Unterschied VPN MPLS
Hallo liebe Kollegen,
kann mir jemand kurz und knackig den Unterschied zwischen einer VPN und MPLS erklären? Ich habe mich jetzt ein bisschen in das Thema eingelesen und wenn ich das richtig verstehe, ist MPLS quasi eine "VPN, die vom ISP bereitgestellt und unterhalten wird". Liege ich mit meiner (ziemlich oberflächlichen) Einschätzung da ungefähr richtig?
Gruß, freenode.
kann mir jemand kurz und knackig den Unterschied zwischen einer VPN und MPLS erklären? Ich habe mich jetzt ein bisschen in das Thema eingelesen und wenn ich das richtig verstehe, ist MPLS quasi eine "VPN, die vom ISP bereitgestellt und unterhalten wird". Liege ich mit meiner (ziemlich oberflächlichen) Einschätzung da ungefähr richtig?
Gruß, freenode.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 251202
Url: https://administrator.de/forum/unterschied-vpn-mpls-251202.html
Ausgedruckt am: 02.04.2025 um 18:04 Uhr
10 Kommentare
Neuester Kommentar
Hallo,
Das wird von den Vertrieblern gerne so verkauft, trifft aber in aller Regel nicht wirklich die Erwartung des Kunden. Meines Erachtens werden die unbedarften Kunden sogar oftmals bewusst getäuscht.
Sehr allgemein ausgedrückt ist MPLS eine Technik, die es dem Provider erlaubt, Deinen Traffic als Dir zugehörig zu markieren und auf seiner Infrastruktur unabhängig vom Inhalt besonders zu behandeln. So ist es u.a. möglich, den darin gekapselten Traffic über definierte Pfade zu führen und von dem Traffic anderer Kunden zu unterscheiden.
Das Versprechen des Providers beim MPLS-VPN ist es, sicherzustellen, dass andere (Kunden) keinen Zugriff auf Deine darüber übertragenen Daten erhalten. Was dem unbedarften Kunden aber wider besseren Wissens meist verschwiegen wird ist, dass der Traffic nicht verschlüsselt ist, sofern dies der Kunde nicht selbst erledigt. Mit anderen Worten: Du musst Deinem Provider nicht nur zutrauen, dass er keine Fehler macht, sondern auch annehmen, dass weder Mitarbeiter des Providers Einblick in den Traffic nehmen noch der Traffic an andere staatliche oder private Stellen ausgeleitet wird. Wer heute noch so naiv ist, muss die letzten 2 Jahre im Koma gelegen haben...
Gruß
Steffen
Zitat von @freenode:
wenn ich das richtig verstehe, ist MPLS quasi eine "VPN, die vom ISP bereitgestellt und unterhalten
wird". Liege ich mit meiner (ziemlich oberflächlichen) Einschätzung da ungefähr richtig?
wenn ich das richtig verstehe, ist MPLS quasi eine "VPN, die vom ISP bereitgestellt und unterhalten
wird". Liege ich mit meiner (ziemlich oberflächlichen) Einschätzung da ungefähr richtig?
Das wird von den Vertrieblern gerne so verkauft, trifft aber in aller Regel nicht wirklich die Erwartung des Kunden. Meines Erachtens werden die unbedarften Kunden sogar oftmals bewusst getäuscht.
Sehr allgemein ausgedrückt ist MPLS eine Technik, die es dem Provider erlaubt, Deinen Traffic als Dir zugehörig zu markieren und auf seiner Infrastruktur unabhängig vom Inhalt besonders zu behandeln. So ist es u.a. möglich, den darin gekapselten Traffic über definierte Pfade zu führen und von dem Traffic anderer Kunden zu unterscheiden.
Das Versprechen des Providers beim MPLS-VPN ist es, sicherzustellen, dass andere (Kunden) keinen Zugriff auf Deine darüber übertragenen Daten erhalten. Was dem unbedarften Kunden aber wider besseren Wissens meist verschwiegen wird ist, dass der Traffic nicht verschlüsselt ist, sofern dies der Kunde nicht selbst erledigt. Mit anderen Worten: Du musst Deinem Provider nicht nur zutrauen, dass er keine Fehler macht, sondern auch annehmen, dass weder Mitarbeiter des Providers Einblick in den Traffic nehmen noch der Traffic an andere staatliche oder private Stellen ausgeleitet wird. Wer heute noch so naiv ist, muss die letzten 2 Jahre im Koma gelegen haben...
Gruß
Steffen
Guten Abend,
Gruß,
Dani
Also müsste ich, wenn ich beispielsweise zum verbinden zweier Netze via Internet MPLS zum tunneln benutzen wollte, mich selbst noch um die Verschlüsselung kümmern.
Dieser Blog erklärt es sehr einfach. Denn auch Provider bieten inzwischen MPLS-Verschlüsselung an.Gruß,
Dani
Das hängt von Eurem konkreten Schutzbedürfnis und Eurer Risikobewertung ab, aber in aller Regel ist es dringend anzuraten.
Die Verschlüsselung dem Provider zu überlassen, ist meines Erachtens nahezu witzlos. Dann kann man das auch gleich unterlassen.
@Dani: Guter Link. Danke.
