Man un­ter­schei­det grund­sätz­lich zwei Arten der Da­ten­über­tra­gung: Bei der ver­bin­dungs­lo­sen Da­ten­über­tra­gung können Daten jederzeit und ohne Limit von dem ge­wünsch­ten Endgerät aus an das Ziel­sys­tem geschickt werden, ohne dass der Weg der Pakete im Vorhinein feststeht. Jeder zwi­schen­ge­schal­te­te Netz­werk­kno­ten (für ge­wöhn­lich Router) weiß au­to­ma­tisch, wie er den Da­ten­strom wei­ter­zu­lei­ten hat. Der ver­bin­dungs­lo­se Über­tra­gungs­weg bietet zwar einen hohen Grad an Fle­xi­bi­li­tät, aber keine Garantie dafür, dass die benötigen Res­sour­cen auch vorhanden sind.

Im Gegensatz dazu ist der Weg der Da­ten­pa­ke­te bei der ver­bin­dungs­ori­en­tier­ten Über­tra­gung bereits von Beginn an vor­ge­ge­ben. Die in­vol­vier­ten Netz­werk­kno­ten (in der Regel Switches) erhalten die ent­spre­chen­den In­for­ma­tio­nen für die Wei­ter­lei­tung der Daten von der vor­an­ge­hen­den Station, bis die Pakete am Ende des Pfades beim Ziel­com­pu­ter an­ge­kom­men sind. Auf diese Weise wird der zeit­auf­wän­di­ge Routing-Prozess, der für die ver­bin­dungs­lo­se Über­tra­gung notwendig ist, erheblich be­schleu­nigt. Ferner lassen sich die vor­han­de­nen Netz­werk­res­sour­cen optimal kon­trol­lie­ren und auf die einzelnen Teil­neh­mer verteilen. Das so­ge­nann­te Mul­ti­pro­to­col Label Switching (MPLS) er­mög­licht dies auch für TCP/IP-Netzwerke, obwohl diese ei­gent­lich in die Kategorie ver­bin­dungs­lo­ser Netze gehören.

Was ist MPLS (Mul­ti­pro­to­col Label Switching)?

Große Kom­mu­ni­ka­ti­ons­netz­wer­ke waren Mitte der 1990er-Jahre noch durch einen we­sent­lich höheren Anteil an Sprach­kom­mu­ni­ka­ti­on (Telefonie) als an Da­ten­kom­mu­ni­ka­ti­on (Internet) geprägt. Die Te­le­kom­mu­ni­ka­ti­ons­an­bie­ter betrieben zu diesem Zeitpunkt noch getrennte Netze für beide Über­tra­gungs­ar­ten, was jedoch ei­ner­seits recht kost­spie­lig war und an­de­rer­seits keine um­fas­sen­de Dienst­qua­li­tät (Quality of Service) ge­währ­leis­te­te. Den hoch­qua­li­ta­ti­ven, ver­bin­dungs­ori­en­tier­ten Sprach­netz­wer­ken standen ver­bin­dungs­lo­se Da­ten­netz­wer­ke gegenüber, denen es an der er­for­der­li­chen Band­brei­te mangelte. Die Ein­füh­rung des ATM-Pro­to­kolls (Asyn­chro­no­us Transfer Mode) konnte diese Pro­ble­ma­tik größ­ten­teils auflösen, indem es die Über­tra­gung von Sprache und Daten über eine ge­mein­sa­me In­fra­struk­tur er­mög­lich­te. Doch erst Mul­ti­pro­to­col Label Switching lieferte Ende der 1990er-Jahre die Lösung, um die ver­füg­ba­ren Band­brei­ten effizient zu nutzen.

