pastors 10 Geschrieben 11. Mai 2007 Melden Teilen Geschrieben 11. Mai 2007 Guten Morgen, ich beschäftige mich gerade mit dem unterschied zwischen MPLS-VPN und IP-SEC. Inzwischen habe ich mich durch ziemlich viele Informationen gewälzt aber ich sehe keine Vorteile zwischen beiden Welten. Beim MPLS gibt es die Möglichkeit eine Any-to-Any Verbindung aufzubauen. Beispielsweise sind 3 Standorte (A, B, C) und diese können sich unabhängig unterhalten. Funktioniert das auch beim IP-SEC? Kann es sein, dass außer der harten Einstellung der Priorisierung überhaupt keine unterschiede bestehen? Welche Vor- und Nachteile haben beide Techniken?? Grüßle Mike Zitieren Link zu diesem Kommentar
Otaku19 33 Geschrieben 11. Mai 2007 Melden Teilen Geschrieben 11. Mai 2007 MPLS ist zB mal teurer und man sit an einen provider ziemlich fix gebunden da alles über dessen Netz geregelt werden muss. Das kann zB bei Firmene mit Standorten im Ausland sehr kostspielig werden. Mobile Mitarbeiter kann man derzeit garnicht direkt ins MPLS aufnehmen (hier in österreich zumindest), da muss man erst einen "Sprunghop" einrichten mit welchen man ins MPLS kommt. Aber lies dir erst mal das hier durch: http://www.infinigate.de/MPLS_Sonicwall_Paper_090905_final1.pdf da ist eigentlich alles auf einen Blick gut beschrieben,auch wenn da natürlich nicht so ins detail gegangen wird. Fürn Überblick reichts Zitieren Link zu diesem Kommentar
Velius 10 Geschrieben 11. Mai 2007 Melden Teilen Geschrieben 11. Mai 2007 Beim MPLS gibt es die Möglichkeit eine Any-to-Any Verbindung aufzubauen. Beispielsweise sind 3 Standorte (A, B, C) und diese können sich unabhängig unterhalten. Funktioniert das auch beim IP-SEC? Klar. Der Vorteil bei MPLS liegt eher darin, dass Technologien wie ATM oder DSL diekt und ohne Umwandlung in ein anderes Trägersignal in MPLS eingebunden werden können. Zitieren Link zu diesem Kommentar
pastors 10 Geschrieben 11. Mai 2007 Autor Melden Teilen Geschrieben 11. Mai 2007 Hallo, kann bei IP-SEC auch mehrere Standorte angebunden werden? Also Standort A ist mit B und C direkt verbunden. Geht das? Bietet IP-SEC auch QoS? Klar, MPLS ist teurer aber es muss doch einen Grund geben worin MPLS sich von IP-SEC abhebt. Grüßle Mike Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 11. Mai 2007 Melden Teilen Geschrieben 11. Mai 2007 Ja, geht. Stichwort: Dynamic Multihop VPN (DMVPN). Ist aber Hub&Spoke-Design, also kein Full-mesh. Zitieren Link zu diesem Kommentar
Otaku19 33 Geschrieben 11. Mai 2007 Melden Teilen Geschrieben 11. Mai 2007 hm, wenn dir der unterschied nicht klar ist, dann hast das pdf nicht aufmerksam gelesen ;) rein technisch trennt MPLS welten von IPSec, ganze LAYER liegen da dazwischen... das 2 schneidige Schwert am MPLS ist einfach die providerwartung. Einerseits angenehm, als kunde kann ich wegen jedem problemchen dort anrufen und schon muss ich der provider drum kümmern. normalerweise gehört alles inkl dem router am kundenstandort dem provider. Abe je nach provider, art des problems etc kann das sehr gut oder sehr schlecht funktionieren. Auch gibt je nach provider/setup unterschiedliche auffassungen ob und wie QoS verwirklicht wird, welche Sonderwünsche erfüllt werden,...und es gibt immer irgendwelche sonderwürste weiters ist MPLS einfach irre schnell :) es geht alles ratzfatz übern providerbackbone (meist bindet man ja wichtige standorte per fetter anbindung dran). Liegt eben an der Funktionsweise von MPLS an sich...kann man sich auf wikipedia mal ein wenig einlesen. Zitieren Link zu diesem Kommentar
