MPLS meni, SD-WAN tuli

Yritysverkon yhteydet ovat perustuneet viimeiset parikymmentä vuotta MPLS-VPN-yhteyksiin. Ei siinä mitään, MPLS on tekniikkana ja yhteytenä hyvä ja toimiva, mutta käyttäjän kannalta aika ”ankea ja kankea” palvelu. Joustavuus ja muunneltavuus on heikkoa, ip-osoitteiden, reitityksen ja VRF:ien kanssa puljaaminen vaatii aina operaattorin osallistumista ja on hidasta käsityötä. Liikennettä kuskataan paikasta toiseen ja kierrätetään turhaan verkon keskipisteiden kautta. Yhteyksien todellisesta tilasta, siirretystä liikenteestä ja yhteyden laadusta ei saa oikein mitään tietoa, puhumattakaan yhtenäisestä tai reaaliaikaisesta tilannekuvasta.

Irti MPLS:n kahleista

Voisi sanoa, että MPLS on pitänyt yrityksiä ja niiden liiketoimintaa vankina liian pitkään. Nyt on aika vapautua kahleista SD-WAN:n avulla. Miten se tapahtuu? SD-WAN irrottaa yritysverkon loogisen tason, topologian ja ominaisuudet alla toimivista yhteyksistä. Nyt topologian ja toiminnallisuuden voi rakentaa verkkoon oman liiketoiminnan tarpeiden mukaan. MPLS-yhteyksien käyttö voi jatkua, mutta se ei enää määritä, mitä verkolla voi tehdä ja miten. Toimipisteyhteyksinä voi käyttää myös internettiä, mobiiliverkkoa, satelliittiyhteyksiä, ihan mitä vaan IP-yhteyttä. Yhteys- ja toimittajavalikoima paranee huomattavasti, kenties kustannustehokkuuskin. Vikasietoisuuden saa toteutettua helposti kahdella erilaisella tai eri toimittajan yhteydellä.

SD-WAN-laitteet osaavat mitata yhteyksien laatua pakettihäviöiden, viiveen ja viiveen vaihtelun osalta. Jos yhteyden laatu muuttuu huonoksi, vaihdetaan automaattisesti toiselle yhteydelle. Verkon topologian voi rakentaa omaan tarpeeseen sopivaksi. Yleensä tähtimäisen verkon keskipiste on konesalissa ja pilvessä, mutta muitakin yhteystarpeita voi toteuttaa esim. suoraan toimipisteiden välille. Kaikki on omissa käsissä yhden keskitetyn hallintapisteen takana. Liikennettä voi ohjata jopa sovellusten tai käyttäjien mukaan eri paikkoihin tai eri yhteyksille. Tässä kuitenkin kannattaa säilyttää järki päässä ja pitää politiikkareititys riittävän yksinkertaisena ja toimivana. Liian hieno kikkailu osuu omaan nilkkaan yllättävinä ongelmina ja huonompana käytettävyytenä.

Pilvi ja kumppanit mukaan yritysverkkoon

Verkon keskipiste alkaa kääntyä konesalista pilveen, ja siksi on tarpeellista ottaa pilvi mahdollisimman tehokkaasti ja joustavasti osaksi toimipisteverkkoa. Monilla yrityksillä on suora kiinteä pilvikytkentä palveluntarjoajan kautta, vaikka sille ei välttämättä olisi suoranaista tarvetta. Tämä tarkoittaa erillistä varattua kapasiteettia, verkon reitityskomponentteja, kustannuksia, ja jälleen kerran jäykkää ja hidasta hallittavuutta. SD-WAN:lla pilven voi ottaa osaksi joustavaa ja omassa hallinnassa olevaa VPN-topologiaa. Keskitetyn hallinnan kautta muutokset tipahtavat kerralla joka toimipisteeseen, ja myös pilveen. Toimisteestä pääseekin nyt suoraan pilveen turvallisesti ja optimaalisesti lyhintä reittiä.

Yritys toimii yleensä monitoimittajaympäristössä, jossa on mukana esim. operaattori, eri palvelutoimittajia, pilvialustaa ja SaaS-palveluita. Vastuu IT-ympäristön toiminnasta hajautuu pirstaleiseksi, kun kukaan ei vastaa kokonaisuudesta. Muutosten tekeminen ja vianselvitys on hankalaa ja hidasta eri osapuolten kesken. SD-WAN:n avulla voit hallita yhdestä paikasta sekä WAN-verkkoa että palomuureja ja nähdä yhteyksien ja tietoturvan tilan koko verkossa. Se on jo iso osa kokonaisuudesta.

Tietoturvaa ja käytettävyyttä joka paikkaan

Jokaiseen toimipisteeseen saadaan SD-WAN:n mukana palomuuri, jota hallitaan keskitetyllä politiikalla ja näkyvyydellä. Toimipisteen internet-liikenteen voi ohjata suoraan nettiin lyhyintä tietä, joten esim. nettisurffailun, vierasverkon, SaaS-palveluiden tai pilvihallintojen liikennettä ei tarvitse kierrättää enää konesalin kautta. Sovellusten käyttökokemus paranee ja kapasiteetin mitoitus on optimoidumpaa. Palomuurit näkyvät kaiken liikenteen sovellustasolla, joten verkkoon ja liikenteeseen on avain eri tason näkymät kuin perinteisen SNMP-valvonnan kautta. Nyt todella nähdään mitä toimipisteissä ja yhteyksillä tapahtuu, ja poikkeamiin voidaan reagoida heti. Toimipisteistä tulee hyvin itsenäisiä, ketteriä ja kykeneviä.

Itsenäinen toimipiste on myös käytettävyys- ja turvallisuustekijä. Hajautettu malli on vikasietoisempi ja kyberturvallisempi, koska lähes kaikki komponentit ovat paikallisia ja itsenäisiä. Enää kaikki munat eivät ole samassa korissa keskitetyssä paikassa. Viat tai kyberuhat eivät myöskään leviä toimipisteestä toiseen, koska joka paikassa on oma kontrollipiste. Näin toteutetaan nollaluottamusmallia.

SD-WAN uudistaa toimipisteverkon, mutta kokonaisratkaisua voi täydentää SASE:n tietoturvakomponentilla eli Security Service Edge -palvelulla (SSE). SSE-osuudesta lisää blogin tulevassa jatko-osassa.