Ergänzend könnte man noch sagen das MPLS in sich auch noch 3 Funktionen enthält:
Layer 3 VPNs = Also ein kundenspezifisches Routing von Kundennetzen über ein Provider Backbone
VPLS = eine Layer 2 Emulation also quasi ein Bridging von Kundenentzen über ein Provider Backbone
VLL = Link Emulation wie quasi eine Port zu Port Standleitung über ein Provider Backbone
Das Backbone muss aber nicht immer ein Provider sein. Auch Unternehmen nutzen diese Funktionen über ihre eigenen Firmennetze um z.B, RZ Netze über mehrere Standorte im Layer 2 zu bridgen usw.
Gemein ist aber das auch alle diese Subfunktionen bei MPLS nicht verschlüsselt sind. Der Traffic wird wie der Name schon sagt nur durch Label klassifiziert.
Sehr oft ist es aber so das die Provider ihre Kunden MPLS Netze nicht zusammen mit der Internet Infrastruktur übertragen also das die Kunden MPLS Netze über eine eigene autarke Backbone Infrastruktur laufen. Insofern gehen diese Daten dann nicht über öffentliche Netze und dann spielt die Verschlüsselung nur eine untergeorndete Rolle !
Layer 3 VPNs = Also ein kundenspezifisches Routing von Kundennetzen über ein Provider Backbone
VPLS = eine Layer 2 Emulation also quasi ein Bridging von Kundenentzen über ein Provider Backbone
VLL = Link Emulation wie quasi eine Port zu Port Standleitung über ein Provider Backbone
Das Backbone muss aber nicht immer ein Provider sein. Auch Unternehmen nutzen diese Funktionen über ihre eigenen Firmennetze um z.B, RZ Netze über mehrere Standorte im Layer 2 zu bridgen usw.
Gemein ist aber das auch alle diese Subfunktionen bei MPLS nicht verschlüsselt sind. Der Traffic wird wie der Name schon sagt nur durch Label klassifiziert.
Sehr oft ist es aber so das die Provider ihre Kunden MPLS Netze nicht zusammen mit der Internet Infrastruktur übertragen also das die Kunden MPLS Netze über eine eigene autarke Backbone Infrastruktur laufen. Insofern gehen diese Daten dann nicht über öffentliche Netze und dann spielt die Verschlüsselung nur eine untergeorndete Rolle !
Ist zwar schon mehr oder weniger gelöst, aber ich möchte auch noch meinen Senf dazu geben. MPLS verwendet VPN, nur das die Daten über MPLS Datenpackete versendet werden. Diese sind schneller als wenn du "normales" VPN verwendest. MPLS verwendet nämlich Labels. In diesen sind die Verbindungsinformationen gespeichert. Die Daten werden zusätzlich verschlüsselt, so dass MPLS besonders sicher ist. Weitere Informationen findest du auf http://www.savecall.de/mpls/
.."MPLS verwendet VPN, nur das die Daten über MPLS Datenpackete versendet werden."
Nein, das ist technsich falsch oder du hast es falsch ausgedrückt. Es werden bei MPLS definitv keine "VPN" nach dem klasssichen Tunnel Verfahren wie IPsec, L2TP, SSL, PPTP etc. verwendet.
Der VPN "Effekt" beruht vielmehr auf dem Labeling und der daraus folgenden Forwarding Information in einem MPLS Backbone ums mal laienhaft verständlich auzudrücken. Einzig das Labeling ist oben richtig beschrieben. MPLS realisiert damit 3 Haupt Funktionen nämlich Layer 3 VPN, VPLS und VLL.
Das MPLS per se verschlüsselt ist, ist leider völliger Unsinn und ein Trugschluss. Der MPLS Standard sieht per se keinerlei Verschlüsselung vor und die Ursprungspakete in den Lables sind ja immer die Origianlpakete.
Wenn also VOR der MPLS Encapsulierung schon keine Verschlüsselung mit IPsec etc. verwendet wurde ist auch ein MPLS Paket vollkommen unverschüsselt.
Das das also per se "besonders sicher" sein soll, ist barer technischer Blödsinn und traurig das solche "Halbwahrheiten" noch in einem Administrator Forum verbreitet werden
!
Ein Wireshark Trace eines MPLS Paketes wird dir das sofort zeigen !
Außerdem liefert der oben zitierte URL einen Page Error !
Nein, das ist technsich falsch oder du hast es falsch ausgedrückt. Es werden bei MPLS definitv keine "VPN" nach dem klasssichen Tunnel Verfahren wie IPsec, L2TP, SSL, PPTP etc. verwendet.
Der VPN "Effekt" beruht vielmehr auf dem Labeling und der daraus folgenden Forwarding Information in einem MPLS Backbone ums mal laienhaft verständlich auzudrücken. Einzig das Labeling ist oben richtig beschrieben. MPLS realisiert damit 3 Haupt Funktionen nämlich Layer 3 VPN, VPLS und VLL.
Das MPLS per se verschlüsselt ist, ist leider völliger Unsinn und ein Trugschluss. Der MPLS Standard sieht per se keinerlei Verschlüsselung vor und die Ursprungspakete in den Lables sind ja immer die Origianlpakete.
Wenn also VOR der MPLS Encapsulierung schon keine Verschlüsselung mit IPsec etc. verwendet wurde ist auch ein MPLS Paket vollkommen unverschüsselt.
Das das also per se "besonders sicher" sein soll, ist barer technischer Blödsinn und traurig das solche "Halbwahrheiten" noch in einem Administrator Forum verbreitet werden
Ein Wireshark Trace eines MPLS Paketes wird dir das sofort zeigen !
Außerdem liefert der oben zitierte URL einen Page Error !