Hi,
die Telekom hat ein Angebot für ein VPN mit MPLS über DSL. Allerdings wird nur die Verkehrsklasse Best Effort unterstützt. Ist ein IP-VPN über Internet mit Netscreen als VPN-Endpunkt besser?
Wir haben AS/400 Anwendungen, die teilweise zeitkritisch sind, wenn die Latenzzeiten zu groß werden. Bei Netscreen gibt es eine Trafficpriorisierung.
Gruß
Bernd
Hi,
die Telekom hat ein Angebot für ein VPN mit MPLS über DSL.
Allerdings wird nur die Verkehrsklasse Best Effort
unterstützt. Ist ein IP-VPN über Internet mit Netscreen als
VPN-Endpunkt besser?
Wir haben AS/400 Anwendungen, die teilweise zeitkritisch sind,
wenn die Latenzzeiten zu groß werden. Bei Netscreen gibt es
eine Trafficpriorisierung.
MPLS ist eine Layer 2-VPN-Lösung, bei der ein Großteil des Vertrauens auf dem Netzbetreiber liegt - AFAIK hast Du damit _keine_ Ende-zu-Ende-Vertraulichkeit.
Geht es Dir also um bestmögliche Vertraulichkeit, ist immer IPsec vorzuziehen.
Wie es sich mit Euren Performance-Bedürfnissen verhält, kann ich so nicht einschätzen - würde man statt Netscreen jeweils ein Unix-Gateway (BSD, Linux) einsetzen, wäre z.B. Priorisierung kein Problem.
Es ist jedoch anzunehmen, daß die MPLS Lösung niedrigere Latenzzeiten mit sich bringt. Die Frage ist halt, ob sie Euren Sicherheitsbedürfnissen gerecht wird.
Gruß,
Malte.
Hi Malte,
danke für Deine Antwort. Das MPLS Angebot ist auch mit DSL und da garantiert die Telekom leider keine Latenzzeiten.
Bei einem UNIX-System habe ich das Problem der Unterstützung, da meine Kenntnisse etwas veraltet sind und wir auch keine sonstigen Unix-Systeme haben.
Außerdem stehen einige der Gateways dann im Ausland und müssen remote verwaltet werden u.a. von Kollegen, die sich mit einer grafischen Oberfläche leichter tun.
Gibt es hier eine Empfehlung für ein Unix-System. Die mir bekannten Systeme werden über die Kommandozeile gepflegt und für sporadische Arbeiten ist dies nicht so geeignet.
Gruß,
Bernd
[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]
Welche Plattform als IPsec Gateway?
Hi Malte,
danke für Deine Antwort. Das MPLS Angebot ist auch mit DSL und
da garantiert die Telekom leider keine Latenzzeiten.
Dann bringt Euch MPLS nicht so richtig viel… und ich würde unter diesen Umständen IPsec wählen - jetzt in Unkenntnis Eurer genauen Situation gesagt.
Bei einem UNIX-System habe ich das Problem der Unterstützung,
da meine Kenntnisse etwas veraltet sind und wir auch keine
sonstigen Unix-Systeme haben.
Außerdem stehen einige der Gateways dann im Ausland und müssen
remote verwaltet werden u.a. von Kollegen, die sich mit einer
grafischen Oberfläche leichter tun.
Gibt es hier eine Empfehlung für ein Unix-System. Die mir
bekannten Systeme werden über die Kommandozeile gepflegt und
für sporadische Arbeiten ist dies nicht so geeignet.
Ich persönlich finde die Konfiguration solcher Funktionalitäten über Kommandozeile recht angenehm, und würde hier FreeBSD + ipfw (Firewalling) + dummynet (trafficshaper) + kame (IPsec) wählen.
Allerdings muß ich gestehen, daß ich die sicher existierenden Linux-Alternativen nicht kenne, also keinen Vergleich habe.
Sicher ist bei dieser Lösung die Einarbeitung ein Problem - aber wenn’s läuft, läuft’s erstmal. Habt ihr die Möglichkeit, Euch da externe Hilfe zu holen? Im Zweifelsfall kenn ich da jemanden, der Euch da helfen könnte. Um wieviele Standorte geht es denn? Habt ihr ein Budget dafür?
Evtl. könnte man da auch mit Cisco (PIX) was machen.
Die Administration dieser Gateways sollte idealerweise in einer Hand liegen. Ist es ein MUSS, daß da jeder Standort selbst dran rumfrickelt?
Gruß,
Malte.