Business Netzwerk wofür ?

OpenMedia

Lieutenant
Registriert
Okt. 2016
Beiträge
706
Hallo zusammen,
Öfters sehe ich das Unternehmen eine richtige Site to Site Verbindung Aufbauen das heißt jeglicher Traffic der normalerweise ins Internet geht wird immer zum größeren Standort geroutet und von da aus ins eigentliche Internet wozu machen die Firmen das ? Was hat das für ein Vorteil als dass man einfach nur internen Traffic innerhalb des Firmennetzwerkes Routet.

Eigentlich hat das Tunneln von Internet Traffic doch nur Nachteile sei es langsamere Ladezeiten, teure synchrone Internet Anbindung an beiden Standorten etc.

Warum stellt man nicht einfach einen Proxy am kleineren Standort auf, anstatt jeden Monat bei der Telekom tausende von Euros in eine Synchrone Internet Anbindung zu investieren.
 
Sicherheit und Kontrolle.
Wenn der Traffic nur an einer einzigen definieren Stelle ins Internet geht, kannst du dort zentral kontrollieren was nach draußen geht und bei Bedarf (Malware, etc.) auch mal schnell unerwünschte Verbindungen unterbinden.
 
  • Gefällt mir
Reaktionen: chrigu
Hi,

also ich kenne wenig Firmen, die den kompletten Internet-Traffic per Site-2-Site tunneln. Die Standorte werden per Site-2-Site verbunden, damit es "ein Firmennetzwerk" ist. Aber den Internettraffic lassen wir z.B. nicht darüber laufen.

Ich kann auch so kontrollieren, was nach draußen geht - dazu muss ich den Traffic nicht über eine Leitung nach draußen laufen lassen. Ich habe ohnehin an jedem Standort eine Firewall/Router Konfiguration - brauche ich ohnehin schon für das Site-2-Site...

VG,
Mad
 
  • Gefällt mir
Reaktionen: OpenMedia
Unterschiedlich, erstmal bleibt es eine Entscheidungssache.
Bei vielen Firmen hat es den Grund das an der Zentrale die große Firewall ist und meistens ein Managment Tool fehlt alle Regel und Richtlinen auf die Firewalls an den Ausstandorten auszurollen.
Kostet halt alles Geld.
 
Ein Beispiel wäre auch, eine zentral verwaltete Telefonanlage. Also kein Cloud System, sondern eine vor Ort installierte TK Anlage, die in der Zentrale aufgebaut ist und über die alle Standorte / Filialen dann telefonieren können.
 
Lizenzkosten ist sicherlich ein Punkt. Das sind schnell mal zig tausende Euros, je nach dem was man einsetzt. Oft muss man per Gerät/per Core/per Instanz zahlen.
 
MoinMoin,

OpenMedia schrieb:
Hallo zusammen,
Öfters sehe ich das Unternehmen eine richtige Site to Site Verbindung Aufbauen das heißt jeglicher Traffic der normalerweise ins Internet geht wird immer zum größeren Standort geroutet und von da aus ins eigentliche Internet wozu machen die Firmen das ? Was hat das für ein Vorteil als dass man einfach nur internen Traffic innerhalb des Firmennetzwerkes Routet.

Da gibt es zwei Punkte:
  • Firewalls/Router mit eingeschränktem Feature Set: an den Außenstandorten wird dann lediglich VPN-Funktionalität benötigt und die NGFW steht am Hauptstandort.
  • ein zentraler Internet Breakout und primär interner Netzwerktraffic: Das Datenvolumen Richtung Internet ist in Teilen deutlich geringer als der interne Trafffic

Eigentlich hat das Tunneln von Internet Traffic doch nur Nachteile sei es langsamere Ladezeiten, teure synchrone Internet Anbindung an beiden Standorten etc.
Warum stellt man nicht einfach einen Proxy am kleineren Standort auf, anstatt jeden Monat bei der Telekom tausende von Euros in eine Synchrone Internet Anbindung zu investieren.

