Vorteile und Nachteile der beiden Standortvernetzungstechniken im Vergleich
Hintergrund:
Viele Jahre wurden bei der Auswahl der passenden WAN-Lösung vor allem internetbasierte-VPNs und MPLS-basierte Lösungen miteinander verglichen. Allerdings hat sich in den letzten Jahren die WAN-Technologie weiterentwickelt: SD-WAN wurde zu einer WAN-Lösung für Unternehmen, die eine Kombination aus Kosteneffizienz, Agilität und Cloud-Unterstützung bietet. Damit kann weder MPLS noch das internetbasierte VPN aufwarten. Da Software-defined WAN (SD-WAN) manchmal als modernere Version eines VPN über das Internet vermarktet wird, fragen sich viele IT-Entscheider nach den grundsätzlichen Unterschieden und Gemeinsamkeiten, wenn sie zwischen SD-WAN vs IPSec VPN wählen müssen.
Um die passende Option für ihre Organisationen auszuwählen, sollten sich IT-Teams in Unternehmen nicht vom Hype rund um SD-WAN beeinflussen lassen, sondern die Vorteile von SD-WAN und IPSec VPN miteinander vergleichen und gegenüberstellen.
SD-WAN vs IPSec VPN: Vorteile und Einschränkungen
Beim Vergleich von SD-WAN und Internet-VPN wollen wir vor allem diese drei Haupt-Aspekte betrachten:
- Kosten
- Leistung + Zuverlässigkeit
- Konfiguration, Betrieb und Wartung
Versuchen wir einen Vergleich zwischen SD-WAN vs IPSec VPN in diesen Kategorien:
SD-WAN vs IPSec VPN: Kosten
Sowohl das IPSec VPN als auch das SD-WAN ermöglichen es Unternehmen, vergleichsweise kostengünstige Internet-Bandbreite zu nutzen. Bei kleinen Implementierungen kann ein VPN eine kostengünstige Lösung für wenige Standorte und eine einfache WAN-Topologie sein. Eine einfache Standort-zu-Standort-Verbindung kann über verfügbare Standard-Technologie diverser Anbieter realisiert werden.
Für Unternehmen, die kostengünstige VPN-Services auf Best-Effort-Niveau implementieren wollen, ist der Einsatz einer traditionellen VPN-Appliance mit einem abgespeckten Leistungsumfang, einem einfachen Router oder Client mit IPSec-Funktionalität akzeptabel. Allerdings können bei größeren VPN-basierten Netzwerken die Komplexität der Konfiguration und des Betriebs, die durch die Skalierung entstehen, schnell zu erheblichen Betriebskosten führen.
Internetbasierte VPNs können einfach und kostengünstig sein, sich in puncto garantierter Netzwerk-Performance aber durchaus als problematisch erweisen.
SD-WAN vs IPSec VPN: Leistung + Zuverlässigkeit
IPSec VPNs sind aus der Leistungsperspektive betrachtet an die Rahmenbedingungen und Einschränkungen des öffentlichen Internets gebunden.
Abgesehen von Überbuchung bei Lastspitzen, die sich auf die Leistung auswirken, ist die Überwindung großer geografischer Entfernungen in internetbasierten VPNs im Allgemeinen mit erheblichen und schwankenden Latenzzeiten verbunden. In einem Internet-VPN mit Internet-Anbindungen von unterschiedlichen ISPs je Standort sind die Routen der IP-Pakete nicht definiert und nicht verlässlich. Unterschiedliche und wechselnde Peerings zwischen den Provider-Backbones führen zu wechselnder Performance.
Auf unterster Ebene können VPNs Anwendungen und Traffic noch vor deren Verschlüsselung priorisieren. Der Nutzen ist allerdings begrenzt. Denn sobald Traffic durch einen verschlüsselten Tunnel fließt, lässt er sich aus Sicht des Provider-Netzwerks nicht priorisieren, weil der Header verschlüsselt ist und nicht eingesehen werden kann. Übrig bleibt ein Best-Effort-Netzwerk, das Traffic auf einem akzeptablen Performance-Niveau unterstützt.
Darüber hinaus fehlen im VPN Funktionen zur Leistungsoptimierung wie dynamische Pfadauswahl, QoS (Quality of Service) und anwendungsorientiertes Routing. SD-WAN Lösungen stellen diese Funktionen bereit. Sie tragen dazu bei, dass für QoS-sensible Anwendungen wie VoIP und Video/Telepräsenz die erforderliche Netzwerk-Performance gewährleistet ist.
Unternehmen verlangen vorhersehbare, zuverlässige Leistung im WAN. Das Fehlen eines SLAs war beim Vergleich zwischen MPLS und Netzen auf Basis des öffentlichen Internets ein zentrales Argument gegen Internet-VPNs. Und anfänglich genauso auch gegen SD-WAN.
Das klassische VPN ist dabei immer noch auf das öffentliche Internet angewiesen.
