MPLS, WAN Híbrida ou VPN?

Glossário / Conceito:

VPN = Virtual Private Network
Uma rede privada que utiliza a rede pública (internet) para interligar as empresas e trafegar as informações corporativas de forma segura e criptografada.

MPLS = Multi-Protocol Label Switching
Este protocolo permite a criação de Redes Privadas garantindo um isolamento completo do tráfego com a criação de tabelas de "labels" (usadas para roteamento) exclusivas de cada rede cliente.

Esta na hora de migrar para internet VPN, aumentar largura de banda e reduzir custo fixo mês a mês.

As redes MPLS são mais utilizadas para interligar a comunicação da matriz com as filiais, ou matriz com datacenter, ou em alguns casos interligar todos. Mas hoje esta não é a melhor opção, além de ser muito mais cara e de baixa velocidade. As MPLS geralmente são redes com velocidade de 0,5 a 3 Mbps e custando o valor de links de internet com velocidade de 30 a 100 Mbps, essa diferença de custo é justificável pelas operadoras, sendo que existe um custo especifico para que esse circuito seja montado de forma exclusiva, o que ocorre com qualquer serviço de comunicação direta entre localidades.

A evolução da estrutura das operadoras de internet, hoje possibilitam links excelentes, o que faz  com que os links MPLS fiquem obsoletos. Outro fator importante é o aumento da necessidade de comunicação entre as redes, o que antes era limitado a um acesso Terminal Services e outros serviços básicos, hoje a comunicação é mais ativa sendo que é a própria aplicação que trafega, a necessidade de replicação de dados pesados entre as redes, sendo eles file server, banco de dados, backups e em especial com muitos serviços hospedados em cloud.

Com mais aplicativos hospedados em provedores de SaaS, Datacener, Cloud e a constante busca das empresas por redução de custos, sem sacrificar o desempenho, muitas empresas procuram formas de ampliar ou substituir suas caras infraestruturas de redes MPLS por redes com Internet VPN. Tendo necessidade em alguns casos de expandir a capacidade do link MPLS, levando em conta os custos é mais viável migrar para uma solução segura e confiável, que utilize links de internet, a VPN.

Por muito tempo, as redes MPLS atenderam às necessidades corporativas, mas cada vez mais empresas percebem o desperdício de dinheiro com elevado custo fixo ao enviar uma variedade de aplicativos em Cloud e acesso a internet através de links MPLS caros.

A pergunta que se faz neste momento, é muito simples:
Posso migrar com segurança todo o tráfego de conexão entre as empresas para Internet VPN?

A resposta é sim! Você pode migrar todo o tráfego de rede para conexão Internet VPN, sem perda de desempenho (Na verdade aumento do desempenho, devido a largura dos links de Internet e QoS e largura de banda fixa para aplicativos) e com vantagens, além claro da economia enorme com eliminação das redes MPLS.
Isso é uma verdade quando se olha os milhares de cases e empresas que fizeram e estão fazendo a migração com sucesso, usando as melhores praticas e buscando parceiros capacitados e que conhecem a tecnologia.

ROI sobre o investimento dos equipamentos / software (Terceirização da Segurança e Internet VPN)

O Retorno sobre investimento se dá em torno de 8 a 12 meses só com a economia mensal devido ao cancelamento dos links MPLS, e esta conta estamos considerando o investimento em Firewalls Appliance FortiGate, Licenças UTM do FortiGate e serviços de implantação. Depois de 12 meses a solução esta paga e o cliente já começa a ter economia com seu custo fixo em links.

Uma alternativa interessante e econômica é o cliente não adquirir os equipamentos, licenças e serviços mais contratar a terceirização da segurança e interligação através de uma MSSP (Managed Security Services Provider – (Brasiline é um MSSP)) no qual o cliente paga um custo fixo por mês para fornecer os equipamentos, licenças, suporte e implantação. Neste modelo o custo fixo cai pela metade ou menos com o cancelamento do MPLS e uso da Internet VPN, substituindo assim uma rede obsoleta MPLS por redes mais rápidas e gerenciadas.

Internet VPN com mais largura de banda, escalabilidade e menos custo fixo

O custo da internet tem caído drasticamente nos últimos anos, isso é um ponto interessante de redução de custo uma vez que o cliente pode aumentar a largura de banda e reduzir o custo com o link de internet, o resultado final é uma rede Internet VPN que interliga todas as empresas com alta velocidade e redundância.  Especialmente os links dedicados (Em linguagem simples seria: IP fixo + garantia de banda Inbound e Outbound conforme o contratado) que sempre teve o custo muito elevado, o preço já tem se tornado consideravelmente atrativo.