Um dies zu be­werk­stel­li­gen, ent­las­te­te MPLS endlich die über­for­der­ten Routing-Systeme: Statt die optimale Route eines Da­ten­pa­kets – wie zuvor üblich – von den einzelnen Zwi­schen­sta­tio­nen bestimmen zu lassen, bot das Verfahren die Mög­lich­keit, Pfade vor­zu­de­fi­nie­ren, die den Weg eines Pakets vom Ein­gangs­punkt (Ingress-Router) bis zum Aus­gangs­punkt (Egress-Router) festlegen. Die Zwi­schen­sta­tio­nen (Label-Switched-Router) erkennen diese Pfade, indem sie Labels auswerten, die die passenden Routing- und Ser­vice­in­for­ma­tio­nen enthalten und dem je­wei­li­gen Da­ten­pa­ket zu­ge­wie­sen werden. Die Aus­wer­tung findet dabei mithilfe der passenden Hardware (z. B. einem Switch) oberhalb der Si­che­rungs­schicht (Layer 2) statt, während das zeit­in­ten­si­ve Routing auf der Ver­mitt­lungs­schicht (Layer 3) entfällt.

Dank der Er­wei­te­rung Ge­ne­ra­li­zed MPLS ist die ur­sprüng­lich nur für IP-Netzwerke ent­wi­ckel­te Technik mitt­ler­wei­le auch für andere Netz­werk­ty­pen wie SONET/SDH (Syn­chro­no­us Optical Net­wor­king / Syn­chro­no­us Digital Hierarchy) oder WSON (Wa­ve­length Switched Optical Network) verfügbar.

Wie funk­tio­niert Mul­ti­pro­to­col Label Switching?

Der Einsatz von MPLS in IP-Netz­wer­ken setzt eine logische und physische In­fra­struk­tur voraus, bestehend aus MPLS-fähigen Routern. Das Label-Verfahren operiert dabei vorrangig innerhalb eines autonomen Systems (AS) – einer An­samm­lung ver­schie­de­ner IP-Netze, die als Einheit verwaltet werden und über min­des­tens ein ge­mein­sa­mes Interior Gateway Protocol (IGP) verbunden sind. Verwalter solcher Systeme sind ty­pi­scher­wei­se In­ter­net­pro­vi­der, Uni­ver­si­tä­ten oder auch in­ter­na­tio­na­le Firmen.

Bevor die einzelnen Pfade aufgebaut werden können, muss das ver­wen­de­te IGP dafür sorgen, dass sich alle Router des autonomen Systems un­ter­ein­an­der erreichen können. An­schlie­ßend werden die Eckpunkte der Pfade, die man auch als Label Switched Paths (LSP) be­zeich­net, bestimmt. Diese bereits erwähnten Ingress- und Egress-Router liegen für ge­wöhn­lich an den Ein- und Ausgängen eines Systems. Die Ak­ti­vie­rung der LSPs erfolgt dann entweder manuell, halb­au­to­ma­tisch oder voll­au­to­ma­tisch:

  • Manuelle Kon­fi­gu­ra­ti­on: Jeder Knoten, den ein LSP durch­läuft, muss einzeln kon­fi­gu­riert werden; bei großen Netz­wer­ken ist diese Vor­ge­hens­wei­se in­ef­fek­tiv.
  • Halb­au­to­ma­ti­sche Kon­fi­gu­ra­ti­on: Nur einige Zwi­schen­sta­tio­nen (zum Beispiel die ersten drei Hops) müssen manuell kon­fi­gu­riert werden, während der Rest der LSPs seine In­for­ma­tio­nen von dem Interior Gateway Protocol erhält.
  • Voll­au­to­ma­ti­sche Kon­fi­gu­ra­ti­on: Bei der voll­au­to­ma­ti­schen Variante übernimmt das Interior Gateway Protocol die Be­stim­mung des Pfades komplett; al­ler­dings wird dabei keinerlei Pfad­op­ti­mie­rung erzielt.

Da­ten­pa­ke­te, die in einem kon­fi­gu­rier­ten MPLS-Netzwerk ver­schickt werden, erhalten vom Ingress-Router einen zu­sätz­li­chen MPLS-Header. Dieser wird zwischen den In­for­ma­tio­nen der zweiten und dritten Schicht eingefügt, was man auch als Push-Operation be­zeich­net. Auf dem Über­tra­gungs­weg tauschen die einzelnen in­vol­vier­ten Hops das Label durch eine an­ge­pass­te Variante mit eigenen Ver­bin­dungs­in­for­ma­tio­nen (Latenz, Band­brei­te und Ziel-Hop) aus – dieses Verfahren nennt man häufig auch Swap-Operation. Am Ende des Pfades wird das Label im Rahmen einer Pop-Operation wieder aus dem IP-Header entfernt.