Auch die NGFW bzw. der Proxy müssen vor Ort betrieben werden, was weder günstig noch technisch immer einfach umzusetzen ist. Es kommt also auf das Netzwerkkonzept und die Anforderungen an, was sich eher rechnet.

Spätestens bei MPLS gibt es häufig auch nur einen zentralen Breakout, der von allen genutzt werden muss.


Grüße,
Christian
 
  • Gefällt mir
Reaktionen: snaxilian und DasBombi
OpenMedia schrieb:
synchrone Internet Anbindung an beiden Standorten etc.
Warum sollten beide Standorte synchron angebunden sein?

Die Zweigstelle die sich verbindet hat keine Probleme damit, sie hat den definierten Up und Download problemlos den der Anschluss hergibt auch via vpn.

Einzig das hauptgatways in deinem Beispiel am Hauptsitz benötigt einen höheren Upload.

Auch die latzenz spielt kaum rein bei vernünftigen Providern ergibt sich via vpn zwischen 10 und 30ms höhere Antwortzeiten die fallen letztlich nicht groß ins gewicht.
 
Eine klare Antwort gibt es da nicht.
Site-to-Site bedeutet erstmal nur, dass eine Verbindung zu einem anderen Standort existiert. Das kann ein VPN, eine Standleitung/"Business Internet" oder ähnliches sein. Dass es eine syncrone Leitung sein muss, ist nicht verpflichtend.
Ob du den gesamten Traffic nun über den Hauptstandort schickst oder nicht, hat viele verschiedene Aspekte. Angefangen von der verfügbaren Bandbreite am (Außen-)Standort über die Anzahl der User bis zur Sicherheit.
Ein direktes Ausleiten des Internettraffics am Außenstandort bringt den Charme, dass du ggf. ungenutze Bandbreite auch mit nutzen kannst sowie bei Cloudanwendungen bessere Latenzen erreichen kannst. Das geht aber alles zulasten der Sicherheit. Das haben hier auch schon einige thematisiert.
Ebenso ist die Anbindungsart ein wichtiger Faktor. Ein DSL-/Internetanschluss ist in der Regel asyncron, funktioniert heute aber auch mit VPN sehr gut. Eine Standleitung ist da shcon besser. Je nachdem was gebucht wird, sind Latenzen und Badbreite stabil. Das Optimum wäre eine Dark Fiber.
Ebenso ist die Anzahl der User entscheidend. Für 500+ Personen wird ein anderer Aufwand betrieben als für 3 Leute.

Die vor dir genannten "Nachteile" sind in Wirklichkeit keine. Langsame Ladezeiten kommen nur bei massiver Überbuchung der Leitung zustande, was sehr selten ist, die teure Anbindung relativiert sich wenn bei einem Ausfall nach 4 Stunden die Leitung wieder funktioniert und auch sonst ist das alles vom Business Case abhänig. Da gibt es genügend Konzepte, wie selbst bei einem schmalbandingen Anschluss das Maximum heraus geholt werden kann. Da wird dann eben Youtube, etc entsprechend gedrosselt ;)

gruß
 
Ravenstein schrieb:
OpenMedia schrieb:
teure synchrone Internet Anbindung an beiden Standorten etc.
Warum sollten beide Standorte synchron angebunden sein?
Sicher, das ihr beide hier "synchron" und nicht symmetrisch ( also gleiche Datenrate bei Up- und Download )meint ? . Theoretisch könnte es sogar sein, das umgekehrt asymmetrisch ( Mehr Upload wie Download) für einem Außenstandort, der viele Daten produziert und auf einen zentralen Server hochlädt die beste Anbindung wäre.
 
  • Gefällt mir
Reaktionen: omavoss, up.whatever und Madman1209
Darf ich noch an die experten unter euch fragen wie große Firmen soetwas realisieren ? Wird da ein 0815 Layer 2 Tunnel erstellt oder nutzt man da komplizierte SD WANs für ?

