Management und Wissen

Virtual Private Networks

Mit MPLS sicher durch den Tunnel

Von Detlef Marten, Köln

Multiprotocol Label Switching (MPLS) verbindet für Virtual Private Networks auf Basis des Internet-Protokolls die Flexibilität von IP mit der Geschwindigkeit geswitchter Weitverkehrsnetze, höchster Sicherheit zu transparenten Kosten und der Möglichkeit definierter Qualitätsstufen.

In den letzten Jahren haben Virtual Private Networks (VPNs) auf Basis des Internet Protocol (IP) als sichere Lösung für komplexe Unternehmensnetzwerke deutlich an Popularität gewonnen. Dieser Trend wird forciert durch die zunehmende Globalisierung zeitkritischer Geschäftsprozesse. Mit der Erfindung des Multiplexers, der die scheinbare Isolation einzelner Kundennetze innerhalb eines Carrier-Netzes ermöglicht, begann auch die Geschichte von managed IP-VPNs.

Während sich für Einwahl-VPNs das Layer-2-Tunneling Protocol (L2TP) durchgesetzt hat, stehen bei IP-VPNs mit Festanschlüssen mehrere Techniken zur Verfügung: Dies sind zum einen OSI-Layer-2-Lösungen wie Frame Relay oder ATM, Tunneling-Lösungen per Generic Routing Encapsulation (GRE) oder IP Security Protocol (IPSec) meist innerhalb öffentlicher Netze oder zum anderen das Multiprotocol Label Switching (MPLS) für abgeschlossene Netzwerke. Ein weiteres Unterscheidungskriterium ist der Backbone: Verfügt der Provider über einen eigenen Backbone oder nutzt er ein durch den Zusammenschluss mehrerer Provider geschaffenes Netzwerk wie das Internet.

[grafische Darstellung eines MPLS-gestützten IP-VPNs]
Beispielhafter Aufbau eines MPLS-gestützten IP-VPNs

Labels statt IP-Nummern

In MPLS-Netzen erfolgt die Weiterleitung der Datenpakete nicht anhand einer IP-Adresse, sondern mithilfe spezieller Labels, die durch einen Eingangsrouter (Label Edge Router) vergeben und dem Datenpaket hinzugefügt werden. Sie sind nur auf der Verbindung zum nächsten Router (Label Switch Router) gültig. Dieser ermittelt dann aus der Routing-Tabelle die diesem Label zugeordnete Verbindung und ersetzt das ursprüngliche Label durch ein neues. In MPLS-Netzen werden für die Datenpakete so genannte Tunnel aufgebaut. Die Weiterleitung eines Pakets erfolgt dann nur noch durch das vorher zugewiesene Label, der Weg wird quasi "durchgeschaltet". Durch die Definition des gleichen Weges für alle Pakete eines Datenstroms liegt bei MPLS – ähnlich wie beim Asynchronous Transfer Mode (ATM) – eine verbindungsorientierte Übertragung vor, die erforderliche Voraussetzung für ein Verkehrsmanagement mit definierter Quality of Service (QoS) und der Möglichkeit, Bandbreiten zu reservieren.

Ein Label ist ein Wert fester Länge (20 Bit), es hat nur auf einer einzelnen Verbindung zwischen zwei Routern Bedeutung. Der Weg, den ein Datenpaket durch das MPLS-Netz nimmt, wird Label Switched Path (LSP) genannt. LSPs sind unidirektional, die Daten werden nur in eine Richtung transportiert. Für eine bidirektionale Kommunikation zweier Teilnehmer sind daher immer mindestens zwei LSPs notwendig. Der charakteristische Unterschied zwischen MPLS und anderen Routingtechniken ist, dass bei MPLS die Datenpakete anhand verschiedener einstellbarer Kriterien unterschiedliche LSPs durch das Netz verwenden können, selbst wenn die Absender- und Zieladressen identisch sind.

Die verschiedenen Kriterien, anhand derer einzelne Pakete weitergeleitet werden, sind mittels so genannter Forwarding Equivalence Classes (FEC) den jeweiligen Labels zugeordnet. In einer FEC können so unterschiedliche Merkmale wie eine Kombination aus Zielnetz und Anwendung, eine besonders kurze Verbindung zwischen Ziel und Absender, bestimmte Bandbreitenanforderungen oder auch die Zugehörigkeit zu einem VPN definiert werden. Ein einzelnes Label kann dabei immer nur zu einer FEC gehören. Die Datenpakete, für die diese Kriterien zutreffen, werden dann auf den entsprechenden LSPs durch das Netz befördert.