Der Aufbau des Mul­ti­pro­to­col Label Switching Headers

MPLS erweitert den normalen IP-Header um den so­ge­nann­ten MPLS-Label-Stack-Entry, der auch unter der Be­zeich­nung MPLS-Shim-Header bekannt ist. Dieser Eintrag ist mit einer Länge von 4 Byte (32 Bit) sehr kurz, weshalb er schnell ver­ar­bei­tet werden kann. Die passende Header-Zeile, die zwischen dem Layer-2- und dem Layer-3-Header eingefügt wird, sieht fol­gen­der­ma­ßen aus:

Bild: Aufbau des Multiprotocol Label Switching Headers
Bei­spiel­haf­ter Aufbau des Mul­ti­pro­to­col Label Switching Headers

Die zu­sätz­li­chen 32 Bit des MPLS-Label-Stack-Entrys fügen einem IP-Paket also vier In­for­ma­tio­nen für den nächsten Netzwerk-Hop hinzu:

  • Label: Das Label enthält die Kern­in­for­ma­ti­on des MPLS-Eintrags, weshalb es mit einer Länge von 20 Bit auch den größten Be­stand­teil ausmacht. Wie bereits erwähnt, ist ein Label auf dem Pfad immer ein­zig­ar­tig und ver­mit­telt daher auch nur zwischen zwei be­stimm­ten Routern. An­schlie­ßend wird es für die Da­ten­über­tra­gung zur nächsten Zwi­schen­sta­ti­on ent­spre­chend angepasst.
  • Traffic Class (TC): Mithilfe des Traffic-Class-Felds über­mit­telt der Header In­for­ma­tio­nen über Dif­fe­ren­tia­ted Services (DiffServ). Dieses Schema kann für die Klas­si­fi­zie­rung von IP-Paketen genutzt werden, um die Quality of Service zu ge­währ­leis­ten. So können die 3 Bits dem Netzwerk-Scheduler bei­spiels­wei­se mitteilen, ob er ein Da­ten­pa­ket prio­ri­siert oder un­ter­ge­ord­net behandeln soll.
  • Bottom of Stack (S): Der Bottom of Stack definiert, ob es sich bei dem zu­grun­de­lie­gen­den Über­tra­gungs­pfad um einen einfachen Pfad handelt oder ob mehrere LSPs in­ein­an­der ver­schach­telt sind. Ist letzteres der Fall, kann ein Paket auch mehrere Label erhalten, die im so­ge­nann­ten Label Stack zu­sam­men­ge­fasst werden. Die Bottom-of-Stack-Flag in­for­miert den Router dann darüber, dass weitere Labels folgen, oder an­dern­falls, dass der Eintrag das letzte MPLS-Label des Stacks enthält.
  • Time to live (TTL): Die letzten 8 Bit des MPLS-Lable-Stack-Entrys zeigen die Le­bens­dau­er des Da­ten­pa­kets an. Zu diesem Zweck regeln sie, wie viele Router das Paket auf dem Pfad noch durch­lau­fen darf (das Limit liegt bei 255 Routern).

