Was ist ein Virtual Private LAN Service?

Virtual Private LAN Service (VPLS) ist eine Art von WAN-Konfiguration, die ein IP/MPLS-Backbone verwendet, um entfernte Standorte zu verbinden.

Lernziele

Nach Lektüre dieses Artikels können Sie Folgendes:

  • VPLS definieren
  • Die Funktionsweise von VPLS verstehen
  • VPLS mit SD-WAN vergleichen

Link zum Artikel kopieren

Was ist ein Virtual Private LAN Service?

Virtual Private LAN Service (VPLS) ist eine Art der Virtual-Private-Network-Technologie (VPN-Technologie, die ein vom Anbieter verwaltetes IP/MPLS-Backbone verwendet, um viele entfernte Standorte in einem gemeinsamen Ethernet-Broadcast-Domain zu verbinden. Diese Technologie wird von Organisationen mit mehreren Niederlassungen genutzt, da sie das Netzwerkmanagement vereinfacht und ein leistungsstarkes Verbindungserlebnis bietet. Im Wesentlichen lässt VPLS es so aussehen, als wären alle getrennten Büros eines Unternehmens direkt mit demselben lokalen Netzwerk verbunden, unabhängig von ihrem physischen Standort.

VPLS wird häufig als Wide Area Network (WAN)-Lösung verwendet, die die Skalierbarkeit und Zuverlässigkeit des Kern-MPLS-Netzwerks eines Dienstanbieters nutzt. Da es auf Schicht 2 des OSI-Modells arbeitet, verarbeitet VPLS Ethernet-Frames (eine Dateneinheit auf Schicht 2, analog zu Paketen), ohne dass komplexe Routing-Konfigurationen an Kundenstandorten erforderlich sind. Es ermöglicht Unternehmen, ihre verschiedenen lokalen Netzwerke (LANs) über sichere Hochgeschwindigkeitstunnel zu verbinden. Es ist besonders relevant für Organisationen, die die Latenz für Echtzeitanwendungen wie Sprache und Video minimieren müssen.

So funktioniert VPLS

VPLS basiert auf der Netzwerk-Infrastruktur des Dienstanbieters, insbesondere auf den Provider Edge (PE) Routern am Netzwerkperimeter und den Customer Edge (CE) Geräten am Kundenstandort. Die PE-Router lernen die Media Access Control (MAC)-Adressen des Kunden, ähnlich wie ein großer Switch arbeitet. Diese Router richten ein „vollständiges Mesh“ aus virtuellen Verbindungen ein, bekannt als Pseudowires, um über das Kern-MPLS-Netzwerk eine Any-to-Any-Konnektivität zwischen allen Kundenstandorten sicherzustellen.

Da VPLS auf Layer 2, der Sicherungsschicht, arbeitet, überbrückt es Ethernet-Frames transparent über das WAN hinweg. Das bedeutet, dass Kunden-Netzwerktraffic das VPLS durchqueren kann, ohne das zugrunde liegende MPLS-Transportnetzwerk zu kennen. Der Anbieter verwendet MPLS-Labels, um Datenverkehr logisch zu trennen und Kundendaten sicher innerhalb seines privaten Backbones zu routen.

Wichtige technische Aspekte der VPLS-Implementierung:

  • Pseudowires (Tunnel) bilden eine vollständige Mesh-Architektur für die Any-to-Any-Kommunikation.
  • Die PE-Router des Dienstanbieters verwalten das Lernen und Weiterleiten von Kunden-MAC-Adressen.
  • VPLS verwendet typischerweise MPLS, das vorhersehbare Pfade, Quality of Service (QoS) und geringe Latenz für das aggregierte Netzwerk des Kunden bereitstellt.

VPLS vs. SD-WAN

Da VPLS in Hardware konfiguriert wird, sind Routing-Richtlinien und Kapazitäten im Wesentlichen fest vergeben. Zwar verbindet es Zweigstellen effektiv miteinander, doch Remote-Belegschaften und Cloud-Computing können zu Performanceeinbußen führen. Netzwerkverkehr kann weniger optimale Wege zu und von Zielen außerhalb der Niederlassungen nehmen, weil VPLS für Site-to-Site-Traffic entwickelt wurde. Datenverkehr zu einer SaaS-App muss das VPLS häufig an einem zentralen Hub oder Rechenzentrum verlassen. Zentrale Hubs können zu Engpässen werden, die überlastet sind, wenn der Traffic die Bandbreite übersteigt, wodurch sich die Dienstqualität weiter verschlechtert.

