Standortvernetzung: IPSec, MPLS, Ethernet-VPN
MPC findet die richtige VPN-Lösung für Ihr Unternehmen
Das WAN ist in modernen ITK Umgebungen die zentrale Kommunikationsplattform.
Ein schneller, sicherer und reibungsloser Daten- und Kommunikationstransfer zwischen den Standorten eines Unternehmens ist wesentlich für das Funktionieren zentraler Geschäftsprozesse.
Eine leistungsfähige Standortvernetzung ist damit Voraussetzung für die Effizienz und Wettbewerbsfähigkeit jedes Unternehmens.
Standortvernetzung – technische Lösungsvarianten
Eine optimale VPN Standortvernetzung gewährleistet eine sichere und echtzeitfähige Sprach- und Datenübertragung zwischen Unternehmenszentrale und Rechenzentrum und den Niederlassungen, Filialen und Produktionsstätten im In- und Ausland. Nachfolgend erhalten Sie einen Kurzüberblick über die wesentlichen technischen Lösungsvarianten:
- Flexibel + kostengünstig
- überall verfügbar
- Große Auswahl an Anbindungsvarianten
- Betrieb durch Provider
- private Netzplattform
- Priorisierung einzelner Anwendungen über CoS
- WAN wird LAN
- Layer 2
- Optimal für große Bandbreiten >100 Mbits
Standortvernetzung ausführlicher Überblick der Design-Varianten:
Standortvernetzung ist der Überbegriff für diverse technische Möglichkeiten, Standorte eines Unternehmens miteinander zu verbinden, um eine optimale Infrastruktur für die betriebsinterne Kommunikation zu schaffen.
Tatsächlich gibt es mehrere technische Varianten.
Der Haupt-Lösungsansatz sind Virtuelle Private Netzwerke (VPN) oder Punkt-zu-Punkt-Verbindungen, die wir nachfolgend ausführlich beschrieben haben:
Standortvernetzung über MPLS
MPLS (Multi-Protocol Label Switching) hat sich mittlerweile als Standard für die Standortvernetzung von Lokationen im In- und Ausland etabliert. Die Gründe liegen in der Verbreitung von IP-Netzen, der Vielfalt der verfügbaren Anbindungsvarianten und der resultierenden Flexibilität bei der Ausgestaltung einer Standortvernetzung über eine MPLS VPN-Lösung.
MPLS VPN werden heute von praktisch allen relevanten Netzbetreibern unter wechselnden Produkt-Bezeichnungen als Lösung für die Standortvernetzung von Unternehmen angeboten. Die Kunden profitieren dadurch von einer großen Auswahl und dem Wettbewerb zwischen den einzelnen MPLS-Providern.
Ein Kunde kann per MPLS das Netz eines WAN-Providers für die Vernetzung seiner Standorte verwenden. Das Kunden-VPN wird somit auf einer „privaten“ Netzplattform aufgebaut – anders als bei einem Internet-basierten VPN über IPSc-Tunnel.
Wie funktioniert MPLS?
Multi-Protocol Label Switching kombiniert die Vorteile von Switching mit Routing.
Statt für jedes Datenpaket in jedem Router die Route neu zu ermitteln, wird pro Route ein Label vergeben.
Die MPLS-Router analysieren die Zieladresse der Datenpakete und ermitteln dann, welche Route dazu am besten passt. Diese Entscheidung wird nur einmal, beim Eingang in das Netzwerk, getroffen. Dabei wird dem Datenpaket ein Label zugewiesen. Durch das Label wird festgelegt, welchen Weg dieses und alle weiteren Pakete nehmen sollen. Auf diese Weise entstehen vordefinierte Pfade durch das MPLS-VPN.
MPLS unterstützt Quality-of-Service (QoS). Pakete mit höherer Priorität bekommen ein anderes Label mit dem die Route schneller zum Ziel führt. Der Netzbetreiber kann Quality-of-Service Parameter für das MPLS-Netz definieren, zum Beispiel für Paketlaufzeiten (Latency, Transit Delay = Übertragungsverzögerung) und Paketverlustraten (Packet Loss Ratio).