Die heutige Rolle von Mul­ti­pro­to­col Label Switching

In den 1990er-Jahren half MPLS den Providern beim raschen Ausbau und Wachstum ihrer Netze. Der an­fäng­li­che Ge­schwin­dig­keits­vor­teil bei der Da­ten­über­tra­gung trat mit der neuen Ge­ne­ra­ti­on leis­tungs­star­ker Router mit in­te­grier­tem Netz­werk­pro­zes­sor jedoch in den Hin­ter­grund. Als Verfahren, mit dem eine zu­ge­si­cher­te Dienst­qua­li­tät ga­ran­tiert werden kann, ist es aber bis heute bei vielen Service-Anbietern im Einsatz. Hierbei geht es um das so­ge­nann­te Traffic En­gi­nee­ring – ein Prozess, der sich mit der Analyse und Op­ti­mie­rung von Da­ten­strö­men be­schäf­tigt. Neben der Klas­si­fi­zie­rung der einzelnen Da­ten­ver­bin­dun­gen findet dabei auch eine Analyse der Band­brei­ten und Ka­pa­zi­tä­ten einzelner Netz­werk­ele­men­te statt. Auf Basis der Er­geb­nis­se wird an­schlie­ßend an­ge­strebt, die Datenlast optimal zu verteilen, um das gesamte Netzwerk zu stärken. Ein weiteres wichtiges Ein­satz­ge­biet sind Virtual Private Networks (VPN) – also in sich ge­schlos­se­ne, virtuelle Kom­mu­ni­ka­ti­ons­net­ze, die öf­fent­li­che Netzwerk-In­fra­struk­tu­ren wie das Internet als Trans­port­me­di­um nutzen. Auf diese Weise können sich Geräte zu einem Netzwerk zu­sam­men­schlie­ßen, ohne dass sie physisch mit­ein­an­der verbunden sind. Grund­sätz­lich dif­fe­ren­ziert man zwei Arten solcher vir­tu­el­len MPLS-Netzwerke:

  • Layer-2-VPNs: Virtuelle Private Netzwerke auf der Si­che­rungs­schicht können entweder für Punkt-zu-Punkt-Ver­bin­dun­gen oder für den Remote-Zugriff kon­zi­piert sein. Layer 2 dient dem Nutzer eines solchen VPNs lo­gi­scher­wei­se als Schnitt­stel­le für den Ver­bin­dungs­auf­bau. Als Ba­sis­pro­to­kol­le dienen das Point-to-Point Tunneling Protocol (PPTP) oder das Layer 2 Tunneling Protocol (L2TP). Auf diese Weise haben Ser­vice­dienst­leis­ter die Mög­lich­keit, ihren Kunden SDH-ähnliche Dienste und Ethernet-Services an­zu­bie­ten.
  • Layer-3-VPNs: Netz­werk­ba­sier­te Layer-3-VPNs stellen für Ser­vice­pro­vi­der eine einfache Lösung dar, um ver­schie­de­nen Kunden (un­ab­hän­gig von den privaten IP-Adress­be­rei­chen) komplett geroutete Netz­struk­tu­ren auf Basis einer einzigen IP-In­fra­struk­tur zu an­zu­bie­ten. Die Quality of Service wird dadurch ge­währ­leis­tet, dass die Kunden durch in­di­vi­du­el­le MPLS-Labels und vor­de­fi­nier­te Pa­ket­pfa­de getrennt von­ein­an­der verwaltet werden. Nebenbei bleibt den Netzwerk-Hops das Routing erspart.

Betreiber großer WAN-Netze (Wide Area Network) pro­fi­tie­ren von Provider-Angeboten, die auf Mul­ti­pro­to­col Label Switching basieren: Richtig kon­fi­gu­riert op­ti­mie­ren die stra­te­gi­schen Label Switched Paths den Da­ten­ver­kehr und stellen so wei­test­ge­hend sicher, dass alle Nutzer jederzeit über die benötigte Band­brei­te verfügen können – während sich der eigene Aufwand in Grenzen hält. Auch für Campus-Netze wie Uni­ver­si­täts- oder Un­ter­neh­mens­netz­wer­ke stellt das Verfahren daher eine geeignete Lösung dar, sofern das not­wen­di­ge Budget vorhanden ist.

