Lokaler Internet Breakout im WAN

Das klassische MPLS Netzwerk dominiert nach wie vor die nationale und internationale Standortvernetzung. Häufig wird dies mit einem zentralen Internet-Zugang kombiniert, so dass sowohl die Zentrale als auch die Standorte im In- und Ausland über das MPLS-Netz einen gemeinsamen, zentralen Internetanschluss nutzen. Allerdings steigt der Bandbreitenbedarf für den Internetzugang, u.a. durch den Trend, immer mehr Anwendungen in die Cloud auszulagern wie z.B. Office 365. Dadurch steigt auch der Anteil an Internet-Traffic im WAN. Um den neuen Anforderungen gerecht zu werden, kann man natürlich – vergleichsweise teure – MPLS-Bandbreite zukaufen. Als Alternative dazu kann der Datenverkehr aber auch am jeweiligen Standort direkt ins Internet geschickt werden: Lokale Internet Breakouts sorgen für eine schnellere Internetverbindung mit deutlich geringeren Latenzzeiten, bringen Entlastung für die WAN-Strecken und sind noch dazu kostengünstiger.

Zentraler Internet-Zugang im WAN

Bei einem zentralen Internet-Zugang greifen sowohl die Zentrale wie auch alle anderen Standorte über das Backbone des MPLS-Netzes auf das Internet zu. Somit gibt es einen zentralen Internet-Zugang für alle Standorte. Von Vorteil ist, dass dieser zentral gemanagt werden kann (Firewall, Policies, etc.) und für alle Standorte die gleichen Security-Standards gelten. Nachteile sind der langsamere Zugriff der Standorte auf das Internet (Latenzzeiten) und die damit einhergehende Verzögerung bei Public Cloud Anwendungen wie Office 365. Außerdem macht es wirtschaftlich keinen Sinn, teure MPLS-Bandbreite dafür zu bezahlen, wenn ein lokaler Internet-Access mit einem Vielfachen der Bandbreite für deutlich geringere Kosten realisiert werden kann.

Lokale Internet Breakouts je Standort

Bei dieser Lösung wird reiner Internet Datenverkehr, wie z.B. Office 365, direkt ins Internet geroutet und muss folglich nicht mehr über das MPLS-WAN der Zentrale laufen. Auf diese Weise wird der Traffic im MPLS-Netz reduziert („Traffic Offloading“). Lokale Internet Breakouts können entweder pro Region eingerichtet werden (z.B. über einen regionalen HUB/Rechenzentrum) oder sogar pro Standort/Niederlassung. Außerdem lassen sie sich perfekt mit dem Roll-out einer hybriden SD-WAN Lösung kombinieren.

Security lokaler Internet Breakouts

Prinzipiell gibt es zwei Möglichkeiten einen lokalen Internet-Zugang mit einem geeigneten Security-Gateway abzusichern:

1. Eine mögliche Variante ist die Nutzung eines Cloud-basierten Security-Gateways. Dabei wird der Internet-Traffic der Standorte über eine virtualisierte Multi-Mandanten Plattform eines Security-Serviceproviders geroutet, in der dann die Security-Features wie Firewall, IDS/IPS, Webproxy und Malware-Protection bereitgestellt werden (Bsp. Zscaler).

2. Ein Security-Gateway kann aber natürlich auch je Standort über lokale Devices und lokale Hardware aufgebaut werden. Herausforderung ist hierbei vor allem das Umsetzen einer einheitlichen Policy und das zentrale Security-Management. Auch ist die Variante potentiell mit vergleichsweise hohen Kosten verbunden. Interessant kann daher sein, eine solche lokale Security-Lösung in ein modernes SD-WAN Konzept einzubetten und die Firewall und Gateway-Security anstelle von dedizierten Devices auf Basis von NFV als virtualisierte Appliance auf einer universal CPE bereitzustellen.

Vor- und Nachteile lokaler Internet Breakouts

+ kürzere Wege ins Internet / reduzierte Latenzzeiten / performantere Public Cloud Anwendungen

+ geringere Kosten durch lokale Internet-Zugänge

+ weniger Traffic im MPLS-Netz (Traffic Offloading)

+ ggfls. Basis für eine Weiterentwicklung auf SD-WAN

– managen vieler unterschiedlicher Lösungen/Zugänge

– Thema Sicherheit muss lokal gelöst werden

MPC verfügt über umfangreiche Erfahrung im WAN-Umfeld. Diese beruht auf einer Vielzahl von Projekten in diesem Themengebiet. Gerne beraten wir Sie zum Thema Standortvernetzung und lokale Internet Breakouts. Kontaktieren Sie uns.