Einzelne Applikationen können dann unterschiedlichen Classes-of-Service (CoS) zugeordnet werden, die sich in den jeweils garantierten Quality-of-Service Merkmalen unterscheiden. Auch können dadurch Bandbreiten für einzelne Anwendungen reserviert und dann die benötigten Übertragungsbandbreiten für diese Applikationen anhand definierter Profile dynamisch freigehalten werden.
Hauptvorteile bei Standortvernetzung über MPLS:
- „Fully Managed“ VPN: Die Bereitstellung, der Betrieb und die Überwachung des Netzes erfolgt durch den MPLS-Provider („Ende-zu-Ende“). Aus der eigenen IT-Mannschaft werden nur geringe Ressourcen für den Betrieb der Standortvernetzung benötigt: Change Management, Fehlersuche bei Störungen, Updates und Tausch von Hardware (Router) oder Anpassung von Konfigurationen: alles liegt in der Gesamtverantwortung des MPLS-Providers.
- Durchgängige, standardisierte WAN-Umgebung: Einheitliche Hardware, ein zentraler Vertrag, einheitliche SLAs, Kostenmodelle und Prozesse, zentrale Ansprechpartner und Servicemanager.
- große Vielzahl unterschiedlicher Anbindungstechnologien verfügbar (xDSL, SDH, Ethernet, WLL, LTE/3G etc.). Hohe Flexibilität bei der Anbindung unterschiedlicher Standorte, viele Möglichkeiten für Backup- und Redundanzkonzepte.
- Durch QoS garantierte Qualitätsparameter (Quality of Service = QoS) für Latency, Packet-Loss und Jitter. Priorisierung einzelner Applikationen durch die Zuordnung in Classes of Service (CoS).
- Garantierte SLAs für das MPLS VPN sichern eine hohe Verfügbarkeit und Performance und gewährleisten im Falle von Ausfällen schnelle Wiederherstellung innerhalb definierter Zeitfenster (TTR = Time to Repair).
- Sicherheit: keine Standortvernetzung über „public Internet“, Nutzung privater Netzstrukturen die vollständig vom öffentlichen Internet getrennt sind.
- Monitoringtools über webbasierte Portale ermöglichen eine Überwachung des Netzzustandes und Reports zur Auslastung einzelner Standortanbindungen.
- Any-to-Any-Kommunikation ist Standard: einfache Integration von Voice over IP (VoIP) und Video, einfache Einbindung zusätzlicher zentraler RZ-Standorte (z.B. bei Auslagerung von Diensten in private Cloud-Plattformen)
Die meisten MPLS-Provider bieten mittlerweile auch die Möglichkeit für eine „hybride“ Standortvernetzung bei der mehrere Netzplattformen kombiniert werden: z.B. Nutzung von lokalen Internet-Anbindungen an einzelnen Standorten und Einbindung dieser Anbindungen in die MPLS-Plattform per IPSec-VPN über Gateway-Knoten im Backbone.
Viele MPLS-Provider bieten für eine Gesamtlösung zur Standortvernetzung auch eine Reihe ergänzender Leistungen in Ihrem Portfolio an:
-
- Remote Access Lösungen zur Einbindung mobiler Nutzer
- netzbasierter Internet Access mit integrierter „managed Security” Firewall
- VoIP Integration über IP-Centrexx TK- und UC-Plattformen
- direkte Cloud-Connectivity zu großen Cloud-Providern wie Microsoft Azure oder Amazon AWS
- Bandbreiten-Optimierung bzw. Application Performance Management durch den Einsatz von Riverbed, Ipanema, Silverpeak etc. als „Managed Service“.