Die Vorteile von MPLS-VPNs im Überblick

Mul­ti­pro­to­col Label Switching kon­kur­riert als Tech­no­lo­gie für virtuelle Netzwerke unter anderem mit der IP-Pro­to­koll­stack-Er­wei­te­rung IPsec. Das Si­cher­heits­up­grade des In­ter­net­pro­to­kolls zeichnet sich ins­be­son­de­re durch eigene Ver­schlüs­se­lungs­me­cha­nis­men und seine geringen Kosten aus. Die Rea­li­sie­rung der In­fra­struk­tur mittels IPsec liegt jedoch – anders als bei dem MPLS-Verfahren – nicht in der Ver­ant­wor­tung des Providers, sondern beim Nutzer selbst. Dieser hat damit einen höheren Aufwand. Hier bietet das MPLS-Verfahren also einen Vorteil. Nicht der einzige Vorteil von „Label“-Netz­wer­ken, wie die folgende Auf­lis­tung zeigt:

  • Geringer be­trieb­li­cher Aufwand: Der Betrieb des MPLS-Netzwerks liegt wie die IP-Kon­fi­gu­ra­ti­on und das Routing im Auf­ga­ben­be­reich des Providers. Als Kunde pro­fi­tiert man folglich von einer fertigen In­fra­struk­tur und erspart sich eine Menge Aufwand, der beim Aufbau eines eigenen Netzes anfallen würde.
  • Erst­klas­si­ge Per­for­mance: Die vor­de­fi­nier­ten Datenwege sorgen für sehr schnelle Über­tra­gungs­ge­schwin­dig­kei­ten, die nur geringen Schwan­kun­gen un­ter­lie­gen. Service Level Agree­ments (SLA), die zwischen Anbieter und Kunden getroffen werden, ga­ran­tie­ren die ge­wünsch­te Band­brei­te und schnelle Hilfe im Stö­rungs­fall.
  • Hohe Fle­xi­bi­li­tät: VPNs auf Basis von Mul­ti­pro­to­col Label Switching gewähren den In­ter­net­pro­vi­dern eine Menge Spielraum bei der Res­sour­cen­ver­tei­lung, was sich auch für die Kunden auszahlt. So können ganz spe­zi­fi­sche Leis­tungs­pa­ke­te ver­ein­bart und die Netze jederzeit pro­blem­los erweitert werden.
  • Mög­lich­keit, Dienste zu prio­ri­sie­ren: Dank MPLS-In­fra­struk­tur können Provider ver­schie­de­ne Quality-of-Service-Stufen anbieten. Die gemietete Band­brei­te ist dabei kei­nes­wegs statisch, sondern ebenfalls klas­si­fi­zier­bar (Class of Service). Auf diese Weise lassen sich die ge­wünsch­ten Dienste wie zum Beispiel VoIP prio­ri­sie­ren, um eine stabile Über­tra­gung zu ga­ran­tie­ren.

Wie sicher sind MPLS-Netzwerke?

Die Vorzüge von MPLS und auf dieser Technik ba­sie­ren­den vir­tu­el­len privaten Netz­wer­ken sind ins­be­son­de­re für Un­ter­neh­men und Ein­rich­tun­gen von Interesse, die sich über mehrere Standorte verteilen und auch ihren Kunden Zugriff zum eigenen Netzwerk gewähren wollen. Dem­entspre­chend sind solche vir­tu­el­len Netze dort häufig die erste Wahl beim Aufbau der IT-In­fra­struk­tur. Auf diese Weise werden alle ge­wünsch­ten Nutzer in einem Netz vereint, ohne dass eine physische Ver­bin­dung oder öf­fent­li­che, im Internet zu routende IP-Adressen benötigt werden. Grund­sätz­lich ist ein Mul­ti­pro­to­col-Label-Switching-VPN also nur für die User er­reich­bar, die über die ent­spre­chen­den Daten für den Ver­bin­dungs­auf­bau verfügen. Dieser Fakt allein macht die vir­tu­el­len Netzwerke jedoch kei­nes­wegs immun gegen un­be­fug­ten Zugriff: Das Attribut „privat“ steht in solchen Netzen nämlich nicht für Ge­heim­hal­tung und Ver­schlüs­se­lung, sondern lediglich dafür, dass die ver­wen­de­ten IP-Adressen nur intern er­reich­bar sind. Ohne zu­sätz­li­che Ver­schlüs­se­lung werden sämtliche In­for­ma­tio­nen also im Klartext über­tra­gen. Doch auch eine ent­spre­chen­de Zer­ti­fi­zie­rung bietet keinen ein­hun­dert­pro­zen­ti­gen Schutz, wenn auch der normale Internet-Traffic über den Über­gangs­rou­ter (auch „Provider Edge“ (PE) genannt) zwischen MPLS-Netzwerk und Kunden-LAN läuft. Einige mögliche Risiken bei der Nutzung von MPLS-In­fra­struk­tu­ren sind nach­fol­gend auf­ge­lis­tet:

