Internet als WAN oder lieber Hybrid WAN?

Was taugen Alternativen zu teuren MPLS-Verbindungen?

Klaus Hauptfleisch ist freier Journalist in München.
Trotz der Gefahr, etwas an Sicherheit, Zuverlässigkeit und Kontrolle einzubüßen, entdecken viele Unternehmen das Internet als deutlich günstigere und schnellere Alternative zu MPLS-Verbindungen für WAN- oder Weitbereichsnetze. Was ist zu beachten?
Foto: IBM

Cloud Computing und Applikationen wie SaaS (Software as a Service) sind dem Avaya-Manager Michael Grundl, Sales Leader Networking Central Europe, zufolge nicht mehr wegzudenken. Sie führten aber zu einem erhöhten Bedarf an Internet-Konnektivität, -bandbreite und -verfügbarkeit. Die Nutzung des Internets als Weitverkehrstransportmedium (WAN) für solche Cloud- und andere primär webgestützten Anwendungen wird ihm zufolge "gemeinhin als Internet-as-WAN verstanden". Hybrid WAN bezeichne dagegen die gleichzeitige Nutzung von Corporate WANs, die in der Regel auf Dark Fiber, Leased Line Ethernet oder MPLS-Technologien basierten.

"Demilitarisierte Zonen"

Die meisten Unternehmenskunden würden sich hinsichtlich Verfügbarkeit, Übertragungsleitung und Sicherheit nun mal ungerne auf eine "ungenügende Dienstqualität" verlassen, so Grundl. Um den Nutzdatenverkehr mittels zentraler Firewall- oder IPS/IDS-Systeme vor Angriffen und Datenmissbrauch zu schützen, werde der "Cloud Traffic" in der Regel an einem zentralen Internet-Übergang (Internet Breakout) aus dem Rechenzentrum ins WWW geführt.

"Im gesicherten WAN/MAN wird gegebenenfalls sogar ohne Verschlüsselung übertragen. Bei einer internetgeführten Verbindung würde man das niemals zulassen." Michael Grundl, Avaya
"Im gesicherten WAN/MAN wird gegebenenfalls sogar ohne Verschlüsselung übertragen. Bei einer internetgeführten Verbindung würde man das niemals zulassen." Michael Grundl, Avaya
Foto: Avaya

Mit so einfachen Erklärungen bringt Grundl auch den ebenfalls vergleichsweise neuen Begriff SD-WAN ins Spiel: "Demilitarisierte Zonen (DMZ) bilden in der Regel einen natürlichen 'Schutzgürtel' zwischen Internet und Corporate Network. Man bezeichnet diese Architektur auch gerne als 'Internet Backhauling', da XaaS-Applikationen/-Verkehr quasi über das Rechenzentrum getunnelt werden.

Passend zum Thema: Mobile-Security-Quiz

Der Nachteil liegt auf der Hand: Kostbare Corporate-WAN-Bandbreite kann durch Prio-2-Dienste belastet werden. Echtzeit-Anwendungen wie Sprach- und Videodienste können von diesen neuen Diensten negativ beeinflusst werden - bis zum völligen Dienste-Ausfall. Deshalb bieten moderne SD-WAN-Lösungsanbieter Mechanismen, um den Verkehr bereits lokal in der Außenstelle jeweils applikationsbezogen in das (hybride) WAN auszukoppeln", so Grundl.

Wie er sagt, ist man bei Avaya überzeugt, dass der Markt für SDN und SD-WAN massiv wachsen wird, auch wenn die Sicherheits- und Risikoaspekte im Vergleich zu einer Corporate-MPLS-WAN-Lösung nicht vollständig auszuräumen sind. Wachstumstreiber seien Cloud-Computing und webgestützte Applikationen. Nicht zuletzt deshalb erweitere Avaya seine SDN-Fabric-Architektur aus dem LAN/MAN/Campus (Avaya Fabric Connect) in den WAN-/Außenstellenbereich (Avaya SND FX / Avaya Fabric Extend). Es stellt sich allerdings die Frage, warum MPLS für Kunden nicht mehr so attraktiv ist.