Bei der Standortvernetzung über eine MPLS-Lösung sind allerdings auch einige Nachteile zu beachten:
Nachteile von MPLS VPN:
-
- Abhängigkeit von Betriebsqualität des WAN-Providers: Als Kunde eines „Managed Service“ hat man zwangsläufig nur sehr geringen Einfluss bzw. Handlungsmöglichkeiten auf die Leistung und die Prozesse des MPLS-Providers. Bei Schlechtleistung und dauerhafter Unzufriedenheit kann man nicht unmittelbar Konsequenzen ziehen (Vertragsbindung!). Umso wichtiger ist eine sorgfältige Lieferantenauswahl
- International teure Bandbreiten (hoher Preis pro Mbits). Bei der Anbindung internationaler Standorte besteht immer Abhängigkeit von der Größe und Dichte des Netzes des genutzten MPLS-Providers: Nicht jeder MPLS-Provider ist überall verfügbar bzw. verfügt überall über eigene MPLS-POPs (PoP = Point of Presence) für die Anbindung von lokalen Access-Leitungen.
Wenn der MPLS-Provider in einem bestimmten Land nicht über eigene PoPs verfügt, müssen bei Bedarf sehr teure internationale Leased Lines genutzt werden, um einen Kunden-Standort an den nächstgelegenen MPLS PoP des Providers anzubinden. Auch die Flexibilität bei der Auswahl lokal verfügbarer Access-Lieferanten und Access-Technologien hat großen Einfluss auf die Preisgestaltung und Kosten bei der Standortvernetzung über eine MPLS-Lösung.
Teilweise werden über NNIs (NNI = Network-to-Network Interface) auch direkte Kopplungen mit den MPLS-Netzen anderer Netzbetreiber hergestellt, um darüber die eigene Reichweite zu erhöhen. Risiko: Flaschenhälse und ungünstige Routen (Latenz), außerdem ist Quality of Service zwischen verschiedenen Providernetzen nicht standardisiert.
(Alternative: Internet-VPNs). - Standardmäßig keine Unterstützung für RZ-RZ-Kopplung auf Layer 2 (Lösungsalternativen hier: Ethernet-VPN, VPLS oder LAN-Links)
Standortvernetzung über IPSec-VPN
Bei einem Internet-VPN werden alle Standorte über lokale Zugangsleitungen an das globale Internet angebunden. Zum Aufbau eines Site-to-Site-VPN kommt an jedem Standort ein VPN-Router zum Einsatz. Diese VPN-Router bauen dann die notwendigen verschlüsselten VPN-Tunnel zwischen den Standorten auf und stellen damit eine gegenüber dem öffentlichen Internet abgetrennte Standortvernetzung zur Verfügung. Üblicherweise kommt bei der Verschlüsselung hier das IPSec-Protokoll zum Einsatz.
IPSec-VPN versus MPLS-VPN:
Die Erfahrungen und Meinungen zur Standortvernetzung über Internet VPN sind sehr unterschiedlich: Einige Unternehmen verlassen sich vor allem bei der Anbindung internationaler Standorte fast ausschließlich auf Internet VPN Verbindungen und verzichten auf teurere WAN-Plattformen wie MPLS.
Andere Firmen haben mit Internet VPN verschiedene Probleme festgestellt:
- Probleme mit der Stabilität
- Sehr schwankende Antwortzeiten der Anwendungen
- Zu große Delays für zeitkritische Applikationen
Dabei ist Internet VPN nicht gleich Internet VPN! Die tatsächliche Performance hängt von vielen Details ab:
- Welche Provider nutze ich in welchen Ländern?
- Welche Netzübergänge bzw. Peerings bestehen zwischen den verschiedenen Providern?
- Wie stabil ist das Internet in einem bestimmten Land?
- Wie ausfallsicher ist ein Land an das Internet angebunden?
- Gibt es nationale Restriktionen (staatliche Firewall und Content-Filter, Einschränkungen für Verschlüsselung etc.)
Herausforderung: Betrieb des Netzes
Unabhängig vom exakten Netzdesign und Ausprägung der einzelnen Anbindungen: Bei einer über das Internet aufgebauten Standortvernetzung ist die eigentliche Herausforderung der Betrieb des Netzes.