Obwohl die bevorzugte Konnektivitätsoption für SD-WAN-Plattformen in der Tat auf dem Internet beruht – genauer gesagt einer öffentlichen IP –, ist die Technologie de facto konnektivitätsneutral. Das SD-WAN-Marketing suggeriert Usern gerne, die Internetkonnektivität sei die primäre Option für SD-WAN. Aber das ursprüngliche Konzept für softwarebasierte Netzwerke sah – und sieht immer noch – vor, mehrere Schnittstellen bzw. Transportnetze zu unterstützen. SD-WAN ermöglicht die Kombination mehrerer Internet-Anbindungen zur Erhöhung der Verfügbarkeit und auch mehr Routing-Intelligenz zur Verbesserung der Gesamt-Qualität durch aktive, dynamische Routen-Wahl in Abhängigkeit der Echtzeit-Performance der Links.
Außerdem: Bei SD-WAN ist weiterhin die Nutzung von MPLS als Transportweg möglich, auch und gerade in Kombination mit internetbasierten Links (hybride Netzplattform). Daher bietet SD-WAN mehr Flexibilität beim Design der Underlay-Connectivity, um die gewünschte Qualität und Stabilität der Netzwerkperformance sicherzustellen. So lassen sich Anbindungen mit garantierter Performance und SLA mit günstigen Anbindungen ohne garantierte SLA kombinieren.
Zwar besitzt SD-WAN keinen End-to-End-QoS (Quality of Service) wie ein MPLS-VPN auf Layer 3. Trotzdem stellt sich SD-WAN dieser Herausforderung, indem es in der Lage ist, die Performance einzelner WAN-Links in Echtzeit zu überwachen und darauf zu reagieren und einzelne Anwendungen lokal zu priorisieren. Der lokale QoS von SD-WAN ist deutlich fortschrittlicher als grundlegende Internet-VPN-Services. Das verdankt er dem intelligenten Routing, der granularen Konfiguration sowie Technologien wie Caching oder Applikations-Beschleunigung.
Dies ermöglicht es, mit einem SD-WAN-Netz eine Dienst-Qualität und Zuverlässigkeit für die Übertragung des WAN-Traffic auf einem zu MPLS vergleichbarem Niveau zu liefern.
Konfiguration, Betrieb und Wartung:
Die VPN-Konfiguration ist oft mit umfangreicher manueller Arbeit verbunden. IPSec-Tunneling, IKE (Internet Key Exchange) und NAT-T (Network Address Translation Traversal) erfordern ein hohes Maß an Fachwissen, um sicher und skalierbar zu konfigurieren. Wenn immer mehr Standorte zu einem WAN hinzugefügt werden, und wenn es häufige Standortwechsel und Konfigurationsanpassungen im Netz gibt, wird die Wartung des Netzwerks immer schwieriger.
Bei SD-WAN Lösungen basiert die Installation und Konfiguration auf einem „plug and play“-Ansatz. Hierbei installieren sich die einzelnen Endpunkte nach erfolgtem Netzanschluss über zentrale Management-Systeme automatisiert. Außerdem erfolgt die WAN-Konfiguration des „Overlay-Netzes“ zwischen den einzelnen Endpunkten nach vordefinierten Parametern automatisch und passt sich dynamisch an, sobald neue Standorte oder Verbindungen hinzugefügt werden.
In vielen Fällen treibt ein vereinfachtes Self-Management mit leicht zu bedienenden GUIs die Einführung von SD-WAN.
Zeit, eine Entscheidung zu treffen!
Wie entscheiden Sie sich also, wenn es heißt: SD-WAN vs IPSec VPN?
Wenn Sie ein kleines Unternehmen sind, das nur eine Handvoll Standorte verbinden muss, kann ein internetbasiertes VPN sinnvoll sein.
In Anwendungsfällen, in denen Skalierbarkeit, Leistung, Zuverlässigkeit und Betriebsflexibilität von Bedeutung sind, setzt sich jedoch das SD-WAN durch.
Mit SD-WAN wird das Netzwerk granularer, was das Reporting, die Sicherheit und Anwendungs-Performance verbessert. Im Gegensatz zu einem Standard-Internet-VPN kann SD-WAN Netzwerkbedingungen wahrnehmen, um ein zuverlässiges Performance-Niveau sicherzustellen, ganz gleich, von wo aus und zu welchem Ziel Clients eine Verbindung aufbauen.
Wenn man SD-WAN mit VPN über das Internet vergleicht, ist SD-WAN deutlich umfassender. SD-WAN besitzt das Potenzial, sowohl einfache Internet-VPNs zu realisieren, als auch globale MPLS- und VPLS-Netzwerke abzulösen.
Fazit: SD-WAN vs IPSec VPN
Wenn Sie ein kleines Unternehmen sind, das nur eine Handvoll Standorte verbinden muss, kann ein internetbasiertes VPN auch weiterhin sinnvoll sein, weil es ausreichend in Funktion und kostengünstig ist.
Vorteile SD-WAN:
- Skalierbarkeit, Leistung, Zuverlässigkeit und Betriebsflexibilität
- Applikationsorientierte Performance
- Verlässliche WAN-QoS auch über Internet möglich
- Schnellerer Roll-Out, einfacherer Betrieb
SD-WAN besitzt das Potential, sowohl einfache Internet-VPNs zu realisieren, als auch globale MPLS- und VPLS-Netzwerke abzulösen.
Sie haben Fragen zur Optimierung Ihrer Standortvernetzung? Wir haben Erfahrung aus zahlreichen MPLS, SD-WAN und Hybrid WAN Projekten. MPC berät Sie kompetent und unabhängig.