VPNs mittels MPLS oder SD-WAN in China

Während bereits der Betrieb eines VPNs zur Standortvernetzung zwischen Deutschland und China einigen Regularien und Einschränkungen des chinesischen Staates unterliegt, gibt es auch bei den Technologien zur Realisierung eines VPNs in China nochmals Einschränkungen. Denn der chinesische Staat erlaubt nur noch VPNs, die mittels MPLS oder SD-WAN umgesetzt sind. IP-basierte VPNs werden in China nicht mehr genehmigt.

Multiprotocol Label Switching (MPLS)

MPLS ist eine Routing-Technologie mit dem Ziel, Datenpakete über festgelegte Routen performanter zu transportieren. Anstatt dass jeder Router auf dem Weg das Datenpaket für sich selbst analysieren und den nächsten Hop ermitteln muss, werden über MPLS vordefinierte Routen festgelegt.

Beim Eintritt eines Datenpakets in das MPLS Netzwerk wird eine Route ermittelt und dem Datenpaket als Label zugeordnet. Jeder Router im MPLS Netzwerk muss dann nur noch das Label auslesen und weiß damit sofort, an welchen Router er das Paket weiterleiten muss. Dadurch wird der Datendurchsatz erhöht und ein hoher Quality of Service (QoS) sichergestellt.

Da MPLS Netzwerke unabhängig vom öffentlichen Internet agieren und eigene Hardware zwischen den Standorten benötigen, wird MPLS zur internationalen Standortvernetzung vor allem als Service von Telefongesellschaften und Internet Service Providern (ISP) angeboten. Über deren Partnerschaften mit anderen Carriern können internationale MPLS Netzwerke aufgebaut werden. Unter diesem Hintergrund und der Tatsache, dass das Festlegen der jeweiligen Routen komplex ist und individuell vorgenommen werden muss, ist es nicht verwunderlich, dass MPLS Services mit entsprechend hohen Kosten verbunden sind. Gleichzeitig ist die Reichweite eines MPLS Netzwerkes von der Hardware des MPLS Anbieters abhängig. Gerade für Standorte, die in eher abgelegenen Gebieten liegen, kann das eine große Herausforderung darstellen. Vor der Einrichtung eines solchen VPNs via MPLS muss also sichergestellt werden, dass der MPLS Anbieter an allen Firmenstandorten den Service bereitstellen kann. Ein aufgebautes MPLS Netzwerk kann ein maßgeblicher Faktor dafür sein, wohin eine Firma in Zukunft expandieren kann. Liegt ein geplanter Firmenstandort nämlich außerhalb des Netzwerks des MPLS Anbieters, so wäre ein Wechsel des Anbieters zwar denkbar, allerdings mit hohen Kosten verbunden. Bei einem MPLS Netzwerk, das eine Standortvernetzung nach China bereitstellt, verschärft sich dies weiter. Zum einen stehen als MPLS Partner in China nur die drei großen Internet Service Provider (China Telecom, China Unicom, China Mobile) zur Verfügung und zum anderen muss das VPN über diese ISPs beim chinesischen Staat lizenziert werden.

MPLS liefert zwar an sich keine Verschlüsselung mit, ist als Virtual Private Network (VPN) aber vom öffentlichen Internet abgetrennt und kann daher als sicherer Datentransport angesehen werden. Die Sicherheit des Datentransports in China ist dennoch mit Vorsicht zu genießen. Da man zwangsweise mit einem der drei großen ISPs in China zusammenarbeiten muss und diese im Besitz des chinesischen Staates sind, ist unsere Empfehlung, die Daten für VPNs via MPLS in China immer noch zusätzlich zu verschlüsseln. Da MPLS zwischen Schicht 2 und Schicht 3 des OSI-Modells arbeitet und daher gerne als Layer-2,5-Protokoll bezeichnet wird, ist es nicht anfällig für Denial of Service (DoS) Angriffe.

Mit der immer weiter verbreiteten Nutzung von Cloud-Diensten und Software as a Service (SaaS) stößt die Nutzung von MPLS an ein weiteres Problem. Denn MPLS wurde zu einem Zeitpunkt entwickelt, als Zweigstellen einer Firma eigentlich immer Daten an den Hauptsitz übermitteln bzw. von dort abrufen wollten. Ein zusätzlicher Endpunkt im MPLS Netzwerk für Cloud-Dienste war nie vorgesehen.

