Branch-Connectivity-Blueprint: MPLS/Metro-E vs. Internet-VPN mit Cisco-Routern

Für Branch-Connectivity gibt es zwei dominierende Blaupausen: private WAN-Services wie MPLS/Metro-E und Internet-basierte VPN-Modelle (typischerweise IKEv2/IPsec) auf Cisco-Routern. Beide Ansätze können enterprise-tauglich sein – aber sie unterscheiden sich in Kostenstruktur, Betriebsmodell, Skalierbarkeit, Security-Verantwortung und Fehlersuche. Dieses Blueprint hilft Ihnen, die richtige Architektur zu wählen, klare Anforderungen zu formulieren und die Umsetzung/Abnahme so zu planen, dass Standorte stabil online bleiben.

Entscheidungslogik: Was Sie zuerst klären müssen

Die Technik folgt dem Betriebsziel. Bevor Sie MPLS/Metro-E oder Internet-VPN vergleichen, definieren Sie Servicekritikalität, Traffic-Profile und Governance-Anforderungen.

• Kritikalität: P1/P2/P3, benötigtes Servicefenster (8×5/24×7)
• Traffic: Office/SaaS vs. Rechenzentrumslast, Voice/UC, POS/IoT
• Standortanzahl: 5, 20+, global/regional
• Security/Governance: Audit, Segmentierung, Change-Prozesse
• Resilienz: Single Link vs. Dual-ISP, Path-Down-Erkennung

Blueprint A: MPLS/Metro-E mit Cisco-Routern (Private WAN)

MPLS/Metro-E liefert ein privates Transportnetz. Security kann (je nach Provider) teilweise „im Netz“ liegen, aber im Enterprise sollten Segmentierung und Management trotzdem am Kundengerät kontrolliert werden.

• Transport: Provider-WAN als private L2/L3 Domäne
• Routing: häufig BGP/OSPF/Static zum Provider-PE/CE
• QoS: Provider kann Klassen übernehmen, trotzdem lokale Shaping-Strategie nötig
• Operations: Provider übernimmt Teile der Transport-Fehlersuche

Typische CE-Checks (MPLS/Metro-E)

show ip interface brief
show ip route summary
show ip ospf neighbor
show bgp summary

Blueprint B: Internet-VPN mit Cisco-Routern (Public Transport + Crypto)

Beim Internet-VPN ist der Transport „best effort“; Stabilität entsteht durch Redundanz (Dual-ISP) und sauberes VPN-Design. Security liegt vollständig in Ihrer Verantwortung, ist dafür aber auch vollständig kontrollierbar.

• Transport: Internet (DIA/BB), oft günstiger und schneller bereitstellbar
• Security: IKEv2/IPsec als Standard, No-NAT, Krypto-Standardisierung
• Topologien: Hub-and-Spoke (Standard) oder DMVPN (skalierbar)
• Operations: mehr Eigenverantwortung, mehr Monitoring/Runbooks nötig

VPN-Verifikation (Pflicht)

show crypto ikev2 sa
show crypto ipsec sa
show crypto session detail

Vergleich: Kosten, Time-to-Delivery und Skalierung

Die größte Differenz liegt häufig nicht in Technik, sondern in Bereitstellungszeit und Betriebsmodell. Internet-VPN skaliert oft schneller, MPLS/Metro-E hat Vorteile bei planbarer Private-WAN-Konnektivität.

• Kosten: Internet-VPN häufig günstiger pro Standort, MPLS/Metro-E teurer aber „private“
• Bereitstellung: Internet-Anschlüsse oft schneller, MPLS kann länger dauern
• Skalierung: Hub-and-Spoke/DMVPN skaliert gut, MPLS skaliert über Provider
• Governance: beide brauchen Standards (Naming/IP-Plan/Versionierung)

QoS und Voice/UC: Wo der Unterschied praktisch wird

Bei Voice/UC ist nicht nur Bandbreite relevant, sondern Loss/Jitter. MPLS kann Vorteile bieten, wenn Provider-QoS end-to-end sauber umgesetzt ist. Internet-VPN braucht konsequentes Shaping und Monitoring.

• MPLS: QoS-Klassen können providerseitig priorisiert werden (je Vertrag)
• Internet-VPN: Shaping am WAN, Klassen lokal, Tests unter Last Pflicht
• Beide: KPI-Messung (RTT/Loss) und Alarmierung sind Pflicht

QoS-Verifikation (Auszug)

show policy-map interface
show interfaces | include output drops|queue

Resilienz: Dual-ISP als Universalhebel (besonders für Internet-VPN)

Für kritische Standorte ist Dual-ISP fast immer der wichtigste Baustein – unabhängig vom WAN-Modell. Entscheidend ist Path-Down-Erkennung per IP SLA/Tracking, nicht nur Link-Down.

