Andrea Danti - Fotolia

SD-WAN, DMVPN oder IPsec-Tunnel: Was ist wann am besten?

Software-defined WAN, DMVPN und IPsec-Tunnel sind Technologien mit spezifischen Vor- und Nachteilen. Unser Vergleich zeigt, für welche Anwendungsfälle sie sich optimal eignen.

Obwohl Software-defined WAN (SD-WAN) seit einigen Jahren das Trendthema im Bereich IT-Networking ist, kann nicht jeder von dieser Technologie profitieren. IPsec-Tunnel und Dynamic Multipoint VPN, kurz DMVPN, haben immer noch ihre Berechtigung im Unternehmen und werden auch in den kommenden Jahren weiter eine praktikable Option bleiben.

Dies vorausgeschickt, sollten IT-Leiter herausfinden, welche Möglichkeiten für die Remote-Konnektivität im jeweiligen Anwendungsfall optimal sind. SD-WAN versus Dynamic Multipoint VPN versus IPsec-Tunnel: Wie sehen die Vorteile und Nachteile dieser Lösungen aus, und wie unterscheiden sie sich?

SD-WAN

SD-WAN wird beworben als moderne, kostengünstige Technologe zur Anbindung von Filialen, die höchste Zuverlässigkeit für geschäftskritische Anwendungen und solche mit geringer Latenz benötigen. SD-WAN erfordert zwei oder mehr Arten der WAN-Verbindungsarten zwischen Standorten. Diese Konnektivität besteht in der Regel aus MPLS und Breitbandinternet.

Ein Ziel von SD-WAN besteht darin, die Nutzung von kostengünstiger Konnektivität auszuweiten und gleichzeitig dieselben Anforderungen an Latenz und Durchsatz zu erfüllen. Hierbei können Unternehmen potenzielle Kosteneinsparungen erzielen.

DMVPN

DMVPN kann man sich als Weiterentwicklung des Standard-IPsec-Tunnels vorstellen, ergänzt um einige Redundanzvorteile. Während IPsec-VPN-Tunnel hartkodiert und im Wesentlichen zwischen zwei Standorten fest fixiert sind, erstellt DMVPN Tunnel zwischen Standorten je nach Bedarf. Dazu werden typische Router ohne zusätzliche Spezialfunktionen verwendet, wie dies bei SD-WAN der Fall ist.

DMVPN-Tunnel sind als Mesh-Netzwerk gestaltet, im Gegensatz zur Hub-and-Spoke-Architektur (Sterntopologie). Das bedeutet, DMVPN kann für den Datentransport eine direkte Route von einem Remote-Standort zu einem anderen nehmen, anstatt gezwungen zu sein, den Traffic zunächst durch einen Hub-Standort zu routen. Die Technologie kann auch ausgehende Pakete um ausgefallene WAN-Links herum-routen, wenn mehr als eine WAN-Verbindung an diesem Standort installiert ist.

Abbildung 1: DMVPN erstellt eine Mesh-VPN-Topologie, so dass jeder Standort sich direkt mit anderen Standorten verbindet.
Abbildung 1: DMVPN erstellt eine Mesh-VPN-Topologie, so dass jeder Standort sich direkt mit anderen Standorten verbindet.

Dieser Typ von WAN-Design ist ideal, wenn sie Wert auf Transporteffizienz zwischen Remote-Standorten legen, aber auf die Vorteile aufgrund einer geringen Latenz, wie SD-WAN sie bietet, gut verzichten können.

Beachten Sie aber, dass DMVPN dynamische Routing-Protokolle als Routing-Mechanismus nutzt. Die falsche Verwendung von dynamischen Routing-Protokollen kann zu gravierenden Risiken bei Sicherheit und Zuverlässigkeit führen, wenn sie nicht ordnungsgemäß gemanagt werden. Die Komplexität der Konfiguration wird dadurch nicht geringer. Infolgedessen empfiehlt es sich nicht, DMVPN-Tunnel zwischen Netzwerken zu erstellen, die Sie nicht komplett verwalten.

