Mobile-Menu

MPLS, VPN, SD-WAN und SASE – Weitverkehrsvernetzung im Wandel Gehört hybriden WAN-Modellen die Zukunft?

Von Johan van den Boogaart

Multiprotocol Label Switching, kurz MPLS, stellt Unternehmen mit Cloud- und SaaS-Umgebungen vor Herausforderungen. Passt MPLS zur Digitalen Transformation oder sind Alternativen heute besser für die Weitverkehrsvernetzung geeignet?

Anbieter zum Thema

In Zeiten von Clouds und mobile Work hat MPLS ausgedient und es sind neue Lösungen zur Edge-Anbindung und Zweigstellenvernetzung gefragt.
In Zeiten von Clouds und mobile Work hat MPLS ausgedient und es sind neue Lösungen zur Edge-Anbindung und Zweigstellenvernetzung gefragt.
(Bild: © momius - stock.adobe.com)

MPLS in den letzten Jahren gute Dienste für die Weitverkehrsvernetzung geleistet. Durch die wachsende Auslagerung von Anwendungen in die Cloud und die steigende Mobilität stehen Organisationen nun jedoch vor Herausforderungen, die MPLS nicht bewältigen kann.

Multiprotocol Label Switching (MPLS) ist eine Routingtechnologie, die in den letzten Jahren zuverlässige und schnelle Netzwerkverbindungen ermöglicht hat. Inzwischen haben sich die Anforderungen an Netzwerke deutlich weiterentwickelt. Durch die digitale Transformation sind die Strukturen gänzlich andere als bei der Einführung von MPLS. 85 Prozent des gesamten Internetverkehrs gehen aktuell in die Cloud, und laut jüngsten Erhebungen von Eurostat haben zum Ende 2021 fast die Hälfte (41 %) aller EU-Unternehmen Cloud Computing genutzt.

Zudem sind Mitarbeiterinnen und Mitarbeiter längst nicht mehr nur in den Unternehmensniederlassungen beschäftigt, sondern weitgehend ortsunabhängig tätig. Viele Firmen habe ihre Richtlinien dahingehend geändert. Die Anforderungen an verfügbare Bandbreite sind gestiegen, und die Kosten für die Bereitstellung von MPLS hoch.

Dass Internet-(Bandbreite) zum Konkurrenten für MPLS geworden ist, dafür hat maßgeblich die Public Cloud gesorgt. MPLS ist hier ganz offensichtlich nicht in der Lage, aktuelle Netzwerkanforderungen zu erfüllen. Damit stellt ich die Frage: Welche Technik ist geeignet, MPLS zu ersetzen?

VPNs sind komplex und als Alternative zu MPLS kaum geeignet

Alternativ zu MPLS setzen einige Unternehmen auf VPNs, zum Beispiel über IPSec. Dadurch erreicht man zwar maximale Flexibilität und Unabhängigkeit, gleichzeitig besteht das WAN aber aus zahlreichen kleinen Netzwerken, die über verschiedene Provider miteinander verknüpft sind. Die Kosten sind niedriger als bei MPLS, allerdings ist auch die Leistung schlechter, weil die Daten nur so schnell und verlustarm übertragen werden, wie das Netz es gerade zulässt. Zudem ist die Verwaltung sehr viel komplizierter.

Es existieren keine einheitlichen Technologien, und durchgängige SLAs oder QoS sind kaum umsetzbar. Beim Einsatz von VPNs kann man eher erwarten, dass die Verfügbarkeit sinkt. VPN kann Unternehmen aber als Übergangslösung dienen, wenn MPLS mit den eingesetzten Clouddiensten verbunden werden soll. Besser ist es allerdings, gleich auf eine zukunftsfähige Alternative zu setzen.

SD-WAN ist nur Teil der Lösung

Viele Unternehmen betrachten Software-Defined WAN (SD-WAN) als eine Ersatztechnologie für MPLS. Die Technik nutzt die Vorteile günstiger Internetverbindungen, sodass die Kosten deutlich niedriger ausfallen als bei MPLS. Außerdem haben IT-Abteilungen so die Möglichkeit, sich von der Abhängigkeit von Telekommunikationsunternehmen zu befreien und die Infrastruktur selbst zu betreiben. SD-WAN bietet eine erschwingliche Option, um regionale Unternehmensniederlassungen anzubinden.