Redundância de conectividade com internet VPN

Redundância é obtida através da instalação de pelo menos dois links de internet em cada unidade, isso pode ser feito utilizando um link dedicado e um link não dedicado como xADSL. O Firewall UTM FortiGate vai fazer o balanceamento das VPNs e gerenciar a redundância no caso de falha em qualquer um dos links de forma automatizada. A VPN permite escalabilidade de forma rápida e sem impacto, os links podem ser adicionados e removidos a qualquer momento, tendo como base a utilização do link e da disponibilidade do fornecedor. Sendo que aumentando a capacidade do link, aumenta a capacidade da VPN sem ficar preso a um fornecedor.

Link de MPLS não provêm redundância por padrão 

Clientes que possuem apenas link MPLS não possui nenhuma redundância, se o MPLS ficar down o cliente simplesmente perde a comunicação ficando toda aquela unidade ou datacenter fora do ar. Alguns clientes contornam isso fazendo uma rede Híbrida de MPLS + Internet VPN, o que na pratica de fato traz uma redundância, mas a um custo fixo mensal extremamente elevado e uma velocidade e largura de banda muito baixa com o MPLS.

Caminho para migração para Internet VPN (Migração Híbrida paralela com Internet VPN)

Uma das formas mais simples para começar a reduzir custos, enquanto ocorre o aumento de banda larga internet, é utilizar a configuração de WAN híbrida. Ela consiste em uma filial com dois ou mais links de conexão com a empresa, podendo manter o MPLS ativo enquanto migra para Internet VPN.

Apesar de muitas organizações não saberem disso, algumas já têm a infraestrutura para a WAN híbrida implantada, geralmente com um link MPLS principal e um link secundário de Internet VPN. Infelizmente, para muitas, o link secundário fica simplesmente ocioso, quando na realidade poderia ser utilizado junto com o MPLS de forma redundante, esta configuração pode ser feita no próprio Firewall e configurado o protocolo de roteamento dinâmico como OSPF.

Antes de começar a utilizar a infraestrutura de rede híbrida, a empresa deve analisar quais são os aplicativos mais críticos na sua rede corporativa. Após a avaliação inicial será possível ter uma noção melhor dos tipos de aplicativos utilizados pelos usuários e, o que fica evidente de imediato, é que muitos deles já são executados através da internet e/ou não se beneficiam da MPLS. E-mail, SharePoint, Oracle e ERPs, por exemplo, trabalham perfeitamente bem através de um link de internet e, na verdade, quanto mais usuários migram para serviços como o Office365, CRM, Azure, AWS e outras aplicações web, mais destes serviços serão acessados somente através da internet. O MPLS adiciona nenhum valor a quaisquer uma destas ferramentas.

Aplicativos que poderiam desfrutar dos benefícios do MPLS no passado, sendo que hoje não é justificável 

Os únicos três aplicativos que podem se beneficiar da MPLS são o VoIP, Vídeo Conferência e Desktops Virtuais (VDI). Estes serviços dependem muito de uma entrega confiável de pacotes para uma experiência de alta qualidade para o usuário final, que é exatamente a função das redes MPLS.

Mesmo para os aplicativos listados acima as soluções de Firewall FortiGate UTM da Fortinet permite um controle de banda especifico e dedicado para estas aplicações com priorização de tráfego. A prioridade para o tráfego mais crítico, prática conhecida como Classe do Serviço (COS) e/ou Qualidade do Serviço (QoS). Isso fornece a confiabilidade necessária para que os aplicativos críticos funcionem bem e com qualidade superior ao MPLS. Logo, é preciso escolher quais são realmente críticos. Aplicativos que não se encaixam neste modelo simplesmente sairão com a prioridade tradicional, como já acontece no MPLS sem QoS. Importante destacar que a largura de banda com a VPN pode aumentar em 10x ou mais, comparando um link MPLS de 2Mbps para uma VPN Internet de 20Mbps, só com este ganho de largura de banda as aplicações já se tornam melhor performáticas.

A configuração da WAN híbrida é uma ótima forma de empresas começarem a ampliar suas redes MPLS para permitir maior banda larga e, ao mesmo tempo, reduzir custos. Conforme as companhias analisam formas de se distanciarem da MPLS, uma estratégia de SD-WAN pode ser instalada para, aos poucos, mudar tudo para a Internet.

Conclusão

Conforme vimos no estudo, sem dúvida o melhor custo e beneficio é migrar para Internet VPN e substituir definitivamente os links MPLS. Se você ainda não sente seguro quanto a isso, pode consultar centenas de cases de médias e grandes empresas que fizeram esta migração com sucesso. Abaixo estamos citando alguns cases que fizeram esta transição com sucesso e ganhou uma enorme economia e segurança.

Autores:

Clério Almeida / CEO
Luiz Henrique / Engenheiro de Segurança
Brasiline Tecnologia www.brasiline.com.br

Referências:

http://cio.com.br
http://www.fortinet.com