Software Defined Wide Area Network (SD-WAN)

SD-WAN ist eine neuartigere Routing-Technologie, die im Vergleich zu MPLS deutlich weniger von Hardware abhängig ist und vielmehr über Software realisiert wird und mehrere Internet- und sonstige WAN-Verbindungen (z.B. auch MPLS) an einem Firmenstandort bündelt. Für SD-WAN muss kein neues Netzwerk aufgebaut werden, sondern es arbeitet über die vorhandene Internetanbindung eines Standortes. Dadurch kann eine SD-WAN-Lösung in der Regel innerhalb weniger Tage bereitgestellt werden werden – MPLS hat hingegen eine deutlich längere Bereitstellungszeit. 

Dadurch sind internationale Standortvernetzungen deutlich kostengünstiger und schneller zu realisieren. Gleichzeitig ist SD-WAN nicht von einem zentralen Anbieter abhängig, sondern an jedem Standort kann ein anderer Internetanbieter genutzt werden. Mit SD-WAN ist es entsprechend einfacher, auch abgelegene Firmenzweige zu erreichen und über ein VPN miteinander zu verbinden.

Gerade in China sind SD-WAN VPNs besonders beliebt, da der chinesische Staat sich aktiv für die Nutzung von Cloud-Diensten ausspricht und deren Verwendung vorantreibt. Weltweit stellen viele Cloud-Anbieter Cloud Enabled SD-WAN zur Verfügung, wodurch sich das lokale SD-WAN mit einem Cloud-Gateway beim entsprechenden Anbieter verbinden kann. Damit kann beim Ausfall der Verbindung innerhalb von wenigen Millisekunden eine alternative Verbindung erstellt werden, wodurch der Ausfall der ersten Verbindung vom Nutzer nicht spürbar ist.

Dass SD-WAN die vorhandenen Internetanbindungen verwendet, macht die Technologie zwar preiswerter, stellt jedoch gleichzeitig auch den größten Nachteil von SD-WAN dar. Denn sobald ein Datenpaket das öffentliche Internet betritt, können Schwankungen in den Latenzen und Paketverlustraten auftreten, was sich entsprechend negativ auf den Datentransfer via SD-WAN auswirkt. Während dies für das Versenden von E-Mails oder das Teilen von Dateien keine große Rolle spielt, kann es ein ausschlaggebender Faktor für Telefongespräche oder Videokonferenzen sein.

VPNs, die mit SD-WAN realisiert sind und eine Vernetzung mit einem Standort in China bereitstellen, müssen, genau wie bei MPLS, über einen der chinesischen Internet Service Provider beim chinesischen Staat lizenziert werden.

Der Trend: reines SD-WAN oder Hybrid-WAN

Reine MPLS Netzwerke werden weiterhin für einen großen Teil der Firmen-VPNs verwendet. Dies liegt aber weniger an den Vorteilen von MPLS gegenüber SD-WAN, sondern vielmehr daran, dass MPLS lange Zeit die führende VPN-Technologie war und die eingesetzten Geräte lange Nutzungsdauern haben.

Die Tendenz geht in die Richtung, dass in den kommenden Jahren reine MPLS Netzwerke immer mehr abgeschafft werden und durch SD-WAN oder Hybrid-WAN ersetzt werden. Das Ziel ist es, die hohen Kosten von MPLS möglichst stark zu reduzieren und MPLS nur noch dort, wo es tatsächlich spürbare Vorteilen bringt, einzusetzen. 

Firmen, die zeitkritische Applikation oder Dienste, wie etwa Telefongespräche oder Videokonferenzen, lokal nutzen, werden für diese weiterhin auf MPLS setzen, da der hohe Quality of Service den entscheidenden Vorteil bringt. Bei Firmen, in denen diese Dienste jedoch nicht lokal, sondern in der Cloud betrieben werden, setzt sich auch in diesem Bereich SD-WAN immer mehr durch.

Da SD-WAN auch MPLS Pakete transportieren kann, ist es relativ einfach, die beiden Technologien miteinander zu einem Hybrid-WAN zu verbinden. Die teuren MPLS Netzwerke werden in diesem Szenario für zeitkritische Applikationen genutzt, während alle anderen Daten über SD-WAN übermittelt werden. Auch wenn dadurch beide Technologien zum Einsatz kommen, reduzieren sich die Kosten für Firmen, da die benötigte Bandbreite für MPLS verringert werden kann.

Als Partner der Internet Service Provider in China kann Sie weber.cloud China dabei unterstützen, ein lizenziertes VPN in China zu erhalten. Nehmen Sie hierzu einfach Kontakt auf.

Kontakt aufnehmen