  • MPLS-Pakete landen im falschen VPN: Soft­ware­feh­ler und Fehl­kon­fi­gu­ra­tio­nen sind häufig Ursache dafür, dass IP-Pakete mit MPLS-Label das ei­gent­li­che VPN verlassen und in einem anderen Netz sichtbar werden. Der Router leitet die Pakete in diesem Fall fälsch­li­cher­wei­se an nicht-ver­trau­ens­wür­di­ge Systeme weiter, zu denen eine IP-Route existiert. Ferner ist es möglich, dass gezielt Da­ten­pa­ke­te mit ver­än­der­ten Labeln (MPLS-Label-Spoofing) in ein fremdes VPN ein­ge­schleust werden, wenn der Provider-Edge-Router die ent­spre­chen­den Pakete ak­zep­tiert.
  • Anbindung eines un­be­rech­tig­ten Über­gangs­rou­ters: Sind ver­schie­de­ne VPNs an die MPLS-In­fra­struk­tur an­ge­bun­den, ist auch die Gefahr groß, dass ein Provider Edge un­au­to­ri­siert in das VPN eines anderen Kunden in­te­griert wird. Dies kann entweder durch eine un­be­ab­sich­tig­te Fehl­kon­fi­gu­ra­ti­on oder aber auch durch einen gezielten Angriff her­bei­ge­führt werden. Dadurch sind weitere netz­ba­sier­te Angriffe für den fremden Nutzer pro­blem­los durch­führ­bar.
  • Logische Struktur des Provider-Netzes ist sichtbar: Wenn ein Angreifer Einblick in die logische Struktur des MPLS-Netzwerks erhält, das der Ser­vice­pro­vi­der aufgebaut hat, sind Attacken auf die Über­gangs­rou­ter sehr wahr­schein­lich – ins­be­son­de­re, wenn deren Adressen sichtbar sind.
  • Denial-of-Service-Angriff auf den PE-Router: Als wichtiger Kno­ten­punkt für die in­vol­vier­ten Netze ist der Provider-Edge-Router ein besonders an­fäl­li­ges Ziel für Denial-of-Service-Angriffe, die die Ver­füg­bar­keit des VPN-Dienstes gefährden. Denkbar sind hierbei ei­ner­seits kon­ti­nu­ier­li­che Routing-Updates, bei­spiels­wei­se via EIGRP (Enhanced Interior Gateway Routing Protocol) oder OSPF (Open Shortest Path First), an­de­rer­seits aber auch die Über­las­tung des Routers durch das gezielte Über­flu­ten mit kleinen Da­ten­pa­ke­ten.

Neben der Ver­schlüs­se­lung sollte jedes VPN folglich über weitere Schutz­me­cha­nis­men verfügen, um den bzw. die Provider-Edge-Router gegen externe Zugriffe ab­zu­si­chern. Emp­feh­lens­wert ist hierbei vor allem die Ein­rich­tung einer de­mi­li­ta­ri­sier­ten Zone zwischen zwei Firewalls und der Einsatz von Netz­über­wa­chungs­sys­te­men. Zudem sollten re­gel­mä­ßi­ge Ak­tua­li­sie­run­gen von Soft- und Hardware sowie Si­cher­heits­maß­nah­men gegen phy­si­ka­li­sche Zugriffe auf die Gateways zum Standard gehören.

Zum Hauptmenü