Meist werden IPsec-VPN im Eigenbetrieb realisiert, gerade um die Flexibilität und Unabhängigkeit von einem zentralen WAN-Provider zu nutzen.
Für das eigene, interne IT-Support-Team stellen sich dann einige Herausforderungen:
- Wie kann ich 7 x 24 h Support gewährleisten? (Zeitschiebung etc.)
- Vielzahl an Lieferanten
- Sprachbarriere bei Kommunikation mit lokalem ISP
- keine einheitliche Standards
- komplexe Fehlersuche
Hauptvorteile von IPSec VPN:
- Internet-Access bekommt man überall: Neben MPLS ist Internet VPN die einzige WAN-Technologie für Standortvernetzung, die international mit ausreichender Flächendeckung verfügbar ist
- Flexible Auswahl der am jeweiligen Standort verfügbaren Provider und Access-Technologien (keine Einschränkung durch definierte LocalTail-Partner eines WAN-Providers)
- deutlich günstigerer Einkauf von Internetbandbreite gegenüber verhältnismäßig teurer MPLS Technologie (Preis pro Mbits). Wichtig: Bei einer TCO-Betrachtung für die Standortvernetzung müssen der Invest in Hardware (Firewall/VPN-GW) und der erhöhte eigene Betriebsaufwand („Eh-da“ Kosten?) berücksichtigt werden
- Einzige echte Multi-Provider-Umgebung
- Schnelle Realisierbarkeit, kurze Einrichtungszeiten (z.B. auch für Interimsanbindungen)
- Höhere Flexibilität: Veränderungen im Netz (z.B. Routing) können eigenständig und schnell vorgenommen werden
Nachteile von IPSec VPN:
- Eigenverantwortung für Aufbau, Betrieb und Netzmanagement (z.B. Pflege der IP-Sec Tunnel, Monitoring etc.). Hoher administrativer Aufwand
- Vielzahl an Lieferanten (Providermanagement: Beschaffung, Betrieb, Service). Troubleshooting bei Incidents, Change-Management komplex, aufwändig und wenig transparent. Keine definierten Kommunikationsschnittstellen, keine zentrale Ansprechpartner bei den lokalen Lieferanten in den jeweiligen Ländern.
- Performance der Standortvernetzung hängt stark von der Backbone-Performance und den Peerings der beteiligten Provider / Carrier ab
- Keine durchgängigen Ende-Ende SLA, keine einheitlichen SLA (keine durchgängige QoS/CoS garantiert (wichtig für Echtzeitübertragungen Video, Voice). Keine verlässlichen und stabilen Paketlaufzeiten / Latenzen.
- Kein Einfluss auf das Routing im globalen Internet
- Schwierige Fehlersuche zwischen den Lösungselementen (Access-Leitung, globales Internet, VPN-Routing, Hardware etc.)
- Sicherheit: Public Internet als WAN-Plattform für die Standortvernetzung, lokaler Access muss abgesichert werden, Sicherheitsrisiken auch bei Verschlüsselung (zumindest DDoS / Denial of Service)
Nutzung des Internet versus Nutzung einer privaten WAN-Plattform
Unternehmen aller Größenordnungen verlagern zunehmend Applikationen ins Internet bzw. nutzen Dienste aus Cloud-Plattformen. Je mehr Anwendungen und Dienste aus Public Cloud Plattformen bezogen werden, desto mehr Datenzugriffe erfolgen ins Internet. Hier macht dann insbesondere bei der Standortvernetzung von international verteilten Standorten ein direkter Internetzugriff aus den Standorten Sinn.
Internet als lokaler Access und gleichzeitig als WAN Plattform
Einige Anwendungen der Unternehmen (unternehmenskritische Datenzugriffe, Datenverbindungen mit sehr kritischen QoS-Anforderungen Latenz) werden aber auch in Zukunft auf eine private, durchgängige WAN-Lösung mit gesicherten Qualitätsparametern und hohen SLAs angewiesen sein.
