Przewodnik: jaką technologię wybrać dla firmy wielooddziałowej
Wybór technologii połączeń jest ważną decyzją. Budowa odpowiedniej sieci - jako newralgicznego elementu infrastruktury IT - nabiera ogromnego znaczenia zwłaszcza w przypadku firmy o rozproszonej strukturze. W artykule tym pokazujemy jak dostosować dostępne rozwiązania do potrzeb firmy i w jakich zastosowaniach sprawdzają się najlepiej.
Wirtualna sieć prywatna – VPN
VPN (Virtual Private Network) jest zestawiana przy pomocy szyfrowania i protokołu IP do sieci obsługiwanej przez operatora telekomunikacyjnego. Wirtualna sieć prywatna – jeśli została prawidłowo skonfigurowana – zapewnia dostatecznie wysoki poziom bezpieczeństwa. Podstawową zaletą tej usługi jest niezależność. Łącze VPN można zestawić na dowolnym łączu do internetu, w dowolnej technologii. Wirtualna sieć prywatna będzie także działać pomiędzy różnymi sieciami, jeśli tylko zostaną one połączone ze sobą za pośrednictwem routingu.
Sieć VPN jest usługą tanią, w miarę prostą w uruchomieniu. Można ją zestawić także na popularnym połączeniu DSL lub UMTS/LTE. Jest ona jednak obarczona istotnymi wadami, z których najważniejszą są problemy z jakością usługi (QoS). Dotyczy to tylko przypadków, gdy połączenie przechodzi przez wiele punktów styku. Problemy mogą sprawiać także transmisja wideo, dźwięku lub usługi terminalowe, gdyż nawet oznaczenie odpowiednich parametrów priorytetyzacji QoS (Quality-of-Service) bywa ignorowane przez różnych operatorów i działa dobrze tylko w sieci jednego operatora. Pamiętać należy, iż bezpieczeństwo danych przesyłanych w takiej sieci zależy od jakości jej konfiguracji, a także wybranej metody autoryzacji dostępu i szyfrowania transmisji.
Wydzielona sieć typu MPLS (IP VPN)
Podobnie jak w przypadku VPN, przesyłanie danych pomiędzy lokalizacjami za pośrednictwem IP VPN realizowanego w oparciu o technologię MPLS (MultiProtocol Label Switching) korzysta z protokołu działającego wewnątrz routerów. Jednak zamiast adresów IP wykorzystuje on tzw. etykiety. Umożliwia to podzielenie ruchu na poszczególne kategorie takie, jak ruch z wysokim priorytetem (wideo, usługi terminalowe, głos), ruch ogólny (aplikacje biznesowe) oraz informacje o niskim priorytecie (transfer w tle). Następnie zaś możliwe jest przesyłanie ich przez sieć zgodnie z tymi założeniami.
MPLS to bezpieczne rozwiązanie, gdyż w sieci operatora ruch jest oddzielony od informacji innych użytkowników i to operator odpowiada za transmisję. Najczęściej MPLS obejmuje sieć jednego operatora, dzięki czemu o wiele łatwiej diagnozować przyczyny problemów z transmisją danych. Spośród wszystkich sieci wirtualnych, MPLS charakteryzuje się najwyższą skalowalnością. Wadą MPLS jest wyższy koszt, szczególnie w przypadku odległych lokalizacji.
Ethernet VPN – sieć łącząca wybrane lokalizacje
W odróżnieniu od poprzednich technologii, Ethernet VPN zakłada zestawienie połączeń o dokładnie określonych parametrach pomiędzy wybranymi lokalizacjami. Ma to znaczenie przy łączeniu centrów przetwarzania danych oraz przy aplikacjach czasu rzeczywistego, w tym przy transmisji wideo. Łącze Ethernet VPN – podobnie, jak opisane wyżej MPLS i IP VPN – bywa zestawiane przez operatorów w sposób całkowicie odizolowany od innych sieci IP. Dodatkowo ma ono gwarancję jakości pasma. Może też integrować się z firmowymi podsieciami VLAN.
Ethernet VPN umożliwia również wprowadzenie własnego schematu priorytetyzacji QoS. Operator może także wykreować wirtualną podsieci VLAN wewnątrz utworzonej sieci Ethernet. Niekiedy możliwa jest konfiguracja w standardzie Q-in-Q, w której firma może dowolnie zestawiać własne sieci VLAN typu 802.1q, także z dowolnymi numerami. Najważniejszą wadą Ethernet VPN jest utrudniona dostępność poza lokalizacjami podłączonymi do szybkiej sieci operatorskiej.
Prywatny punkt dostępowy APN
Chociaż zestawianie połączenia VPN do sieci operatora z urządzeń mobilnych jest często stosowane, najłatwiejszy i najpewniejszy będzie prywatny punkt dostępu APN (Access Point Name). Określa on sieć, do której dane urządzenie ma zamiar przesyłać informacje. APN jest dostępny wyłącznie dla wybranych kart SIM. Prywatny punkt dostępowy jest bramą do wydzielonej części sieci połączonej z firmową siecią. Najczęściej odbywa się to w jednym punkcie, na korporacyjnym urządzeniu zabezpieczającym typu firewall.
APN umożliwia zatem bardzo łatwe wymuszenie założeń polityki bezpieczeństwa połączeń. Chronione w ten sposób telefony i modemy łączą się od razu do odpowiedniego segmentu firmowej sieci. W tym miejscu ruch może być centralnie zarządzany i filtrowany zgodnie z przyjętą polityką bezpieczeństwa firmy. Z tej metody korzystają przedsiębiorstwa o różnej wielkości, szczególnie dobrze sprawdza się w przypadku pracowników mobilnych ze smartfonami wyposażonymi w firmowe aplikacje.
Dzięki odseparowaniu od Internetu prywatny punkt dostępowy APN to najbezpieczniejsza opcja dla urządzeń mobilnych. Działa on jednak jedynie przy wykorzystaniu urządzeń korzystających z sieci pakietowej. Zatem w przypadku firm musi być uzupełniony o inną technologię. Najczęściej jest nią sieć VPN.
Wybór technologii zależy od naszych potrzeb
Pamiętajmy, przedsiębiorstwa mają do wyboru kilka operatorskich technologii, m.in. VPN, Ethernet VPN oraz prywatny APN. Tunelowanie jest najtańsze. Z kolei operatorski Ethernet – realizowany zazwyczaj za pomocą MPLS – oferuje najlepszą jakość usługi. Natomiast dla urządzeń mobilnych – przy połączeniach z firmową siecią – najkorzystniejszy będzie prywatny APN. Każda z tych technologii tworzy wirtualną sieć prywatną, ale istnieją istotne różnice technologiczne. Warto więc może przed wyborem konkretnego rozwiązania poprosić o radę operatora…
Data publikacji: 19.10.2016