VPLS schafft auch Risiken lateraler Bewegung, da es keine native Segmentierung oder Zero Trust-Kontrollen bietet. Organisationen mit einem VPLS-Netzwerk haben im Wesentlichen ein „Burg- und Burggraben“-Modell für die Sicherheit übernommen, bei dem sie den Netzwerkperimeter verteidigen, während Angreifer innerhalb des Netzwerks (sozusagen jenseits des Burggrabens) sich frei bewegen können.

Software-defined Wide Area Networking (SD-WAN) ist ein Modell, das mehrere Verbindungstypen umfasst, darunter Standleitungen, 5G, das öffentliche Internet und Cloud-Netzwerkrouten. Daher bietet es mehr Flexibilität als VPLS und kann moderne Geschäftsanforderungen besser unterstützen. SD-WAN reduziert die Abhängigkeit von zentralen Hubs für Netzwerkverkehr. Die Einführung von SD-WAN kann auch Teil einer Umstellung auf ein Secure Access Service Edge (SASE)-Modell sein, bei dem Zero Trust-Sicherheit nativ in die Netzwerkinfrastruktur integriert ist.

VPLS mit SASE vergleichen:

VPLSSASE
Standort-zu-Standort-TrafficBenutzer können sich überall befinden
Der Datenverkehr fließt durch zentrale KnotenpunkteFlexibles Routing
Festgelegte BandbreiteBandbreite nicht durch Hardware begrenzt
Risiken lateraler BewegungZero Trust-Sicherheit
Cloudflare One modernisiert Netzwerke, indem es bestehende MPLS- und VPLS-Verbindungen ergänzt oder ersetzt. Diese Plattform bietet Zero Trust-Netzwerkzugang (ZTNA), Cloud-native Sicherheitsdienste und cloudbasierte Konnektivität über WAN-as-a-Service. Das Ergebnis ist eine sichere und flexible Verbindung zwischen Benutzern, Niederlassungen und der Cloud-Infrastruktur weltweit. Erfahren Sie mehr über Cloudflare One.

 

FAQs

Was ist ein virtueller privater LAN-Dienst?

Virtual Private LAN Service (VPLS) ist eine Art von Virtual-Private-Network-Technologie (VPN-Technologie), die mehrere entfernte Standorte in eine einzige, gemeinsam genutzte Ethernet-Broadcast-Domain verbindet.

Weshalb entscheiden sich Organisationen für VPLS?

Unternehmen mit mehreren Zweigstellen nutzen häufig VPLS, da es die Netzwerkverwaltung vereinfacht und eine leistungsfähige Verbindung bietet.

Welche Rolle spielen PE- und CE-Geräte in einer VPLS-Architektur?

VPLS basiert auf Provider Edge (PE) Routern und Customer Edge (CE) Geräten. Die PE-Router lernen die Media Access Control (MAC)-Adressen der Kunden und etablieren ein vollständiges Netz virtueller Verbindungen, bekannt als Pseudowires, um eine Any-to-Any-Konnektivität zwischen allen Standorten sicherzustellen.

Wie wird die Sicherheit innerhalb eines VPLS-Netzwerks gehandhabt?

Dienstanbieter verwenden MPLS-Labels, um Datenverkehr logisch zu trennen und Daten sicher innerhalb ihres privaten Backbones zu routen. VPLS verfügt jedoch nicht über integrierte Zero-Trust-Kontrollen, was Risiken für laterale Bewegungen schaffen kann, wenn ein Angreifer über kompromittierte Benutzerkonten oder mit Malware infizierte Geräte Zugriff auf das Netzwerk erhält.

Wie unterscheidet sich SD-WAN von VPLS?

Im Gegensatz zu VPLS verwendet softwaredefiniertes Wide Area Networking (SD-WAN) mehrere Verbindungstypen, wie 5G und das öffentliche Internet, um größere Flexibilität zu bieten. SD-WAN reduziert die Notwendigkeit zentraler Hubs, was die Cloud-Kompatibilität verbessert. SD-WAN kann Zero-Trust-Sicherheit einfacher als Teil einer Secure-Access-Service-Edge-Implementierung (SASE) integrieren.