Daher: Die Relevanz des Internet als WAN-Plattform bei der Standortvernetzung nimmt eher wieder zu. Aber andere WAN Plattformen werden aber meist auch noch gebraucht (auch: Hybride Standortvernetzung)
Standortvernetzung über Ethernet-VPN / VPLS
Ein Ethernet-VPN (EVPN= Ethernet Virtual Private Network) bzw. EPN (Ethernet Privat Network) erweitert die bisher auf das LAN beschränkten Vorteile der Ethernet-Technologie auf das WAN.
Eine Standortvernetzung auf Basis standardisierter Ethernet-Verbindungen eignet sich für Unternehmen, die neben ihrer eigenen Ethernet-basierten LAN-Infrastruktur auch die WAN-Netzstrukturen einschließlich des IP-Managements selbst gestalten möchten. Ein Ethernet-VPN lässt eigenes Routing über die WAN-Verbindungen zu und bietet dadurch höchste Kontrolle und Sicherheit.
LAN = WAN
Bei einem Ethernet-VPN befinden sich alle angebundenen Standorte unabhängig von der geografischen Lage scheinbar im gleichen Ethernet-LAN bzw. in der gleichen Ethernet-Domäne. Die Dienste auf den diversen lokalen Netzen können damit so verwaltet werden, als ob sie sich in einem lokalen Netz befinden.
Ethernet-VPN-Services können auf vielen unterschiedlichen Access-Leitungstypen aufgebaut werden, und können je nach WAN-Provider auch für internationale Standortvernetzung genutzt werden.
Für die einzelnen Standortanbindungen stehen dabei meist eine Vielzahl von Bandbreitenoptionen von 1 Mbit/s bis hin zu 10 Gbit/s zur Verfügung.
Ethernet-VPN: ideal für große Bandbreiten und niedrige Paketlaufzeiten
Ethernet-VPN eignen sich besonders zur schnellen und sicheren Übertragung hoher Bandbreiten und wenn niedrige Paketlaufzeiten gefordert sind – z.B. für die Standortvernetzung zwischen einem externen Rechenzentrum (RZ) und der Unternehmenszentrale, oder für den Aufbau eines eigenen WAN-Kernnetzes zwischen mehreren großen Haupt-Verwaltungsstandorten.
Die Datenströme in einem Ethernet-VPN können dabei über QoS Parameter bedarfsgerecht priorisiert werden.
In einem Ethernet-VPN können definierte Punkt-zu-Punkt und Punkt-zu-Mehrpunkt Verbindungen variabel geschaltet werden. Für größere Vernetzungskonzepte besteht auch die Möglichkeit, auf Basis von VPLS-Technologie (VPLS=Virtual Private LAN Service) den LAN-Service mit einer Any-to-Any Konfiguration oder als Stern-Topologie (Hub & Spoke) einzurichten.
Die im Markt verfügbaren Provider-Lösungen für Ethernet-VPN werden meist über das MPLS-Backbone des jeweiligen Netzbetreibers bereitgestellt. Es werden aber auch „native“ Ethernet-Services auf Basis von SDH Übertragungstechnik angeboten (Ethernet over SDH).
Unternehmen profitieren bei der Standortvernetzung über Ethernet-VPN von der Konvergenz zwischen einem herkömmlichen IP-VPN (Layer 3) und einer Ethernet-VPN Lösung (Layer 2).
