Virtual Private LAN Service (VPLS) ist eine Art von WAN-Konfiguration, die ein IP/MPLS-Backbone verwendet, um entfernte Standorte zu verbinden.
Nach Lektüre dieses Artikels können Sie Folgendes:
Link zum Artikel kopieren
Virtual Private LAN Service (VPLS) ist eine Art der Virtual-Private-Network-Technologie (VPN-Technologie, die ein vom Anbieter verwaltetes IP/MPLS-Backbone verwendet, um viele entfernte Standorte in einem gemeinsamen Ethernet-Broadcast-Domain zu verbinden. Diese Technologie wird von Organisationen mit mehreren Niederlassungen genutzt, da sie das Netzwerkmanagement vereinfacht und ein leistungsstarkes Verbindungserlebnis bietet. Im Wesentlichen lässt VPLS es so aussehen, als wären alle getrennten Büros eines Unternehmens direkt mit demselben lokalen Netzwerk verbunden, unabhängig von ihrem physischen Standort.
VPLS wird häufig als Wide Area Network (WAN)-Lösung verwendet, die die Skalierbarkeit und Zuverlässigkeit des Kern-MPLS-Netzwerks eines Dienstanbieters nutzt. Da es auf Schicht 2 des OSI-Modells arbeitet, verarbeitet VPLS Ethernet-Frames (eine Dateneinheit auf Schicht 2, analog zu Paketen), ohne dass komplexe Routing-Konfigurationen an Kundenstandorten erforderlich sind. Es ermöglicht Unternehmen, ihre verschiedenen lokalen Netzwerke (LANs) über sichere Hochgeschwindigkeitstunnel zu verbinden. Es ist besonders relevant für Organisationen, die die Latenz für Echtzeitanwendungen wie Sprache und Video minimieren müssen.
VPLS basiert auf der Netzwerk-Infrastruktur des Dienstanbieters, insbesondere auf den Provider Edge (PE) Routern am Netzwerkperimeter und den Customer Edge (CE) Geräten am Kundenstandort. Die PE-Router lernen die Media Access Control (MAC)-Adressen des Kunden, ähnlich wie ein großer Switch arbeitet. Diese Router richten ein „vollständiges Mesh“ aus virtuellen Verbindungen ein, bekannt als Pseudowires, um über das Kern-MPLS-Netzwerk eine Any-to-Any-Konnektivität zwischen allen Kundenstandorten sicherzustellen.
Da VPLS auf Layer 2, der Sicherungsschicht, arbeitet, überbrückt es Ethernet-Frames transparent über das WAN hinweg. Das bedeutet, dass Kunden-Netzwerktraffic das VPLS durchqueren kann, ohne das zugrunde liegende MPLS-Transportnetzwerk zu kennen. Der Anbieter verwendet MPLS-Labels, um Datenverkehr logisch zu trennen und Kundendaten sicher innerhalb seines privaten Backbones zu routen.
Wichtige technische Aspekte der VPLS-Implementierung:
Da VPLS in Hardware konfiguriert wird, sind Routing-Richtlinien und Kapazitäten im Wesentlichen fest vergeben. Zwar verbindet es Zweigstellen effektiv miteinander, doch Remote-Belegschaften und Cloud-Computing können zu Performanceeinbußen führen. Netzwerkverkehr kann weniger optimale Wege zu und von Zielen außerhalb der Niederlassungen nehmen, weil VPLS für Site-to-Site-Traffic entwickelt wurde. Datenverkehr zu einer SaaS-App muss das VPLS häufig an einem zentralen Hub oder Rechenzentrum verlassen. Zentrale Hubs können zu Engpässen werden, die überlastet sind, wenn der Traffic die Bandbreite übersteigt, wodurch sich die Dienstqualität weiter verschlechtert.
VPLS schafft auch Risiken lateraler Bewegung, da es keine native Segmentierung oder Zero Trust-Kontrollen bietet. Organisationen mit einem VPLS-Netzwerk haben im Wesentlichen ein „Burg- und Burggraben“-Modell für die Sicherheit übernommen, bei dem sie den Netzwerkperimeter verteidigen, während Angreifer innerhalb des Netzwerks (sozusagen jenseits des Burggrabens) sich frei bewegen können.
Software-defined Wide Area Networking (SD-WAN) ist ein Modell, das mehrere Verbindungstypen umfasst, darunter Standleitungen, 5G, das öffentliche Internet und Cloud-Netzwerkrouten. Daher bietet es mehr Flexibilität als VPLS und kann moderne Geschäftsanforderungen besser unterstützen. SD-WAN reduziert die Abhängigkeit von zentralen Hubs für Netzwerkverkehr. Die Einführung von SD-WAN kann auch Teil einer Umstellung auf ein Secure Access Service Edge (SASE)-Modell sein, bei dem Zero Trust-Sicherheit nativ in die Netzwerkinfrastruktur integriert ist.
| VPLS | SASE |
| Standort-zu-Standort-Traffic | Benutzer können sich überall befinden |
| Der Datenverkehr fließt durch zentrale Knotenpunkte | Flexibles Routing |
| Festgelegte Bandbreite | Bandbreite nicht durch Hardware begrenzt |
| Risiken lateraler Bewegung | Zero Trust-Sicherheit |
Virtual Private LAN Service (VPLS) ist eine Art von Virtual-Private-Network-Technologie (VPN-Technologie), die mehrere entfernte Standorte in eine einzige, gemeinsam genutzte Ethernet-Broadcast-Domain verbindet.
Unternehmen mit mehreren Zweigstellen nutzen häufig VPLS, da es die Netzwerkverwaltung vereinfacht und eine leistungsfähige Verbindung bietet.
VPLS basiert auf Provider Edge (PE) Routern und Customer Edge (CE) Geräten. Die PE-Router lernen die Media Access Control (MAC)-Adressen der Kunden und etablieren ein vollständiges Netz virtueller Verbindungen, bekannt als Pseudowires, um eine Any-to-Any-Konnektivität zwischen allen Standorten sicherzustellen.
Dienstanbieter verwenden MPLS-Labels, um Datenverkehr logisch zu trennen und Daten sicher innerhalb ihres privaten Backbones zu routen. VPLS verfügt jedoch nicht über integrierte Zero-Trust-Kontrollen, was Risiken für laterale Bewegungen schaffen kann, wenn ein Angreifer über kompromittierte Benutzerkonten oder mit Malware infizierte Geräte Zugriff auf das Netzwerk erhält.
Im Gegensatz zu VPLS verwendet softwaredefiniertes Wide Area Networking (SD-WAN) mehrere Verbindungstypen, wie 5G und das öffentliche Internet, um größere Flexibilität zu bieten. SD-WAN reduziert die Notwendigkeit zentraler Hubs, was die Cloud-Kompatibilität verbessert. SD-WAN kann Zero-Trust-Sicherheit einfacher als Teil einer Secure-Access-Service-Edge-Implementierung (SASE) integrieren.