Сетевые технологии: SD-WAN или MPLS?

Один из наиболее распространенных вопросов, которые задают себе архитекторы сетевой безопасности и директора по информационной безопасности при планировании своей WAN-архитектуры, заключается в том, на базе какой технологии она будет построена – SD-WAN или MPLS?  

Вопрос действительно важный. Решение о переходе на SD-WAN имеет значительные последствия для бизнеса. Если коротко, то ответ будет следующим: технология SD-WAN обеспечивает более высокую прозрачность, лучшую доступность и повышенную производительность, а также дает дополнительную свободу действий. Именно поэтому в последние несколько лет эксперты Fortinet наблюдают рост интереса к SD-WAN.

Еще одним важным аспектом, который обуславливает рост этого интереса, является гибкость данной технологии. Коммутация средствами MPLS как правило приводит к созданию более жестких, фиксированных соединений, которые сложнее приспособить для организации столь востребованного сегодня динамичного межсетевого взаимодействия при объединении филиалов в одну сеть. Кроме того, MPLS не поддерживает такие вещи как распознавание приложений или комплексное управление пропускной способностью для запуска требовательных к сетевым задержкам приложений.

Вроде бы, вывод очевиден. Однако не все так просто: главная сложность заключается в том, что большинство решений на базе SD-WAN не обеспечивают такого же уровня безопасности, что и MPLS. По сути, MPLS позволяет создать защищенный туннель поверх защищенной сети поставщика сетевых услуг. Мы считаем, что при выборе решения SD-WAN необходимо принимать во внимание целый ряд различных аспектов, однако чтобы реализовать более эффективную стратегию, чем это возможно с применением MPLS, технологии SD-WAN должны включать в себя интегрированную безопасность, при этом координация как функций безопасности, так и сетевых функций должна осуществляться посредством единой интегрированной платформы управления.

Но, прежде чем идти дальше, давайте остановимся и прежде всего обсудим, когда и при каких условиях вашей организации следует рассмотреть возможность перехода от MPLS к SD-WAN.

Преимущества SD-WAN перед MPLS

Чтобы выделить ключевые преимущества SD-WAN перед MPLS, достаточно обратить внимание на следующие три параметра: стоимость, безопасность и производительность. Где-то эти преимущества будут не столь однозначны, а в каких-то определенных ситуациях эти преимущества и вовсе могут оказаться недостатками, но обо всем по порядку.

Решения на базе SD-WAN могут оказаться более экономичными и выгодными по сравнению с MPLS

В прошлом многие организации подключали удаленные филиалы и торговые точки к единому центру обработки данных через концентратор и использовали модель WAN, которая основывалась на отдельных соединениях MPLS. В результате для всех данных, рабочих процессов и транзакций, включая доступ к облачным сервисам или интернету, требовалась магистральная линия к центру обработки данных, где трафик обрабатывался и перераспределялся. По сравнению с решением на базе SD-WAN, с экономической точки зрения такой подход был чрезвычайно неэффективным.

Технология SD-WAN позволяет снизить издержки, обеспечивая оптимизированное многоточечное подключение с использованием распределенных частных точек обмена и контроля трафика, что гарантирует пользователям защищенный локальный доступ к нужным им сервисам – не важно, находятся ли эти сервисы в сети или в облаке – и при этом обеспечивает прямой доступ к облаку и Интернет-ресурсам.

Решение Secure SD-WAN обеспечивает более высокий уровень безопасности, чем решения на базе технологии MPLS

На первый взгляд, несомненным преимуществом MPLS является то, что эта технология позволяет организовать защищенный и управляемый канал между филиалами и центром обработки данных поверх собственной магистральной сети поставщика коммуникационных услуг. Соединения в публичной сети, без установки дополнительных решений, не обеспечивают столь высокий уровень защиты.

Но такое сравнение было бы не совсем корректным. MPLS не позволят осуществлять какой-либо анализ передаваемых данных. В MPLS архитектуре такие задачи по-прежнему возлагаются на клиента. Даже при прохождении трафика по MPLS соединению, этот трафик должен инспектироваться на предмет вредоносного кода или других уязвимостей, что требует развертывания межсетевого экрана и добавления ряда функций безопасности как минимум на одном из узлов, между которыми устанавливается соединение.

Но будем честны, многие решения SD-WAN тоже имеют схожие проблемы. Большинство решений SD-WAN предполагают лишь базовые функции безопасности, и при этом требуют установки дополнительных решений безопасности поверх базовой инфраструктуры. И если организация пытается добавить функции обеспечения защиты к своим соединениям SD-WAN после развертывания инфраструктуры, то зачастую такая задача оказывается сложнее, чем то, на что они рассчитывали изначально.