MPLS: Zuverlässig, aber teuer

Die Ausgangslage ist die, dass die meisten Unternehmen für die Anbindung ihrer Zweigstellen oder Niederlassungen auf das Multiprotocol Label Switching oder kurz MPLS als vorherrschende Architektur für ihre Wide Area Networks (WAN) vertrauen. Als Gründe dafür werden unter anderem garantierte Bandbreiten, SLAs, eine hohe Sicherheit und Zuverlässigkeit mit bis zu 9x5-Verfügbarkeit (99,999 Prozent über Managed Services), Quality und Class of Service genannt. Dagegen sprechen vor allem hohe Kosten und jederzeit zubuchbare, aber nicht flexibel abbestellbare Bandbreiten.

Wie Donna Johnson, Director Product Marketing bei Talari, vorrechnet, können Kupfer-T1-MPLS-Leitungen für mittelgroße Außenstellen in den USA 200 Dollar oder mehr je Megabit pro Sekunde (Mbps) im Monat kosten, Breitband-Internet gebe es schon für 10 Dollar je Mbps, Glasfaser-Internetverbindungen sogar schon für weniger als 1 Dollar je Mbps im Monat.

"Durch die immer stärkere Mobilität wird heute vielerorts eine flexiblere Infrastruktur gebraucht, die einfach besser atmet als die MPLS-Netzwerke." Henning Dransfeld, Experton Group
"Durch die immer stärkere Mobilität wird heute vielerorts eine flexiblere Infrastruktur gebraucht, die einfach besser atmet als die MPLS-Netzwerke." Henning Dransfeld, Experton Group
Foto: Experton Group

Henning Dransfeld, Managing Advisor bei der Experton Group, weist darauf hin, dass MPLS als optimale WAN-Lösung für weltweit vernetzte Standorte seine Hochzeit in den Jahren 2003 bis 2005 in Europa hatte, aber nicht die ideale Struktur bietet, um Firmennetzwerke mit sehr vielen "Internet Breakouts" (Internet-Übergängen, s.o.) zu unterstützen. "Durch die immer stärkere Mobilität arbeiten viele Mitarbeiter nicht mehr vom Campus aus, sondern von zu Hause, vom Internet Café oder von unterwegs. Daher wird heute vielerorts eine flexiblere Infrastruktur gebraucht, die einfach besser atmet als die MPLS-Netzwerke", so der in Wales promovierte Betriebswirt.

Es gibt freilich auch gute Gründe, bei MPLS zu bleiben. "MPLS ist generell überlegen in puncto Zuverlässigkeit und Verfügbarkeit. Während das öffentliche Internet sich stetig verbessert hat, kann es sich derzeit nicht 1:1 mit der Verfügbarkeit und Qualität von kommerziellen MPLS Diensten messen, die von Service Provider angeboten und mit SLA`s unterstützt werden. Nichtsdestotrotz reicht die Qualität der Internetverbindungen für viele Anwendungen völlig aus und die Kunden merken keinen Unterschied", sagt Kay Wintrich, Technical Director bei Cisco Deutschland.

Der Netzwerkriese hat mit IWAN (Intelligent WAN) für die eigenen Routing-Plattformen eine auch für Hybrid WAN geeignete Lösung entwickelt, die es laut Kay Wintrich Kunden erlaubt, in einer Aktiv-aktiv-Konfiguration multiple Netzwerkverbindungen zu nutzen, je nach Anwendung und entsprechender Vorgaben zum Beispiel MPLS, DSL oder LTE. IWAN basiert auf Dynamic Multipoint VPN (DMVPN) und ist funktionell auch Teil von Ciscos Cloud Service Router (CSR), der in Public-Cloud-Diensten wie AWS von Amazon und MicrosoftsAzure zum Einsatz kommt.