Netzwerk-Management – Outsourcing von Virtual Private Networks

Auswahlkriterien für den optimalen MPLS-Provider

07.09.2007 | Autor / Redakteur: Robert Vigil, Cisco Systems / Andreas Donner

Geringe Investitionskosten und hohe Flexibilität – um in den Genuss der wesentlichen Vorteile von MPLS-VPNs (MPLS – Multiprotocol Label Switching) zu kommen, müssen Virtual Private Networks (VPNs) nicht unbedingt im eigenen Netzwerk eingerichtet werden. Viele Firmen bedienen sich der Dienste eines MPLS-Providers. Auf diese Weise erhält man den Vorteil einer vom Provider gewarteten Infrastruktur, ohne die Kosten einer MPLS-Installation tragen zu müssen. Dieser Artikel beschreibt, was bei der Auswahl eines MPLS-Providers zu beachten ist.

Heutzutage werden Netzwerkmanager mit Informationen über MPLS-VPNs überschwemmt. Doch häufig werden die entscheidenden Details nicht Transportiert: die Vorteile von MPLS, z.B. Flexibilität, Geschwindigkeit, Kosteneffizienz und die Möglichkeit zur Untergliederung des Netzwerks, lassen sich auch nutzen, ohne dass diese VPNs im eigenen Netzwerk direkt implementiert werden.

Abgesehen von ein paar wenigen großen Unternehmen, die auf riesige IT-Ressourcen und viel IT-Kompetenz zurückgreifen können, empfiehlt es sich für die meisten Firmen, sich mit diesem Thema an einen MPLS-Provider zu wenden. Aber es ist nicht leicht, den richtigen Anbieter für die eigenen Anforderungen und Ziele des Netzwerks zu finden.

Minimale Ressourcenbindung durch MPLS

Wie jede Architektur, mit der sich VPNs über mehrere Gebäude oder Standorte einrichten lassen, ist auch MPLS ein effektiver Weg, Netzwerke geografisch zu erweitern. Ungeachtet der im Netzwerk eingesetzten Protokolle, Betriebssysteme, Serverprogramme oder Netztopologien ist es mit MPLS weiterhin möglich, Daten zwischen allen angeschlossenen Geräten auszutauschen. MPLS spart auch Kosten, da Datenübertragungstechniken wie Frame Relay oder ATM entfallen können. Der Service eines MPLS-VPN-WANs (Layer 3) hilft Unternehmen außerdem bei der Abkehr von schlecht skalierbaren Sterntopologien.

Die Fremdvergabe kann als dauerhafte MPLS-Lösung gewählt werden oder als Übergangslösung mit dem Ziel eines selbst verwalteten MPLS-Netzwerks. Eine weitere Option ist ein Service-Mix, ein Paket einzelner Provider-Dienste. Bei einem solchen Mix könnte das Unternehmen den Customer Edge (CE) verwalten, während sich der Service-Provider um den Layer-2-Transport und weitere Aufgaben des Netzwerkmanagements kümmert. Dem Unternehmen bleibt damit die Kontrolle über seine Edge-Domain.

Schlüsselfragen

Bei der Auswahl eines MPLS-Service-Providers sollten die folgenden Fragen unbedingt geklärt werden:

  • Überwacht der Service-Provider das gesamte Netzwerk?
  • Kann er seinen eigenen Netzwerkverkehr abriegeln und Datenverkehr mit höherer Priorität über andere Netzwerke hinweg regeln?
  • Wo liegen die Performancegrenzen in Bezug auf Latenzzeit und Verfügbarkeit?
  • Wie wird die Leistung bemessen und zur Verfügung gestellt?
  • Wie sieht es mit ausgeglichener Netzwerkauslastung, Sicherheitsbewertung und regelmäßigen Backups aus?
  • Kann das Rechenzentrum des Service-Providers den Bedarf des Unternehmens an Netzwerksicherheit, Kapazität, Verfügbarkeit, Abläufen und Backbone-Connectivity decken?
  • Wie schnell kann der Provider auf geschäftliche Veränderungen reagieren?
  • Wie lauten die Bedingungen, falls das Netzwerk abstürzt oder die Servicequalität nicht beibehalten wird?

Doch neben diesen elementaren Fragen gilt es, noch zahlreiche weitere Faktoren intensiv zu beleuchten und zu hinterfragen:

Quality of Service (QoS)

Der MPLS-Support für End-to-End-QoS ermöglicht es dem Netzwerk, kritischen Datenverkehr (z.B. Sprache) zu priorisieren. In den Verhandlungen mit dem Service-Provider sollten der Bedarf des Unternehmens und die verfügbaren Classes of Service (CoS) abgeklärt werden.

Für einen umfassenden Service arbeiten manche Provider mit anderen Dienstleistern oder Providern zusammen, hin und wieder werden auch Drittanbieter von Non-MPLS-Diensten ins Boot genommen. Dies könnte die QoS beeinflussen, da sich die Serviceklassen von Provider zu Provider unterscheiden. Die Partner sollten deshalb Übereinkünfte für gleichwertige CoS geschlossen haben. Für das Unternehmen ist es wichtig, dass sich diese Übereinkünfte mit den eigenen Anforderungen decken. Sollen Extranets für Partner oder Kunden eingerichtet werden, muss geklärt werden, ob der Provider eine angemessene QoS via IP-VPNs von anderen Firmen gewährleisten kann.

Reibungsloses Routing

Alle aktuellen Service-Provider unterstützen die gebräuchlichsten Routingprotokolle (z.B. eBGP, OSPF, EIGRP, RIP und statisches Routing). Wird jedoch auf BGP verzichtet, muss der CE-Router in der Lage sein, Routen mit einem anderen Protokoll weiterzuleiten (Redistribution). Verwaltet der Provider die Verbindung zwischen Unternehmen und Provider, ist er auch für die Wahl des Protokolls und das Aufrechterhalten der Verbindung verantwortlich. CE-to-CE-IPsec und GRE-Tunnel werden ebenfalls unterstützt. In der Regel ist die Verbindung zum Edge-Router völlig unkompliziert und erfordert keinen oder nur minimalen Aufwand.

IP-Multicast

Nicht jeder Provider unterstützt IP-Multicast-Verkehr, beispielsweise für Video-Applikationen. Per Multicasting werden Informationen von einer einzelnen Multicast-Quelle an viele Empfänger verteilt. Falls dies nicht zum Angebot des Providers gehört, muss das Unternehmen eine Reihe GRE-Tunnel einrichten, um Multicast im MPLS-Netzwerk zu ermöglichen.

Vollständige Netzwerksicherung

MPLS-VPNs bieten die gleiche Sicherheitsstufe wie Layer-2-VPNs oder Festverbindungen sowie einen Adressraum und klar abgegrenztes Routing. Außerdem sind sie unempfindlich gegen Angriffe und Label-Spoofing. Selbst wenn in einer MPLS-Umgebung Fälle von IP-Spoofing auftreten – da die einzelnen VPNs sowie VPN und Kernnetzwerk strikt voneinander getrennt sind, bleibt das Spoofing auf das befallene VPN beschränkt.

MPLS-VPNs gehören zu einer gemeinsam genutzten Infrastruktur und können deshalb für die Netzwerksicherheit zum Problem werden. Deshalb muss bekannt sein, ob Internet- und VPN-Zugang über denselben Netzwerkkern laufen und welche Sicherheitsvorkehrungen verhindern, dass sich Dienste gegenseitig beeinträchtigen.

Auch wenn der auf VPN beschränkte Service sicherer ist, gilt für die meisten Unternehmen eine gemeinsam genutzte Kerninfrastruktur als annehmbares Risiko. Viele Provider bieten separate Edge-Router für Internet- und VPN-Zugang an, meistens jedoch nur gegen Aufpreis. Wichtig ist auch, wie die Sicherheit der Kerninfrastruktur gewährleistet wird und mit welchen Maßnahmen der Provider potenziellen Risiken begegnet.

Verbindung zum Service-Provider

Bei der Einwahl in ein ausgegliedertes MPLS-Netzwerk ist der Service-Provider für die Verbindung auf dem Layer 2 oder 3 verantwortlich. Beim Peering auf dem Layer 3 leitet das Provider-Netzwerk die IP-Pakete verschlüsselt durch das gemeinsam genutzte Netzwerk. Hierfür wird für jeden Kunden eine VRF-Tabelle (VRF – Virtual Route Forwarding) installiert, welche den jeweiligen Datenverkehr eines Kunden isoliert.

Das Layer-3-Peering bietet den Vorteil, dass zwei Netzwerke Routinginformationen direkt untereinander austauschen können. Die Skalierbarkeit der Bandbreite wird nur durch die vom Provider zur Verfügung gestellte Transportart begrenzt – Gigabit-Ethernet lässt sich beispielsweise besser skalieren als Frame Relay. Außerdem können Provider auf dem Layer 3 eine höhere QoS liefern. Die Fähigkeit, in einem Layer-3-MPLS-VPN ungeachtet der im Netzwerk eingesetzten Protokolle, Betriebssysteme, Serverprogramme oder Netztopologien Daten zwischen allen angeschlossenen Geräten auszutauschen, ermöglicht zusätzlich ein effektiveres Routing.

In einem Layer-2-VPN werden dagegen Layer-2-Pakete über ein MPLS-Netzwerk transportiert – auch Any Transport over MPLS (AToM) genannt. Dies ist eine gute Lösung für Unternehmen mit ATM, Frame Relay oder Ethernet-Netzwerken, die eine Punkt-zu-Punkt-Layer-2-Verbindung benötigen. Diese Eigenschaft von Layer-2-Netzwerken entsteht durch VPNs.

Fazit

Zusammenfassend lässt sich sagen: Was der Service-Provider auf jeden Fall bieten sollte, sind eine hohe Verfügbarkeit (mindestens 99,99 Prozent, besser sind 99,999 Prozent), Referenzen, Garantien, Pilotprogramme und Schulung. Auch die technische Kompetenz des Personals, Unterstützung beim Übergang zu MPLS, Skalierbarkeit und allgemeine administrative Ressourcen sollten sorgfältig geprüft werden. Bei der Ausgliederung von Netzwerken zählt die Erfahrung des Service-Providers beim Einrichten gemanagter Layer-3-Services, aber auch, ob diese Erfahrung den Bedürfnissen des eigenen Unternehmens genügt.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2007377 / Allgemein)