Und wie siehts da aus mit VLANs werden die auch über den Tunnel eventuell realisiert sprich kann die Hauptstellt über diese Art auch VLANs an mehreren Standorten aufbauen ?
 
Ich behaupte mal, da gibt es zig verschiedene Varianten und Lösungen. Es gibt da welche die dann mit "best practice" um die Ecke kommen, aber es ist auch immer eine Frage des Geldes und was machbar ist.

Viele Wege führen halt nach Rom ;)
 
  • Gefällt mir
Reaktionen: Madman1209
MoinMoin,

OpenMedia schrieb:
Darf ich noch an die experten unter euch fragen wie große Firmen soetwas realisieren ? Wird da ein 0815 Layer 2 Tunnel erstellt oder nutzt man da komplizierte SD WANs für ?

Ob SD-WAN kompliziert ist oder nicht, darüber kann man sich streiten. Ich habe i.d.R. aber keine L2-Verbindungen zwischen den Standorten, sondern immer eine geroutet Verbindung (entweder über den Provider oder über eigene Komponenten). Die "großen" (was auch immer das per Definition sein mag) haben häufig aus der Historie heraus MPLS im Einsatz oder irgendwelche anderen Anschlüsse (4 bis 1000 Mbit/s pro Standort bzw. redundante Anschlüsse).

SD-WAN hilft Dir primär, wenn die mehrere Wege zu einem Ziel hast und die optimal ausnutzen willst. Bei nur einer Anbindung hast Du im besten Fall WAN Optimierung (z.B. von Riverbed)

Und wie siehts da aus mit VLANs werden die auch über den Tunnel eventuell realisiert sprich kann die Hauptstellt über diese Art auch VLANs an mehreren Standorten aufbauen ?

Warum sollte ich Broadcastdomänen über mehrere Standorte hochziehen? Die einzelnen Standorte habe ihre eigene IP-Segmentierung (wenn überhaupt) und werden über Layer 3 miteinander verbunden. Primär für größere Migrationen würde ich entfernte Standorte per Layer 2 anbinden.
 
Das sind viele Fragen, die du da hast. Und pauschal lassen sie sich nicht so einfach beantworten.
OpenMedia schrieb:
Darf ich noch an die experten unter euch fragen wie große Firmen soetwas realisieren ? Wird da ein 0815 Layer 2 Tunnel erstellt oder nutzt man da komplizierte SD WANs für ?
Das kommt wieder darauf, was der Business Case ist. Und wie das interne Netzwerk aufgebaut ist.
Wir nutzen Standleitungen, die auf L2 transparent sind. Aber auch normale DSL/Kabel/LTE-Anschlüsse mit L3-VPN. Ebenso Dark Fiber, wenn sie verfügbar sind.

Und ein SD-Wan ist auch nicht sooo kompliziert. Das kommt, auch hier, immer auf deine Lösung an. Viptela ist vergleichsweise kompliziert, bietet aber auch entsprechend viele Möglichkeiten. Meraki ist da einfacher gestrickt, aber wenn die Controllerkonfig steht kannst du Sites innerhalb von Minuten deployen. Aber auch hier sei gesagt, es kommt immer darauf an was du willst und was der Business Case ist.

OpenMedia schrieb:
Und wie siehts da aus mit VLANs werden die auch über den Tunnel eventuell realisiert sprich kann die Hauptstellt über diese Art auch VLANs an mehreren Standorten aufbauen ?
Auch das kommt immer auf das interne Netzwerk an. Wenn du sowieso schon VXLAN nutzt, dann kannst du auch deine Vlans tunneln. Oder wenn du eine auf L2 transparente Standleitung hast. Das tunneln der Vlans macht aber nicht immer Sinn. Wie schon geschrieben hängen hier sehr viele Faktoren davon ab. Pauschal, würde ich sagen, kannst du dich hier nicht auf ein "Ja" oder "Nein" festlegen.
 
Zurück
Oben