IP-Sec, Ethernet oder MPLS?
IP-Sec basierte "Netze" werden von Firmenkunden aufgrund der geringen Möglichkeiten, die Qualität des Netzes zu managen und dem zwingend notwendigen Rückgriff auf öffentliche Internet-Strukturen kaum eingesetzt. Sie dienen meist als Notnagel, wenn andere Netzwerklösungen schlichtweg zu teuer sind – etwa bei der Anbindung geographisch entlegener Standorte. Hier nehmen es die meisten Unternehmen in Kauf, dass sich weder QoS (Quality of Service) noch CoS (Class of Service) innerhalb des Netzes managen lassen. Bleibt noch die Wahl zwischen einer Ethernet-oder MPLS-Lösung. Beispielhaft beleuchten wir einige Entscheidungskriterien:

Redundanz
Ein wichtiger Faktor für viele Unternehmen ist die Redundanz, also die Sicherstellung des Betriebs im Störfall. Bei einer Ethernet-Standortvernetzung ist durch zusätzliches Equipment eine gemanagte Redundanz der Endgeräte und Wegeführung im Netz des Carriers möglich. Eigene Infrastrukturen beziehungsweise Endgeräte müssen vom Unternehmen selbst gemanaged werden.

Bei MPLS ist das Gleiche einfacher zu gestalten. Da der Carrier bereits das Routing übernimmt, kann er problemlos Fail-Over Routen innerhalb des Netzes programmieren. Eine zweite Hauszuführung, zweiter Carrier et cetera lässt sich vom MPLS-Router aus ansprechen. Stabilität, Ausfallsicherheit und SLA verhalten sich bei beiden Technologien ähnlich.

QoS / CoS
Wer verzögerungsempfindliche Echtzeit-Applikationen im Firmennetz unterstützen muss, braucht QoS beziehungsweise CoS. Generell ist dies bei MPLS und auch bei Ethernet möglich, wobei hierfür in MPLS-Netzen mehr Möglichkeiten bestehen. So lassen sich problemlos bis zu fünf Dienst-Klassen definieren und unterschiedlich behandeln – bei Ethernet jedoch maximal nur zwei.


Bild 2: Zu den Vorteilen einer Standortvernetzung via MPLS zählt unter anderem ein integrierter Internetzugang.

Integrierter Internetzugang
Ein sogenannter integrierter Internetzugang bezeichnet einen Internet-Break-out, der über das Backbone der Standortvernetzung angeschlossen ist und auf den alle Standorte zugreifen. Sprich ein zentraler, einheitlich gemanagter Internetzugang für alle Standorte.

Dieser bietet den Vorteil, zentral nur eine Firewall managen zu müssen. Was gerade bei vielen oder auch internationalen Standorten  wesentlich kostengünstiger ist, als für jeden Standort separate Policies, Firewalls und  Internetleitungen zu betreiben.

Fazit
Betreibt ein Nutzer keine kritischen Anwendungen, reicht oftmals ein ganz einfaches, auf IP-Sec basierendes Internet-VPN als Lösung aus. Jedoch erfordert es hohe interne Ressourcen, gerade auch bei internationalen Standorten, da jeder Carrier selbst zu managen ist.

Ein Ethernet VPN ist weitaus sicherer – da es nicht durch das öffentliche Internet läuft – und für größere Firmen mit vielen Standorten und hohen Bandbreitenbedarfen gut geeignet. Es bietet höchste Flexibilität in der Anpassung des Netzes, kostengünstige hohe Bandbreiten und verschmilzt das LAN mit dem WAN. Jedoch bedarf es, wie das Internet-VPN auch, interner Expertise und Ressourcen zum Aufbau, Wartung und Pflege des Netzwerkes als auch der Definition eigener SLAs et cetera. Eine zusätzliche Verschlüsselung über Equipment ist möglich.

Bei zeitkritischen Anwendungen wie Voice oder Video und einem hohen Sicherheitsbedürfnis, einem geringen Bedarf an extrem hohen Bandbreiten (GBit) und eher geringem Interesse am eigenen Management des WANs fällt die Wahl meist auf ein MPLS-Netzwerk.
    Seite 1: Internet-VPN, Ethernet-Bernetzung oder MPLS – die Grundlagen
    Seite 2: Selber managen oder managen lassen?

ln/Ronald Bals, Vertriebsleiter ITK bei savecall