Seit einem Vierteljahrhundert gelten Multiprotocol-Label-Switching-Vernetzungen (MPLS) als Standard, wenn es um providerseitige Vernetzungslösungen geht. Sie bringen viele Vorteile mit sich: Durch die MPLS-Technik lässt sich eine Vielzahl an VPN-Verbindungen herstellen (any-to-any). Den IP-Datenpakten werden Labels zugewiesen, sodass Router die Pakete über die optimale Route im Netz weiterleiten können. Die Verbindung wird stabiler und leistungsstärker.
Dafür muss die MPLS-Plattform des Providers den IP-Header der Pakete auslesen, um auf Basis der Ziel-IP-Adresse eine Routing-Entscheidung zu treffen. Die Plattform des MPLS-Providers kann außerdem auch Quality-of-Service-Markierungen (QoS) auslesen und auf diese entsprechend reagieren. Besonders bei der Übertragung von kritischen Echtzeitdaten ist MPLS eine gute Lösung.
Wenn Unternehmen spezielle Sicherheitsrichtlinien einhalten müssen, dann ergibt sich oft die Anforderung, MPLS-Traffic verschlüsselt zu übertragen. Um auf der Basis von verschlüsselten IP-Paketen ein IP-Routing auszuführen und eine providerseitige QoS-Implementierung zu nutzen, gibt es diverse Ansätze.
Die bekannteste Methode, um diese Aufgabe zu lösen, ist die „Group-Encryption-Transport-VPN“ – kurz auch „GET-VPN“. Im Vergleich zu einem VPN-Tunnel, in dem die privaten Adressen des IP-Paketes verschlüsselt im Tunnel vor dem Internetprovider versteckt werden, wird bei „GET-VPN“ der innere IP-Header mit allen Informationen – wie Source- und Destination-Adressen sowie QoS-Markierungen – unverändert in den äußeren Header des IPsec-Paketes kopiert. Damit behält das verschlüsselte Paket alle Eigenschaften des Headers.
Die MPLS-Plattform des Providers ist weiterhin in der Lage, diese IP-Pakete auf dem kürzesten Weg zum Zielstandort weiterzuleiten und eine Paketpriorisierung auf Basis der DSCP-Werte des Headers zu betreiben. Auf Sicherheit und Integrität muss dabei aber nicht verzichtet werden – das wird durch den Einsatz von Kryptographie erreicht.
Mit den Cisco-Routern der ISR- und ASR-Familie kann „GET-VPN“ unter Einsatz der entsprechenden Sicherheits-Lizenz einfach eingesetzt werden. Allerdings wird ein zentraler Zertifikatsserver benötigt, der die RSA-Keys für alle teilnehmenden VPN-Router bereitstellt.
© Bildnachweis: Pexels by Marek Levak