Hohes Maß an Sicherheit

Um mittels MPLS verschiedene virtuelle Netze abzubilden, wird der zu einem bestimmten VPN gehörende Anschluss (Port) am Eingangsrouter zunächst mit einer VPN-ID versehen. Diese bildet dann zusammen mit der IP-Adresse eine VPN-IPv4-Adresse, die die Zugehörigkeit eines Datenpaketes zu einem VPN eindeutig kennzeichnet. Die Verwendung von VPN-IDs ermöglicht es, dass ein MPLS-Netz in unterschiedlichen VPNs gleiche IP-Adressbereiche zulässt. Trifft ein Datenpaket aus einem VPN am Kundenanschluss des Eingangsrouters ein, erhält dieses zunächst ein Label, das den Ausgangsport des entsprechenden Zielrouters kennzeichnet. Anschließend wird ein weiteres Label vergeben, anhand dessen das Paket durch das Netz weitergeleitet wird. Erreicht das Datenpaket den vorletzten Router innerhalb des MPLS-Netzes, entfernt dieser das obere Label und schickt es an den letzten Router. Dieser erkennt anhand des letzten noch vorhandenen Labels, an welchen Ausgangsport, und damit an welchen Teilnehmer, er das Paket weiterleiten muss.

Durch die Verwendung der Labels, die außerhalb eines MPLS-Netzes keinen Sinn ergeben, erreicht man bereits auf der Netzebene eine VPN-Funktionalität. Die Trennung der Daten aus verschiedenen VPNs ist gewährleistet, selbst wenn dieselben LSPs zum Transport durch das Netz verwendet werden. Eine Vortäuschung oder Fälschung der Labels oder VPN-IDs durch einen anderen Teilnehmer ist nicht möglich, da diese Kennungen nur innerhalb des MPLS-Netzes existieren. Die VPN-Funktion wird allein mittels der Zugangsrouter erreicht, nur diese kennen die Teilnehmer eines VPNs und die dorthin führenden Wege durchs Netz. Für die Router im Innern des MPLS-Netzes erscheint ein Datenpaket aus einem VPN wie ein herkömmliches Paket, der Router ersetzt ausschließlich das äußere Label und schickt es weiter an den nächsten Router.

Somit erreicht man ein virtuell abgeschlossenes Netzwerk, das die Funktion einer Standleitung abbildet. Ein zusätzlicher Abhörschutz – wie durch die Chiffrierung in einem IPSec-VPN – ist hiermit nicht verbunden. Innerhalb des Providernetzes ist die Sicherheit der Verbindung von den Maßnahmen des Anbieters abhängig – auf der Zuleitung zum Providernetz, die weder "gelabelt" noch verschlüsselt ist, sind (genau wie im Telefon-Festnetz) ebenfalls Angriffe denkbar. Wer seine Daten auf einer Standardfestverbindung verschlüsselt übertragen würde, sollte dies daher auch in einem MPLS-VPN tun.

Die wesentlichen Vorteile von MPLS-basierten IP-VPN ergeben sich durch geringere Investitionskosten und höhere Flexibilität gegenüber teureren Festverbindungen oder Layer-2-Lösungen. Besonders für dynamisch wachsende Unternehmen sind Anschluss oder Schließung von Netzwerklokationen sowie Veränderungen der Anwendungen ansonsten oft mit einem erheblichem Administrationsaufwand verbunden: Wird zum Beispiel ein öffentliches Netz wie das Internet als Backbone für ein IP-VPN genutzt, müssen die Daten verschlüsselt werden. IPSec-Tunnel müssen zwischen allen Lokationen aufgebaut und gepflegt werden. Schon die kleinste Veränderung könnte eine Neuadressierung aller anderen Lokationen im Netzwerk verursachen. Ein solches Problem existiert bei MPLS-basierten IP-VPN nicht.

Zudem bietet das paketorientierte Internet-Protokoll in der heute verbreiteten Version 4 keine Möglichkeit, Quality of Service zu garantieren. Gleichwohl konnte es sich im IT-Bereich durchsetzen und Technologien zur Bereitstellung von garantierter QoS – wie beispielsweise dem verbindungsorientierten ATM – den Rang ablaufen. Mithilfe von MPLS lassen sich nun jedoch auch in großen Netzen Mechanismen zur Verkehrskontrolle und Sicherung von Dienstqualitäten installieren, obwohl diese per IP arbeiten. Durch diese wichtige Fähigkeit, QoS zu definieren und unterschiedliche Güteklassen für die Sprach-, Daten- oder Videokommunikation anbieten zu können, verbinden MPLS-basierte IP-VPN das Beste beider Technologien: Flexibilität und Geschwindigkeit von IP mit höchster Sicherheit und Skalierbarkeit zu transparenten Kosten.

----------Anfang Textkasten----------

[Kasten überspringen]

Anwendungsbeispiel iznNet

Bei der Neugestaltung des niedersächsischen Landesdatennetzes iznNet 2000 wurden die zuvor organisatorisch getrennten Infrastrukturen von allgemeiner Verwaltung, Finanzbehörden und Polizei physisch in einem einheitlichen Netz zusammengefasst. Um trotzdem der Anforderung nach geschlossenen Benutzergruppen für einzelne Anwenderkreise Rechnung zu tragen, wurden mehrere Virtual Private Networks eingerichtet. Denn angesichts der sensitiven Daten, die über das iznNet laufen, sollten die einzelnen Bereiche hermetisch voneinander abgeschottet sein.

