Er is een aantal manieren om bedrijfsnetwerken op verschillende geografische locaties met elkaar te verbinden. Atm, frame relay en huurlijnen zijn vanwege de hoge kosten al voor een behoorlijk deel vervangen door op ipsec gebaseerde vpn's. Aan ipsec kleven echter een behoorlijk aantal nadelen wanneer men meer dan alleen web-enabled applicaties en mail wil overzetten. "De gebruikelijke vpn's hebben in feite alleen een beveiligingslaag om het berichtenverkeer af te schermen op het openbare internet," legt Joep Lecluse, verantwoordelijk voor product development bij service provider Easynet uit. Deze provider is één van de vele aanbieders die voor de zakelijke markt inzet op multi protocol label switching (mpls). "Je kunt het zien als op de openbare weg rijden met een geblindeerde auto. Iedereen kan je zien rijden maar men kan niet zien wie de bestuurder is en wat deze aan het doen is. Bij een mpls-vpn krijg je een eigen afgeschermde baan op de snelweg van de service provider. Op die baan hebben alleen voertuigen met het juiste kenteken (label) toegang."

Performantie

Anders dan bij ipsec bevindt de beveiliging zich niet op het ip-verkeer maar in de zogenaamde 'operator wolk'. Dat betekent dat mpls dan ook alleen gebruikt kan worden binnen het netwerk van de service provider en daarmee vooral een vervanging is voor huurlijnen en atm tussen verschillende vestigingen. Jacques Dufour, business development manager voor wireline services bij Cisco meent dan ook dat ipsec en mpls twee verschillende toepassingsgebieden kent: "Een ipsec vpn is in dat opzicht niet meer als een noodzakelijk kwaad dat bovenop het internet moet worden geïnstalleerd om een zeker niveau van veiligheid te creëren. De technologie is uitermate geschikt voor het beveiligen van het netwerkverkeer tussen thuiswerkplekken of mobiele apparaten en het bedrijfsnetwerk. Het biedt echter geen enkele garantie als het gaat om kwaliteit en performance. Voor mail en applicatieverkeer is dat geen enkel probleem maar als we kijken naar Voice over ip of videoconferencing, dan is dat volstrekt onvoldoende om enige Quality of Service te garanderen. Verder is de schaalbaarheid niet geweldig want je kunt het aantal tunnels niet eindeloos gaan uitbreiden omdat er steeds weer veilige point-to-pointverbindingen moeten worden opgebouwd. Met mpls heeft eenieder met het juiste label toegang tot ieder ander met de juiste autorisatie binnen het netwerk van de service provider. Dat is veel flexibeler, gemakkelijker beheerbaar en vooral beter schaalbaar dan ipsec."

Labelen

"De verantwoordelijkheid voor de veiligheid van de netwerkverbinding ligt niet meer bij de klant," zegt Lecluse van Easynet. "Het is de service provider die deze verantwoordelijkheid geheel voor z'n rekening neemt en daarmee de service levels kan garanderen die met ipsec nooit haalbaar waren. Een bijkomend voordeel van mpls is dat de beveiligingsoverhead die met ipsec bovenop het ip-verkeer kwam, wegvalt en er dus minder bandbreedte nodig is om verschillende vestigingen met elkaar te verbinden. Per klant wordt er 'slechts' een label aan het informatiepakket gehangen. Dat pakket vliegt door het netwerk heen en kan door niemand anders worden gelezen dan een ontvanger die gerechtigd is om het pakket met dat label te ontvangen. Aan het einde wordt het label weer van het pakket gestript en doorgestuurd naar de ontvanger. De klant zal dat label dan ook nooit zelf zien, wat een extra veiligheid geeft omdat dit label niet gecompromitteerd kan worden." Mpls is volgens Dufour dan ook vooral geschikt voor bedrijven met ten minste drie locaties die met elkaar moeten worden verbonden en die nu nog huurlijnen inzetten. "Het betekent meer veiligheid en minder beheerproblemen op de it-afdeling tegen lagere kosten. Hardwarematig hoeft er weinig te veranderen want vrijwel alle moderne routers vanaf het middengamma kunnen omgaan met mpls omdat het slechts een softwarematige featureset is. Gedane investeringen worden dus niet teniet gedaan en de vrijgekomen tunnelruimte kan voor thuiswerkplekken worden ingezet."

Overeenkomsten

Omdat de mpls-labeling binnen het netwerk van de service provider plaatsvindt, zijn er bij internationale locaties wel een paar problemen. Hoewel mpls door vrijwel alle internationale aanbieders wordt ondersteund, betekent het wel dat er overeenkomsten moeten worden gesloten tussen de service providers in verschillende landen. Dit gebeurt op dit moment wel, maar in een langzaam tempo. KPN heeft onlangs bekend gemaakt een mpls-overeenkomst gesloten te hebben met Telefónica waardoor grote delen van Europa alswel Zuid- en Midden-Amerika beschikbaar zijn gekomen binnen het Eurorings-netwerk. Vrijwel alle andere aanbieders van mpls zijn bezig door samenwerking hun bereik te vergroten, maar een wereldwijde dekking is nog ver weg. Om die reden denken zowel Lecluse als Dufour dat atm en frame relay voorlopig nog wel even zullen blijven bestaan. Dat is ook de mening van diverse onderzoekers zoals IDC. Zij verwachten dat deze technieken ook over tien jaar nog een kleine twintig procent van de markt in handen zal blijven houden. De rest van de bedrijven met meerdere verbonden vestigingen zal tegen die tijd op mpls zijn overgestapt. Bron: Techworld