IPsec-Tunnel

IPsec-VPN-Tunnel dominierten früher die Anbindung von Remote-Standorten. Weil Netzwerkmanager Tunnel über kostengünstige Breitbandinternet-Links erstellen konnten, waren IPsec-Tunnel unglaublich preiswert im Vergleich zu Konnektivitätsoptionen für Private WAN, wie MPLS.

Sie lassen sich zudem einfach einrichten, und fast jeder kann günstige Hardware kaufen, um einen IPsec-Tunnel zu erstellen. Das ist sogar mit Firewalls und Routern aus dem Low-End-Bereich möglich.

Die Wahl der richtigen Option

Technologien wie DMVPN und SD-WAN übernehmen langsam die Vormachtstellung bei der Konnektivität von Remote-Standorten, denn sie ermöglichen effizientere Pfade und eine geringere Latenz zwischen den Standorten. Das gilt aber nur, wenn Sie beide Seiten des WANs kontrollieren. Lassen Sie uns kurz SD-WAN, DMVPN und IPsec-Tunnel miteinander vergleichen, um sicherzugehen, dass sie Ihre Anforderungen abdecken, ohne über das Ziel hinauszuschießen.

Abbildung 2: IPsec-Tunnel ermöglichen schnelle Netzwerkverbindungen zu nicht vertrauenswürdigen oder temporären Standorten.
Abbildung 2: IPsec-Tunnel ermöglichen schnelle Netzwerkverbindungen zu nicht vertrauenswürdigen oder temporären Standorten.

SD-WAN versus DMVPN. Wenn Sie Remote-Standorte haben, die eine Anbindung mit geringer Latenz für das Streaming von Sprache und Video oder für Echtzeit-Apps benötigen, aber von den Kosteneinsparungen durch eine WAN-Konnektivität profitieren können, ist SD-WAN eventuell eine gute Wahl.

Sie sollten aber berücksichtigen, dass SD-WAN häufig eine spezielle Hardware, Software und Lizenzierung voraussetzt, um zu funktionieren. Die Gesamtarchitektur kann sich auch als komplexer erweisen, was Konfiguration und Wartung betrifft. Wenn das nach zu viel Aufwand klingt und Sie in erster Linie in der Lage sein wollen, das Routing schnell auf eine sekundäre Verbindung umzuschalten, dürfte DMVPN sich besser eignen.

SD-WAN versus DMVPN versus IPsec-Tunnel. Falls Sie Ihr Netzwerk mit nicht vertrauenswürdigen oder temporären Standorten verbinden müssen, sind IPsec-Tunnel nach wie vor das Mittel der Wahl. Diese Standorte umfassen zum Beispiel die Konnektivität von Ihrem Unternehmensnetzwerk zu Drittanbietern sowie IaaS- und PaaS-Cloud-Providern. IPsec-Tunnel sind universell, und Sie können Verbindungen zu praktisch beliebigen Zielen aufbauen.

Das lässt sich für DMVPN oder SD-WAN nicht behaupten. Wenn Ihre Filialbüros keine konsistente und vorhersagbare Latenz oder die Möglichkeiten eines Failovers auf einen sekundären WAN-Link benötigen, können Sie genauso gut bei traditionellen IPsec-Tunneln bleiben. Es würde sonst keine geschäftlichen Vorteile oder Kosteneinsparungen mit sich bringen. Außerdem würden Ihre Architektur und Konfigurationseinstellungen angesichts der Anforderungen unnötig komplex.

Nächste Schritte

Welche Funktionen ein SD-WAN haben muss

Gratis-eBook: Ratgeber SD-WAN

Gratis-eBook: Managed-SD-WAN stressfrei einsetzen

Erfahren Sie mehr über Netzwerksicherheit