MPLS (Multiprotocol Label Switching) is al heel lang een populaire techniek om bedrijfsnetwerken op verschillende locaties op een betrouwbare manier met elkaar te verbinden via internet. En dit met gegarandeerde prestaties. Er kleeft intussen een aantal duidelijke nadelen aan deze verouderde techniek. Gelukkig zijn er alternatieve en voordelige oplossingen om grootschalige, volledig vermaasdse ‘mesh’ netwerken op te zetten die dezelfde mogelijkheden bieden als MPLS. Maar dan zonder de nadelen.
Omdat MPLS een locatie verbindt met alle andere locaties in het netwerk en geen enkele vorm van filtering biedt, is het volledig transparant voor virussen of hackers. Daarmee is MPLS vanuit beveiligingsperspectief een drama. Daarnaast is een MPLS-netwerk erg kostbaar in vergelijking met andere soorten netwerken. Voor een 20Mbps MPLS-verbinding moet al snel €150.000 per jaar worden betaald. Wanneer je dit vergelijkt met de veel lagere kosten van een breedband internetverbinding, zijn die hoge kosten eigenlijk niet meer acceptabel.
Het nooit eindigende contract
Het grote addertje onder het gras zit ‘m echter in de looptijd van de contracten met de provider wanneer fysieke locaties wijzigen of er nieuwe locaties worden toegevoegd. Normaal gesproken worden de verbindingskosten gespreid over de hele looptijd van het contract. Een looptijd van drie of vier jaar is in de meeste gevallen nog steeds min of meer standaard. Stel echter dat er na twee jaar een nieuwe locatie aan het MPLS-netwerk toegevoegd moet worden. Of er moet een bestaande locatie gewijzigd worden. Dan moeten de kosten die normaal gesproken over een periode van drie jaar worden gespreid, nu in slechts één jaar worden betaald. Om die kosten weer op het reguliere niveau te brengen, zou voor de nieuwe link opnieuw een contract met een looptijd van drie jaar moeten worden gesloten. Omdat organisaties nu eenmaal blijven veranderen, komen klanten zo terecht in een contractconstructie waar geen eind aan komt.
Ook is het ontwerpen, inrichten en onderhouden van een MPLS-netwerk ingewikkeld en tijdrovend. De configuratie van een MPLS-core is een complexe taak. Zelfs een kleine fout kan er al voor zorgen dat het hele netwerk uitvalt. En ook als een organisatie beschikt over competente technici, zorgen de constante aanpassingen die nodig zijn om het netwerk in lijn te brengen met de veranderingen van de organisatie ervoor dat het uiteindelijke netwerk nooit echt optimaal is.
Het alternatief voor MPLS
Gelukkig zijn er alternatieven voor het oude MPLS-netwerk. Zo’n alternatief moet echter wel aan een aantal minimale eisen voldoen. Zo moeten de netwerkprestaties end-to-end constant zijn. Daarnaast moet het netwerk de mogelijkheid bieden om verschillende prioriteiten toe te kennen aan verschillende soorten netwerkverkeer (Class-of-Service; CoS). En zo’n netwerk moet makkelijk schalen naar honderden of zelfs duizenden nodes.
Maar een netwerk dat alleen voldoet aan deze minimale eisen is voor de meeste organisaties niet voldoende. Voor een volwaardig – en beter! – alternatief moet er nog een aantal zaken worden toegevoegd, zoals:
- De mogelijkheid om mesh-links dynamisch op te zetten op het moment dat ze nodig zijn. Hiermee wordt de valkuil rond de ‘eeuwig durende’ contacten met providers vermeden;
- Redundantie via meerdere links;
- Volledige netwerksecurity voor de lokale netwerken;
- Een netwerk dat volledig is afgeschermd tegen toegang van buitenaf;
- Class-of-Service op (sub)applicatieniveau in plaats van op TCP/UDP-poorten;
- Direct inzicht in en rapportage over verkeerspatronen en lijnbelastingen;
Daarnaast moet het netwerk makkelijk te beheren zijn door lokale IT-teams.
Lagere kosten en andere voordelen
Zo’n modern mesh-netwerk biedt verschillende voordelen. Voor het management is het belangrijkste voordeel dat de investeringskosten voor next-gen firewalls en de benodigde licenties over het algemeen binnen 12 tot 18 maanden worden terugverdiend. Die kosten zijn lager en worden sneller terugverdiend dan bij een upgrade van een bestaand MPLS-netwerk.
En er zijn nog andere voordelen:
- De lokale IT-afdelingen van de verschillende vestigingen hebben directe controle over hun eigen netwerk (CoS, firewall, routing, IDP, etc.);
- IT heeft inzicht in het gebruik van protocollen, applicaties en bandbreedte en kan daarover rapporteren;
- Transparante en volledig automatische failover, waarbij de CoS direct wordt aangepast aan de nieuwe situatie.
Voorwaarden en potentiële valkuilen
Organisaties die simultaan MPLS- en internet VPN-netwerken willen gebruiken, moeten bereid zijn om CoS-functies van de MPLS-kern over te dragen naar de next-gen firewalls. Ook moeten organisaties in staat zijn om zelf hun eigen routing in te richten en te beheren.
Aangezien we hier te maken hebben met grootschalige, ‘non stateful’ netwerken, meestal met wereldwijde extensies, is er een zeer grote kans (99,9%) dat er circulaire routingloops zijn die voorheen onopgemerkt bleven maar die problemen kunnen opleveren bij stateful netwerkapparatuur zoals firewalls.
En als MPLS-netwerken worden uitgebreid met internet VPNs, moet er vertrouwd worden op de juiste configuratie van hardware die door de provider wordt geleverd. Deze configuratie moet geschikt zijn voor de volledige nieuwe netwerkstructuur, niet alleen voor de meer beperkte behoeften van de provider
Raf Vervloessem is Regional Director Benelux, Nordics en Frankrijk bij Barracuda Networks.
Wim Tijman, Sr. Consultant en Architect Networking en Security bij Ditp is co-auteur van deze blog.