IP SLA + Tracking (Beispiel)

ip sla 10
 icmp-echo 1.1.1.1 source-interface GigabitEthernet0/0
 frequency 5
 timeout 1000
ip sla schedule 10 life forever start-time now
track 10 ip sla 10 reachability

Checks für Path-Down/Fallback

show ip sla statistics
show track
show ip route 0.0.0.0

Security-Blueprint: Segmentierung bleibt in beiden Modellen Pflicht

Unabhängig vom Transport gilt: Branches müssen sauber segmentiert sein (Users/Guest/IoT/MGMT). MPLS ist nicht automatisch „sicher“, Internet-VPN ist nicht automatisch „unsicher“ – entscheidend sind Policies und Management-Hardening.

• Guest: nur Internet, interne Netze blockiert
• IoT/POS: Whitelist, minimale Ziele/Ports
• MGMT: SSH-only, Access-Class, AAA/Accounting (Enterprise)
• Audit: NTP + Syslog zentral

Security-Checks (kurz)

show ip ssh
show ntp status
show logging | last 50
show access-lists

Operability: Welche Architektur ist leichter zu betreiben?

MPLS/Metro-E delegiert Teile des Transports an den Provider, Internet-VPN erfordert mehr Eigenmonitoring. Dafür bietet Internet-VPN oft bessere Standardisierbarkeit (Templates) und klare Traffic-Kontrolle über Policies.

• MPLS: Provider-Tickets wichtiger, Circuit-IDs und Eskalationspfade Pflicht
• Internet-VPN: VPN/Path-Monitoring Pflicht, Runbooks stärker standardisieren
• Beide: zentraler Log- und Monitoring-Stack (NTP/Syslog/SNMPv3) notwendig

Abnahme (ATP/UAT): Tests, die Sie in beiden Modellen fordern sollten

Ein Branch gilt erst als „online“, wenn End-to-End Tests bestanden sind. Definieren Sie Testfälle und Evidence. Besonders wichtig sind Failover- und VPN-Traffic-Nachweise.

• Internet/DNS/HTTPS aus Users
• Guest-Isolation (intern blockiert, Internet erlaubt)
• Erreichbarkeit zentraler Services (DC/Cloud) gemäß Policy
• VPN: SA + Traffic-Nachweis (bei Internet-VPN)
• Failover: Link-Down und Path-Down (bei Dual-Links)

Evidence-Set (Copy/Paste)

show ip interface brief
show interfaces counters errors
show ip route 0.0.0.0
show ip route summary
show ip sla statistics
show track
show crypto ikev2 sa
show crypto ipsec sa
show ntp status
show logging | last 100

Praktische Entscheidungshilfe: Wann welches Modell passt

Nutzen Sie diese Zuordnung als Startpunkt. In vielen Unternehmen ist die beste Lösung hybrid: MPLS/Metro-E für kritische Hubs plus Internet-VPN als Backup oder für kleinere Standorte.

• MPLS/Metro-E: strenge QoS-Anforderungen, private Transportdomäne, Provider-Operations gewünscht
• Internet-VPN: schnelle Skalierung, Kostenfokus, hohe Standardisierung, volle Security-Kontrolle
• Hybrid: kritische Standorte mit Dual-WAN (MPLS + Internet), Resilienz maximieren

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab (CCNA)

Hallo! Ich bin ein CCNA-Network Engineer und unterstütze Sie bei Cisco Router- und Switch-Konfigurationen – inklusive eines vollständigen Cisco Packet-Tracer-Labs (.pkt). Ideal für Lern-/Übungsszenarien, Validierung oder eine saubere Demo-Topologie.

Was ich (je nach Paket) umsetze

• Switching: VLANs, Trunking (802.1Q), Port-Zuweisung, STP-Basics (PortFast/BPDU Guard wo sinnvoll)

• Routing: Default/Static Routing oder OSPF, Inter-VLAN Routing (Router-on-a-Stick)

• Services: DHCP (Pools/Scopes), NAT/PAT für Internet-Simulation

• Optional Security: Basic ACLs und SSH-Hardening

• Test & Verifikation: Ping/Traceroute + wichtige Show-Commands (mit erwarteten Ergebnissen)

Sie erhalten

• ✅ Packet Tracer .pkt Datei

• ✅ Saubere Konfigurations-Notizen pro Gerät

• ✅ Verifikations-Checkliste + erwartete Outputs

• ✅ Kurze Dokumentation (wie die Topologie funktioniert)

Bitte schreiben Sie mir vor der Bestellung, damit wir Scope, Packet-Tracer-Version, Geräteanzahl und Deadline klären.

Konfiguriere Cisco Router & Switches | Cisco Packet-Tracer-Labs. Finden Sie mich auf Fiverr.