Durch den Einsatz von „Software-Defined Wide Area Networks“ (SD-WAN) wird die Kombination und optimale Nutzung von MPLS & Internet-Anbindungen, zur Einbindung in Unternehmens-Netzwerke („WAN“), ermöglicht. Qualitätsvorzüge einer MPLS Verbindung werden hierbei um breitbandige Internet-Anbindungen kombiniert und parallel genutzt. Der einzelne „Uplink“ selbst tritt in den Hintergrund. Vielmehr wird über alle verfügbaren Anbindungen ein virtueller Tunnel („Overlay“) gelegt und so der Datenverkehr zwischen Unternehmensstandorten optimiert.
MPLS & Internet-Anbindungen intelligent kombiniert
Die „Mehrweg-Verbindungen“ garantieren Ausfallssicherheit, da der Datenverkehr bei einem Ausfall eines Verbindungsweges automatisch über den anderen umgeleitet wird. Gleichzeitig wählen die hier involvierten Gateways applikations-spezifisch den optimalen „Weg“, da sie diverse Qualitäts-Metriken (z.B.: Paketverlust, Latenz und/oder verfügbare Bandbreite, usw.) berücksichtigen.
Die Technik hat ihre Grenzen
Bei vielen involvierten Standorten, die untereinander kommunizieren, stößt man rasch an administrative und technische Grenzen. Zum einen muss eine große Anzahl an Tunneln konfiguriert werden, was fehleranfällig und aufwendig sein kann. Zum anderen können kleine Standorte vielleicht mit „kleineren“ Gateways die schiere Anzahl an Tunnel manchmal nicht verkraften. Eine sogenannte „fully meshed“ Topologie lässt sich dann nicht implementieren und es wird vielleicht auf traditionelle „Hub-and-Spoke“ Topologien zurückgegriffen, deren Aufbau und Betrieb komplex sein kann.
Forcepoints VPN Broker als Problemlöser
Forcepoint liefert für diese Problematik eine Lösung in Form der VPN Broker Komponente. Hierbei übernehmen ein oder mehrere Gateways Vermittlungsaufgaben und teilen den teilnehmenden Gateways einer Domain die jeweilig gültigen Subnetz-Informationen mit: „Über wen kannst du welches Subnetz erreichen“.
Möchte nun ein System aus Standort A mit einem System aus Standort B kommunizieren, so baut der Gateway an Standort A dynamisch, für die Dauer der Kommunikation, einen Tunnel zum Gateway an Standort B auf. Nach Beendigung der Kommunikation und nach einer gewissen „Idle Time“ wird dieser Tunnel wieder abgebaut.
Diese Tunnel sind natürlich dem SD-WAN-Mantra unterworfen: Sie funktionieren ebenso ausfallssicher und liefern „performance-based Application Routing“ auf Basis von Qualitäts-Metriken.
Dadurch erzeugt der VPN Broker eine hochskalierbare, „fully meshed“ VPN Topologie – wohlgemerkt ohne Involvierung eines dynamischen Routing Protokolls (wie OSPF oder BGP). All das ohne massiven Aufwand, bei einer hohen Anzahl an Standorten und auch wenn leistungsschwächere Gateways implementiert sind.
