " DIe Kiste, die geschützt werden soll, darf nicht die Firewall sein"
Gruß
Was ich aber vor allem meinte war: VPN Gateway und Firewall in einem: ist das ein Problem oder nicht?
Und da trennt sich die Spreu vom Weizen - bei einer dafür ausgelegten Kiste kein Thema, bei einem PC mit 0815 Gedöhns kann das in die Hose gehen.
Sowohl unsere olle Astaro Reihe, als auch die Sonicwalls machen das alle reibungslos.
Evtl. verwechselst du das auch mit dem geflügeltem Satz " DIe Kiste, die geschützt werden soll, darf nicht die Firewall sein"
Gruß