Laut einer aktuellen Umfrage von Statista plant fast die Hälfte aller befragten Unternehmen den Umstieg auf SD-WAN. Das liegt nicht zuletzt daran, dass SD-WAN kostengünstiger ist. Die Technik macht es Unternehmen zudem leichter, die Kontrolle über die flexible Planung, Bereitstellung und Verwaltung neuer Geräte zu behalten.

SD-WAN löst zwar die Kosten- und Telekommunikationsprobleme im Zusammenhang mit MPLS. Die übrigen Anforderungen bleiben aber weitgehend unberücksichtigt. Außerhalb von regionalen Verbindungen unterliegt SD-WAN weiterhin den Unwägbarkeiten des Internet-Routings und es bleibt ineffizient. In den meisten Fällen fungiert SD-WAN als Ergänzung zu MPLS, um die Nachteile beider Technologien in den Griff zu bekommen. Das wiederum sorgt für mehr Komplexität.

Ein weiteres Manko sind die fehlenden Sicherheitsfunktionen wie NGFW, URL-Filtering, Malware-Erkennung und IPS/IDS. Wer SD-WAN nutzt, muss diese Tools zusätzlich bereitstellen und integrieren. Hinzu kommt: SD-WAN-Geräte sind einfach nur Geräte. Sie verbinden Standorte, aber keine Remote-Benutzer. Um diese einzubinden, braucht man die entsprechenden Zugriffs- und Sicherheitslösungen. SD-WAN trägt zwar dazu bei, den Datenverkehr besser zu kontrollieren und Anwendungen zu priorisieren. Trotzdem eignet es sich nur bedingt für die Cloud. Es ist schwierig, SD-WAN-Geräte in der Nähe einer SaaS- und IaaS-Instanz zu konfigurieren und bereitzustellen – wenn es denn überhaupt möglich ist. In der Praxis kommen Firmen um einen zusätzlichen Sicherheitsansatz nicht herum.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zu Netzwerktechnik, IP-Kommunikation und UCC

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

Wenn man so will, erfüllt SD-WAN die altbekannte Vorliebe der IT für Einzellösungen. Nur wird die Bereitstellung mit jeder dieser Einzellösungen komplexer, und es mangelt zunehmend an Visibilität. Ohne einheitliche Ansicht gestaltet sich die Fehlersuche schwierig. Durch die unzähligen Komponenten, die aktualisiert und gewartet werden müssen, wird die Sicherheit löchrig und es entstehen weitere Schwachstellen.

Agilität, Transparenz, Kosten und Sicherheit sind nicht verhandelbar

Die Infrastruktur im Unternehmen muss in der Lage sein, die Anwendungen in der Cloud, vor Ort und in hybriden Netzwerken oder Multi-Cloud-Umgebungen so optimal wie möglich bereitzustellen. Dabei darf es keine Rolle spielen, wo die Workloads ausgeführt werden oder von wo aus sich die Benutzer mit den Workloads verbinden. Agilität, Kosten und maximale Sicherheit sind zentrale Faktoren.

MPLS wird in vielen lokalen Netzwerken weiterhin eine Rolle spielen. Die Technologie ist ausgereift, schnell, sicher und stabil. Doch wenn es um die Anbindung von öffentlichen oder hybriden Clouds sowie Multi-Cloud-Umgebungen geht, sind Alternativen nicht mehr wegzudenken. Sie werden in großen Netzen entweder parallel zu MPLS eingesetzt oder lösen MPLS komplett ab. Etwa dann, wenn das gesamte Netz auf Cloud-Lösungen wie SaaS, IaaS und SASE umgestellt wird.

Experten erwarten hier hybride WAN-Modelle, bei denen MPLS im internen Netz und die Alternativen für Hochgeschwindigkeitsverbindungen in der Cloud eingesetzt werden. Um als Alternative zu MPLS eingesetzt werden zu können, müssen solche Technologien natürlich einen mindestens ebenso hohen Durchsatz liefern und gleichzeitig besser mit Cloud-Technologien zusammenarbeiten. Hinzu kommen Anforderungen wie globale Einsatzmöglichkeiten bei geringen Kosten.