Hauptvorteile von Ethernet-VPN / VPLS:
- Niedrige Paketlaufzeiten / Latenzen
- Ideal für hohe Bandbreiten
- Volle Kontrolle über das Routing
- LAN = WAN
- Vielfältige Optionen für die Netzwerktopologie
- Beliebige Protokolle übertragbar, nicht nur IP: Unterstützung für IP- und Legacy-Protokolle
LAN-Links / Punkt-zu-Punkt-Verbindungen
- vergleichsweise teuer
- garantierte Übertragungsleistung und –qualität
- für mehr als 2 Standorte kaum noch sinnvoll
Anwendungsfelder
- nur bei zwei Standorten
- bei sehr kurzen Distanzen (keine Router-Kosten, keine MPLS-Kosten)
- bei besonderen Anforderungen zw. zwei Standorten (z.B. Backup)
- bei extrem hohen Sicherheitsanforderungen(z.B. bei erforderlicher Verschlüsselung / Schlüsselverwaltung durch Nutzer)
Fazit – Design Varianten Standortvernetzung
- MPLS ist zum Standard im WAN geworden
- Ausnahmen sind z.B. kurze Distanzen zur RZ-Kopplung (hier ist evtl. auch Dark Fiber sinnvoll)
- Internet-VPN in Eigenrealisierung ist weniger eine Technologieentscheidung, sondern mehr eine Frage des gewünschten Betriebsmodells
- Eigenrealisierung ist bei Vollkostenrechnung (TCO) kaum günstiger
- Gemanagte Plattformen bieten wesentliche Vorteile
- VoIP und UCC sind klare Gründe für eine Plattform-Lösung insbesondere hinsichtlich einer All-IP-Umstellung
- die Entwicklung neuer Techniken wie SD WAN und Hybrid WAN sowie Dedicated Cloud Access sollte im Auge behalten werden
Mit MPC ihre individuelle Lösung für die Standortvernetzung finden
Die Entwicklung hin zu durchgängig IP-basierten ITK-Lösungen (All-IP) bei Telefonie, Audio- und Videokonferenzen, ein zunehmend zentralisierter IT-Betrieb, sowie der Trend zur Nutzung von Cloud-Diensten verändern die Anforderungen an die Standortvernetzung: Höhere Bandbreiten, mehr Ausfallsicherheit, Priorisierung einzelner Datenströme und Applikationen etc.
Mit MPC die optimale Lösung für die Standortvernetzung finden
Die Suche nach der richtigen Lösung gestaltet sich aufgrund des dynamischen und heterogenen Marktes nicht leicht.
MPC unterstützt Ihr Unternehmen als netzbetreiberunabhängiger WAN-Spezialist dabei, den für ihre individuellen Anforderungen passenden Anbieter zu finden!
Wir bieten Ihnen 25 Jahre Erfahrung bei der Planung und Durchführung von nationalen und internationalen VPN-Projekten. MPC verfügt über umfangreiches, praxisbezogenes Marktwissen und spezialisiertes Know-how.
Mit unserer Hilfe können Sie Planungsfehler vermeiden und eine maßgeschneiderte, sinnvoll dimensionierte Lösung budgetschonend umsetzen.
Unabhängiger Anbietervergleich – Planen, Beschaffen, Optimieren Ihrer WAN/VPN Lösung
Technisches Design
Richtig dimensioniert und stabil: Wir analysieren Ihre Anforderungen und planen eine maßgeschneiderte WAN-/VPN-Lösung für Ihr Unternehmen.
- Bandbreitendimensionierung
- verfügbare Access-Varianten
- Backup-/Redundanzkonzepte
Kommerzielle Optimierung / Benchmarking
Zahlen Sie einen marktüblichen Preis? Wir haben Vergleichs-Zahlen und wissen was andere Kunden für ihre Standortvernetzung ausgeben.
- Kosten vergleichen und transparent machen
- Kosten pro Mbits optimieren
- Preise verhandeln
Ausschreibungsmanagement
Wer ist der richtige Lieferant für Ihr WAN? Wir verhandeln mit den passenden Anbietern und schaffen eine transparente Entscheidungsgrundlage.
- Gezielte Angebotseinholung für Ihre WAN-Lösung
- Erstellen von Ausschreibungsdokumenten / Pflichtenheften
- neutraler Leistungs- und Kostenvergleich
Haben wir Ihr Interesse geweckt? Nehmen Sie hier mit uns Kontakt auf.
Wie verfügbar soll Ihre WAN-Lösung sein?
Nutzen Sie den MPC Verfügbarkeitsrechner und ermitteln Sie die vom Carrier zugesagte Ausfallwahrscheinlichkeit in Tagen, Stunden und Minuten: