Provider-Managed oder Self-Service?

So binden Sie externe Mitarbeiter in MPLS-Netze ein

| Autor / Redakteur: Andreas Marreck / Andreas Donner

Um externe Mitarbeiter an ein MPLS-Netz anzubinden gibt es grundsätzlich zwei Möglichkeiten.
Um externe Mitarbeiter an ein MPLS-Netz anzubinden gibt es grundsätzlich zwei Möglichkeiten. (Bild: Savecall)

Auch wenn ein MPLS Netz in sich geschlossen ist, ist es möglich, darüber externe Mitarbeiter anzubinden. Hier zeigen wir ihnen, welche Möglichkeiten es gibt, was es zu beachten gilt und nicht zuletzt mit welchen Kosten zu rechnen ist.

Ein MPLS Netz ermöglicht eine sichere Kommunikation im direkten Firmenverbund. Die Topologie kann wahlweise „Any to Any“ oder „Hub & Spoke“ sein. Neben dem direkten Austausch von Daten untereinander können auch Video und Telefonie im MPLS-Netz abgebildet werden, aber auch die Integration von Lync ist immer wieder ein Thema.

Aber wie bindet man Mitarbeiter ein, die vom Home Office aus arbeiten, unterwegs auf Kundenterminen sind oder von extern zuarbeiten wie bspw. freie Mitarbeiter?

Ein MPLS-Netz ist ein geschlossenes Netz das zum öffentlichen Netz nur einen Berührungspunkt hat: den Internetanschluss. Und genau hier liegt auch die Schnittstelle für externe Mitarbeiter. Es gibt zwei Möglichkeiten diese Mitarbeiter in das MPLS Netzwerk einzubinden:

Vom Carrier gemanagt: VPN-Tunnel

Um ein SLA auf einem VPN-Tunnel zu erhalten und diesen auch im Monitoring zu haben, bieten MPLS-Dienstleister in der Regel die Möglichkeit an, einen VPN-Router mit vorkonfiguriertem VPN-Tunnel an eine Lokation zu senden.

Sinnvoll ist dieses Vorgehen bei Standorten, die beispielsweise nicht weiter erschlossen werden, sich im Ausland befinden oder wenn ein Standort nur temporär sicher integriert werden soll wollen. Voraussetzung ist ein vorhandener Internetanschluss am gewählten Standort.

In dem zur Verfügung gestellten VPN-Router ist der Pfad in das MPLS-Netz hinterlegt, der von der Unternehmens-Firewall erkannt und durchgeleitet wird. Der Router kann in der Regel weltweit eingesetzt werden. Er ermöglicht eine hohe Flexibilität und stellt eine sichere und kostengünstige Variante dar, externe Arbeitsplätze in das MPLS-Netz einzubinden.

Selbst gemanagt: Firewall

In Verbindung mit der Firewall erhält man Zugang zu der vom Hersteller genutzten VPN-Software (z.B. Astaro, Palo Alto oder Cisco) und kann dort den empfohlenen VPN-Client downloaden, um bspw. mobilen Devices wie Notebooks oder PCs einzubinden. Da diese Verbindung jedoch über das öffentliche Internet hergestellt wird, ist es wichtig, eine geeignete Verschlüsselung einzurichten, um einerseits den sicheren Zugriff der User und andererseits die Sicherheit des MPLS-Netzes zu gewährleisten.

Die gängigsten Verschlüsselungsoptionen sind IPsec (Internet Protocol Security) und SSL (Secured Socket Layer).

IPsec (Internet Protocol Security)

IPsec bietet Datenverschlüsselung über das öffentliche Internet zwischen dem Client des Endanwenders und dem IP-VPN-Router in der Hub-Site. Für die Einrichtung, Verwaltung und Schließung des abgesicherten Tunnels wird ein VPN-Software-Client für das Endgerät des Anwenders bereitgestellt. Die Einrichtung und Verwendung der VPN-Software ist unkompliziert.

Der Administrator kann den Client so konfigurieren, dass er von einer großen Zahl von Nutzern verwendet werden kann. Die VPN-Zugangsrichtlinien und -konfigurationen werden beim Aufbau einer Verbindung vom zentralen Gateway heruntergeladen und zum Client gepusht. Dies erleichtert die Installation und das Management des Clients und sorgt für eine hohe Skalierbarkeit.

SSL (Secured Socket Layer)

SSL bietet Datenverschlüsselung zwischen dem Endgerät des Anwnders und dem Central Network Gateway (CNG) im MPLS-Netzwerk, welches mit dem VPN verbunden ist. Es lassen sich hier zahlreiche Benutzergruppenrollen mit unterschiedlichen Zugriffslevels zu den Netzwerkressourcen erstellen. End-Point-Tests wie z.B. die Prüfung auf Vorhandensein einer Anti-Viren-Lösung oder einer Firewall können konfiguriert werden.

Die Kosten im Vergleich

Bei der Wahl der vom Carrier gemanagten Lösung sind die Kosten flexibel. Sie variieren je nach geschalteter Bandbreite vor Ort, Vertragslaufzeit und dem restlichen Gesamtvolumen des Netzes. Pauschal kommen hier grundsätzlich zweierlei Kosten auf Unternehmen zu.

Zum einen ist das eine einmalige Installationsgebühr, die von der Dimensionierung des Routers abhängt. Zum anderen eine monatlich wiederkehrende Gebühr, da der Router direkt vom Anbieter betrieben wird und auch im Monitoring und damit auch in den SLAs verankert ist. Als groben Anhaltspunkt kann man hier sagen, dass die monatlichen Kosten hierfür bei ca. 80,- € netto liegen dürften.

Im Gegensatz zur Einrichtung bei IPSec und SSL muss man sich um die Inbetriebnahme des Routers weiter nicht kümmern. Er wird, sofern gewünscht, von Technikern in Betrieb genommen und anschließend ins Monitoring übergeben. Änderungen in der Route können dann aber ausschließlich vom Anbieter über einen Change Auftrag eingepflegt werden.

Wichtig hierbei ist, dass man lediglich ein SLA auf den Router, nicht aber auf die Leitung erhält, auf der der Router den Tunnel aufmacht. Sollte im Falle einer Störung der Router nicht erreichbar sein, prüft man zuerst die Trägerleitung.

Bei der Firewall Lösung fallen in der Regel keine weiteren Kosten an, da der Anbieter der Firewall die VPN-Software kostenfrei zur Verfügung stellt. Da es sich hier um eine selbst gemanagte Lösung handelt, fallen jedoch interne Kosten an – sowohl für die Einrichtung als auch im laufenden Betrieb. Daher sollte man sich hier unbedingt die Frage stellen, ob man diese Ressourcen wirklich aufbauen und vorhalten will.

Andreas Marreck
Andreas Marreck (Bild: Savecall)

Fazit

Ob man interne Ressourcen für das Einrichten und Betreiben von VPN-Tunneln einplant oder ob der sichereren SLA-Möglichkeit der Vorzug gegeben wird, muss in jedem Unternehmen individuell entschieden werden. Auf lange Sicht spart man bei der gemanagten Lösung aber vermutlich mehr als bei der selbstverwalteten.

Über den Autor

Andreas Marreck ist ITK-Experte bei Savecall.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 43147482 / Remote Access)