Secure Access Service Edge: SD-WAN und mehr

Bei Secure Access Service Edge (SASE) handelt es sich weniger um eine neue Technologie als vielmehr um einen ganzheitlichen Nutzungs- und Lösungsansatz. Sicherheit und Netzwerke werden zusammengeführt, und dank der Verlagerung in die Cloud robuste Sicherheitsdienste überall verfügbar. Durch die Digitalisierung und wachsende Mobilitätsanforderungen, wird es für Unternehmen immer schwieriger, die globale Netzwerkleistung ohne inakzeptable Latenzzeiten oder Kostensteigerungen aufrecht zu erhalten. Cloud- und Mobilitätslösungen fordern weitere Network- & Security-Lösungen und bremsen eine Konsolidierung der Hardware. Geht es dann an die Migration in die Cloud, mangelt es oft an der nötigen Visibilität und Datensicherheit für die Anwendungen.

Nach der Definition von Gartner aus dem Jahr 2019 verbindet und sichert SASE sämtliche Unternehmensbestandteile: Zweigstellen, Rechenzentren, Remote-Benutzer, IaaS- und SaaS-Ressourcen. Sicherheit und Netzwerkverarbeitung laufen primär in der SASE-Cloud, wobei jeder "Edge"-Punkt auf die entsprechende Technologie angewiesen ist, um sich mit der SASE-Cloud zu verbinden. Für Niederlassungen und Büros erfordert SASE die Verwendung von SD-WAN-Geräten oder, falls das nicht möglich ist, IPsec-Verbindungen. Remote-Benutzer nutzen mobile Clients oder clientlose Verbindungen. Die SASE-Cloud-Instanzen sollten dabei nahe genug an den IaaS- und SaaS-Ressourcen positioniert sein, um sie zu einem Teil der Cloud zu machen.

SASE verlagert Sicherheit und Netzwerk in die Cloud, zusammen mit den Benutzern, den von ihnen verwendeten Anwendungen und ihren Daten. Im Zuge dessen sollte die Netzwerktechnik auf den aktuellen Stand gebracht werden.

Bei SASE geht es um Konvergenz, nicht um Technologie

SASE beschreibt einen architektonischen Wandel, der die Art und Weise, wie Netzwerk- und Sicherheitsfunktionen für Benutzer, Standorte und Anwendungen weltweit bereitgestellt werden, grundlegend verändert.

Als die Analysten von Gartner im Jahr 2019 SASE in ihrem Bericht "The Future of Network Security is in the Cloud" vorstellten, haben sie besonders das Thema Konvergenz von Netzwerk- und Netzwerksicherheitsdiensten als wichtigstes architektonisches Merkmal von SASE hervorgehoben. Laut Gartner „führt dieser Markt Netzwerk- (z.B. softwaredefiniertes WAN [SD-WAN]) und Netzwerksicherheitsdienste (z.B. SWG, CASB und Firewall as a Service [FwaaS]) zusammen. Wir nennen das Secure Access Service Edge, wobei die Lösung überwiegend als cloudbasierter Dienst bereitgestellt wird.“

Eindeutig ausgeschlossen ist damit das Aneinanderketten unterschiedlicher Produkte. Denn daraus wird weder aus technologischer- noch aus Managementsicht ein konvergenter Ansatz. Die Botschaft ist im Markt angekommen, und etliche Anbieter haben in der Folge begonnen, solche Single-Vendor-Lösungen zu entwickeln. Gartner schätzt in seinem Market Opportunity Map: Secure Access Service Edge, Worlwide Report, dass bereits bis 2023 mindestens 10 Anbieter eine SASE-Lösung aus einer Hand anbieten werden. Konvergenz ist zwingend eine der Schlüsselvoraussetzungen.

Fazit

SD-WAN kann in einigen Fällen MPLS ersetzen, aber bei einer globalen Bereitstellung oder einer Bereitstellung, bei der Remote-Zugriff und Sicherheit eine Rolle spielen, kommt SD-WAN an seine natürlichen Grenzen. Es braucht einen übergreifenden architektonischen Ansatz, der die aktuellen Anforderungen an Agilität und Geschwindigkeit berücksichtigt.

Johan van den Boogaart.
Johan van den Boogaart.
(Bild: Cato Networks)

Dazu hat Gartner die SASE-Kategorie eingeführt, einen Ansatz, den Firmen und Organisationen inzwischen auf breiter Basis unterstützen. Mit der Migration in die Cloud und SASE ist es jetzt möglich, den Schwerpunkt zu verlagern und MPLS zukünftig in Gänze abzulösen. Dafür sprechen eine Reihe von Faktoren: SASE bietet SLAs, nutzt für die „mittlere Meile“ nicht das öffentliche Internet und überwindet die Nachteile von SD-WAN.

Über den Autor

Johan van den Boogaart ist Regional Sales Director bei Cato Networks.

(ID:48264458)