#9370 10 Geschrieben 11. Mai 2007 Melden Teilen Geschrieben 11. Mai 2007 Ja, geht. Stichwort: Dynamic Multihop VPN (DMVPN). Ist aber Hub&Spoke-Design, also kein Full-mesh. ist ist auch Spoke-Spoke Kommunikation möglich. Kurzer Überblick über Unterschiede zwischen MPLS und IPSec MPLS==Multi Protocol Lable Switching IPSec == IP Security IPSec dient zum sicheren Austausch von IP Verkehr; es ist im Vergleich zu MPLS langsam und es kommt einiges an Latenz zusammen, wenn oft ein- und ausgepackt wird. MPLS hat einmal nichts mit VPN zu tun. MPLS VPNs ist nur eine Anwendung, die von MPLS unterstützt wird. Diese MPLS VPNs sind unverschlüsselt. Eine andere Anwendung wäre MPLS Traffic Engineering Das Forwarding von MPLS setzt auf Lables auf -> Der Router bekommt ein Paket mit einem Label und schaut in seiner Forwarding Tabelle nach, wo es hingehört. Es ist extrem schnell . In MPLS lässt sich so gut wie alles andere einpacken (ATM, Frame Relay, IP, Ethernet...), in IPSec nur IP (außer man verwendet GRE oder L2TPv3). MPLS hat weniger Overhead als IPSec. IPSec kann für die Anbindung von Außenstellen über das Internet verwendet werden, MPLS VPNs nicht. @Otaku19: es gibt genügend Firmen, die ihr eigenes MPLS Netzwerk haben, es ist keine reine Provider Technologie. MPLS ist dann interessant, wenn man Kunden oder Abteilungen auf Layer 3 voneinander trennen und man auf Geschwindikeit angewiesen ist. Was früher mit FrameRelay oder ATM gemacht wurde, wird heute mit MPLS gemacht. Bei Verwendung von MPLS VPNs hat man pro VPN eine eigene Routing Tabelle -> es können überlappende IP Adressen verwendet werden und die Trennung zwischen den VPNs ist sehr einfach. Bei IPSec muss man sich selber darum kümmern, wie unterschiedliche Bereiche getrennt werden. Bei Verwendung von MPLS VPNs will man irgendwas voneinader trennen, bei Verwendung von IPSec etwas sicher über ein unsicheres Medium (z.B.: Internet) übertragen. Diese Auflistung ist bei weitem unvollständig, streicht aber einige Vor-/Nachteile der Technologien heraus. /#9370 Zitieren Link zu diesem Kommentar
Otaku19 33 Geschrieben 11. Mai 2007 Melden Teilen Geschrieben 11. Mai 2007 jop, mein alter brötchengeber hat intern auch alels per MPLS geregelt gehabt,allerdings sind das dann schon ziemlich grosse,teure aber auch dementsprechend perfomante Backbones gewesen. ich kenn sonst eigentlich keine Firma die sowas intern verwendet...aber gut, bin noch nciht weit rumgekommen. Das mit den überlappenden Adressen ist natürlich ne feine Sache, grade für nen grossen provider mit vielen Kunden. Da könntenalle MPLS Kunden exakt die gleiche interne Struktur haben und es trotzdem wurst, is eh als im entsprechenden vrf drin. Auch die Linknetze zu den Kundenroutern kann man immer wieder verwenden, natürlich nicht die gleichen im selben vrf. Denek aber pastors gehts mehr um die Kundensicht des ganzen. Overhead und son Kram warn gutes stichwort.wenn die Leitung von IPSec "Teilnehmern" nicht so toll ist, dann ist auch mit IPSec ganz schnell Essig. bei MPLS spielts keine so grosse Rolle. Weiters ist IPSec oft nicht gleich IPsec,manch Firewallhersteller braut sein eigenes Süppchen und schon kann man sich mit der konfig lange rumspieln wenn man einen "Standard IPSec" Client verwenden will und nicht den (oft lizenzpflichtigen) Client des Herstellers. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.