Ein weiteres Problem: In sehr großen Netzwerken nimmt die Zeit stark zu, die insbesondere die zentralen Router benötigen, um einen bestimmten Subnetzeintrag zu finden oder ihre Einträge zu aktualisieren. Für das iznNet wirkt sich zusätzlich die IP-Adress-Struktur negativ aus, die nicht geografisch, sondern behördlich ausgerichtet ist. VPNs lassen sich in einem solchen Netz zwar auch mithilfe von Accesslisten, Tunnel-Techniken oder Firewalls realisieren – die Verwaltung der einzelnen virtuellen Netze gestaltet sich jedoch mit zunehmender Teilnehmerzahl aufwändig und fehleranfällig. Deshalb hat sich das Informatikzentrum Niedersachsen (izn) für ein Netzkonzept auf MPLS-Basis entschieden, das durch die NK Networks & Services umgesetzt wurde.

Das iznNet 2000 ist organisatorisch gesehen ein Service-Provider-VPN mit vollständigem VPN-Outsourcing. Die Grenze zum VPN-Netz bildet der so genannte CPE-Router (Customer Premise Equipment) beim Kunden, genauer genommen das LAN-seitige Ethernet-Interface. Technisch betrachtet handelt es sich beim iznNet 2000 um ein hardwarebasiertes IP-VPN mit einem geswitchten WAN-Backbone mit 34 MBit/s im Core-Backbone sowie verschiedenen Regional-Backbones. Eine Besonderheit zum Modell des "vollständigen VPN-Outsourcing" ergibt sich dadurch, dass die Übertragungswege größtenteils durch einen privaten Carrier bereitgestellt werden, während die Übertragungseinrichtungen im IP-Netzwerk des iznNet 2000 Eigentum des Landes sind und vom izn betrieben und überwacht werden.

Der Einsatz von MPLS gewährleistet zunächst vor allem die Bereitstellung von sicheren und managebaren VPNs. Nutzer und Administratoren in den Behörden des Landes selbst sind durch diese Maßnahme nicht betroffen, da der Zugang weiterhin über ein IP-Netz erfolgt. Die weitergehenden Funktionen von MPLS, insbesondere die Möglichkeiten des Traffic-Engineering, können in Zukunft bei Bedarf und nach entsprechender Evaluierung die Effizienz und Leistungsfähigkeit des iznNet 2000 weiter steigern.

----------Ende Textkasten----------

Fazit

Virtual Private Networks auf Basis des Internet-Protokolls sind die Garantie für eine effektive und kostengünstige Unternehmenskommunikation. Sie bieten die gleichen Leistungsmerkmale hinsichtlich Sicherheit, Dienstgüte, Wartung und Zuverlässigkeit wie private Netzwerke, die über Standleitungen gebildet werden. Außerdem können Unternehmen durch das Einsparen teurer Mietleitungen ihre Kosten erheblich senken. Die Anforderungen an VPN-Services sind jedoch sehr komplex: Quality of Service und Traffic-Management spielen ebenso eine Rolle wie sichere und verlässliche Kommunikationswege. Multiprotocol Label Switching ermöglicht sichere VPN-Lösungen, die die zentralen Kriterien einer leistungsstarken Kommunikationsstruktur erfüllen. Mit MPLS kann die Komplexität großer IP-basierter Netze drastisch abnehmen und der Datenstrom lässt sich effektiver kontrollieren.

Detlef Marten ist Manager Business Solutions/Marketing bei NK Networks & Services in Köln.

Literatur

[1]
FOLDOC zu Multiprotocol Label Switching, [externer Link] http://foldoc.doc.ic.ac.uk/foldoc/foldoc.cgi?query=mpls
[2]
Multiprotocol Label Switching (mpls) Charter,[externer Link] www.ietf.org/html.charters/mpls-charter.html
[3]
IETF Network Working Group, RFC 2917, A Core MPLS IP VPN Architecture, [externer Link] http://rfc.fh-koeln.de/rfc/html/rfc2917.html
[4]
IETF Network Working Group, RFC 2547, BGP/MPLS VPNs, [externer Link] http://rfc.fh-koeln.de/rfc/html/rfc2547.html
[5]
IETF Network Working Group, RFC 2702, Requirements for Traffic Engineering Over MPLS, [externer Link] http://rfc.fh-koeln.de/rfc/html/rfc2702.html

© SecuMedia-Verlags-GmbH, D-55205 Ingelheim,
KES 2002/5, Seite 55

Zurück zum Inhalt       Valid HTML 4.01! Valid CSS!