SD-WAN отличается более высокой производительностью, чем MPLS

С точки зрения производительности технология MPLS надежно гарантирует фиксированный уровень пропускной способности. Хотя изначально это может показаться преимуществом, сегодняшний трафик имеет крайне непредсказуемый характер. В результате организациям приходится арендовать MPLS соединения исходя из наихудшего сценария загрузки, а это означает, что большую часть времени дорогостоящие каналы не используется, а в других случаях – из-за постоянно растущего объема генерируемых современными сетями и устройствами данных – фиксированные соединения MPLS могут ограничивать производительность сети.  

Конечно, некоторые MPLS подключения предполагают использование скользящей шкалы, но даже в этом случае вы будете сталкиваться с ограничениями из-за того, что ваша инфраструктура будет не в состоянии проанализировать характер передаваемого трафика и в динамическом режиме вносить соответствующие изменения в работу сети.

Ситуация усугубляется тем, что помимо определенной пропускной способности, некоторые приложения – например, голосовые или видео-сервисы – требуют определенного уровня сетевых задержек, и постоянно отслеживают этот параметр. При использовании одного и того же сетевого туннеля несколькими различными приложениями, приоритет должен отдаваться трафику, предъявляющему повышенные требования к сетевым задержкам, а для этого необходимо уметь распознавать трафик различных приложений, формировать и выравнивать этот трафик (shaping), балансировать нагрузку и настраивать приоритеты для различных соединений, что просто не предусмотрено в MPLS. 

Решения SD-WAN способны распознавать приложения и могут соответствующим образом адаптировать пропускную способность сети и скорректировать работу других сервисов. Эта технология может инициировать сразу несколько параллельных подключений, а затем обеспечить точную балансировку нагрузки между ними и даже добавлять новые соединения в случае падения доступной пропускной способности, чтобы гарантировать требовательным к сетевым задержкам приложениям необходимую скорость и пропускную способность. Именно для этого в основе решения Secure SD-WAN компании Fortinet используется первый в отрасли специализированный процессор SD-WAN, который разработан, чтобы обеспечить еще более быстрое управление приложениями, и поддерживает более 5000 часто используемых приложений.

Когда решения на базе MPLS могут оказаться лучше, чем одно лишь решение SD-WAN

Тем не менее существуют несколько случаев, когда решение на базе MPLS может оказаться лучшим выбором, чем одно лишь «голое» решение SD-WAN. Например, MPLS обеспечивает чистое и защищенное соединение, которое особенно актуально при передаче отдельных видов данных, при работе некоторых специальных приложений или при осуществлении каких-то определенных транзакций – особенно в тех случаях, где крайне важно обеспечить высокий уровень целостности данных и не допустить несанкционированного доступа. Однако поскольку MPLS технологию можно использовать вместе с любым SD-WAN решением, речь не идет о какой-то дилемме. Критически важные транзакции могут по-прежнему осуществляться с помощью MPLS соединений.

Более того, на некоторых рынках – в частности, в США – соединения на базе MPLS могут оказаться весьма дорогостоящими. Поэтому в этих регионах замена MPLS на соединения поверх публичной Интернет-сети может оказаться довольно эффективным с экономической точки зрения решением. Однако даже в тех случаях, когда MPLS соединения не столь дорогие, или когда опасения по поводу безопасности и надежности намного важнее, чем разница в стоимости, SD-WAN можно по-прежнему развертывать поверх MPLS соединения, чтобы обеспечить дополнительную защиту и функциональность, чем это возможно при использовании одного лишь MPLS решения. Все это достигается за счет того, что SD-WAN обеспечивает более высокую гибкость, более полный и точный контроль траффика, интегрированные функции безопасности, а также возможность одновременно использовать различные стратегии соединений – MPLS, публичный Интернет, IPSec, SSL и т.д., и все это – с использованием все той же инфраструктуры SD-WAN.

Решение Secure SD-WAN выигрывает у MPLS практически при любом сценарии

Практика Fortinet показывает, что преимущества решения SD-WAN перевешивают таковые у одиночного решения MPLS. Это связано с тем, что сегодняшний трафик, включающий в себя трафик современных веб-приложений и сложных рабочих процессов, требует более гибкой и динамической сетевой инфраструктуры, чем это могут обеспечить традиционно статические соединения на базе MPLS.

Но традиционные решения SD-WAN уступают, когда речь заходит о безопасности. С другой стороны, решение Secure SD-WAN не только обеспечивает дополнительный уровень управления и гибкие возможности подключения для удаленных филиалов, которые недоступны в MPLS, но также предлагают глубокую, хорошо интегрированную защиту. Все это позволяет снизить издержки на управление и расширяет возможности контроля и управления благодаря централизованной консоли управления ИТ-инфраструктурой или SOC-решениям, которые можно использовать в самой отдаленной периферии распределенной WAN сети.

Таким образом, только вы обладаете достаточной информацией, чтобы решить, какая именно инфраструктура – на базе SD-WAN или MPLS – будет лучше соответствовать вашим потребностям. Источник