Kaikilla vähänkin suuremmilla yrityksillä ja organisaatioilla on työntekijöitä, joilla on tarve kommunikoida keskenään ja tarve olla turvallisesti yhteydessä yrityksen tietovarantoihin ja sovelluspalvelimiin, sijaitsivatpa ne sitten yritysten omassa konesalissa tai julkipilvessä. Tätä tarkoitusta varten on jo vuosikymmeniä sitten kehitetty erilaisia yritysverkotuksen tekniikoita ja palveluita. Yritysverkko on käyttäjälleen verraton työkalu, joka mahdollistaa esimerkiksi prosessien digitalisoimisen ja työnteon paikkariippumattomuuden.
Dominoiva yritysverkotuksen tekniikka on tällä hetkellä MPLS (Multiprotocol Label Switching), mutta IT-mediassa näkyy runsaasti äänenpainoja, jotka väittävät MPLS-tekniikan olevan kuihtumassa, ja uusissa implementaatioissa valtavirran ottaisi ohjelmisto-ohjattu yritysverkko, SD-WAN (Software Defined Wide Area Network). Mutta onko tämä kiistämätön fakta, vai onko se vain hypeä ja markkinointipuhetta? Ennen kuin vastaamme tähän kysymykseen, ottakaamme ensin hieman historialista perspektiiviä, ja luodaan myös pikakatsaus sekä MPLS:n että SD-WAN:in teknisiin perusteisiin.
MPLS: stabiili ja vakiintunut End-to-End -kokonaistoimitus
MPLS-tekniikan juuret ovat 1990-luvun loppupuolella, jolloin ensimmäiset standardit vahvistettiin. Standardointi onkin MPLS-tekniikan yksi merkittävistä eduista, koska se mahdollistaa esimerkiksi eri laitevalmistajien tuotteiden käyttämisen samassa verkkoratkaisussa. SD-WAN-maailmassa näin pitkälle menevästä yhteensopivuudesta nähdään vasta toiveunia, vaikka joitakin yleisiä viitekehysmalleja onkin julkaistu. Näiden viitekehysmallien rooli on kuitenkin vähäinen, eivätkä ne takaa minkäänlaista yhteensopivuutta.
MPLS-pohjainen yritysverkko määritellään operaattorin runkoverkkoon, ja sen ilmentymä asiakkaan tiloissa on tyypillisesti reititin, joka voi myös olla operaattorin omistuksessa, hallinnassa ja valvonnassa. Runkoverkossa asiakkaan IP-paketit varustetaan leimalla (Label), joka mahdollistaa perinteistä IP-reititystä tehokkaamman tavan siirtää paketteja lähtöpisteestä määränpäähän. MPLS-yritysverkko on kokonaistatoimitus, joka tuottaa asiakasyritykselle End-to-End -tyyppisen palvelukokonaisuuden. Usein MPLS-yritysverkkoa täydennetään saman palveluntarjoajan palomuuripalvelulla, VPN-etätyöpalvelulla ja mahdollisesti myös lähiverkkopalveluilla.
Standardoinnin, stabiilisuuden ja vakiintuneisuuden lisäksi MPLS-tekniikka tarjoaa mm. seuraavia etuja:
- MPLS-tekniikka pitää sisällään kehittyneet End-to-End QoS-palvelut (Quality of Service), jotka toteuttavat IP-pakettien välistä priorisointia jokaisella ”hypyllä” myös runkoverkossa. Tämä on selkeä ero SD-WAN:in QoS-filosofialle, joka toteuttaa Quality of-Service ajatuksen vain SD-WAN-domainissa, eli priorisointia tehdään vain suhteessa saman SD-WAN-ratkaisun muuhun liikenteeseen. Runkoverkko ei ole SD-WAN:in kontrollissa.
- MPLS on robustia ja stabiilia teknologiaa, josta kaikki lastentaudit on korjattu jo kauan sitten.
- MPLS-pohjainen yritysverkko on ”avaimet käteen” -tyyppinen kokonaistoimitus. Tämä on selkeä ero ”Internet + SD-WAN” -kombinaatioon, mikäli Internet-liittymät ja SD-WAN-palvelu hankitaan eri lähteistä.
- MPLS-verkkoratkaisussa ei ole pakko ajaa salausta, koska MPLS-tekniikalla toteutettu virtuaaliverkko on erotettu muista asiakkaista ja Internetistä.
- Eri operaattorit voivat yhdistää MPLS-runkoverkkojaan ns. NNI-rajapintojen (Network-to-Network Interface) kautta, mikä mahdollistaa esimerkiksi asiakaskohtaisten globaalien kokonaisratkaisuiden toteuttamisen.
MPLS-tekniikan merkittävimmäksi kritiikiksi on nostettu se, että sen väitetään olevan ”jäykkää”, koska siinä on sidos operaattorin runkoverkon konfiguraatioihin. Kritiikki on varmasti osin perusteltua, mutta usein myös liioiteltuja. Runkoverkkoon määriteltyjen asiakaskohtaisten verkkosegmenttien muokkaaminen ei ole mitenkään erityisen monimutkaista, vaan pikemminkin perusrutiini, jonka laadukas operaattori kykenee toteuttamaan nopeasti.
SD-WAN, ohjelmisto-ohjattu haastaja
Kuten nimi sanoo, SD-WAN (Software Defined Wide Area Network), perustuu siihen, että liikenteen ohjaukseen ja verkonhallintaan käytetään ohjelmisto-ohjausta. SD-WAN:in kantava periaate on se, että asiakasverkon looginen rakenne on eriytetty sen fyysisestä rakenteesta. Fyysisellä kerroksella voidaan käyttää esimerkiksi yritysinternetliittymä, laajakaistaliittymä tai lähes mitä tahansa IP-tiedonsiirtoon kykeneviä palveluita. Niiden päälle rakennetaan erillinen SD-WAN-kerros, joka on keskitetyn ohjainohjelmiston (Controller) kautta säädettävissä. Näistä kahdesta kerroksesta käytetään myös nimiä ”Underlay” ja ”Overlay”.
Mutta hetkinen … eikös erilaiset VPN-purkit ole keksitty jo kauan sitten, ja Internetin päälle on sen alkuajoista lähtien rakennettu erilaista salaukseen ja tunnelointiin pohjautuvia tapoja tehdä yritysverkkoja? Kyllä toki, mutta perinteinen IPSEC-tunnelointiin pohjautuva LAN-to-LAN VPN-tekniikka on luonteeltaan staattista, eli jokainen VPN-laite tai palomuuri konfiguroidaan enemmän tai vähemmän manuaalisesti ja yksilöllisesti. SD-WAN-tekniikka sen sijaan pohjautuu verkon kokonaisvaltaiseen ohjelmointiin, joka siis syrjäyttää ”purkkikohtaisen” konfiguroimisen. Tällä on suuri merkitys erityisesti silloin, kun verkon koko kasvaa.
Verkon ohjelmoitavuus sekä fyysisen ja loogisen kerroksen erottaminen toisistaan tuovat monia etuja, joista tärkeimpinä voidaan mainita seuraavat:
- Kun verkon ilmentymä on ”ohjelma” eikä ”laite”, niin verkko voidaan upottaa erilaisiin julkipilviin ja virtualisointiympäristöihin, kuten Azure, AWS, Google Cloud, VMWare, OpenStack jne. Tämä liudentaa IT-maailman ja verkkomaailman rajaa, ja mahdollistaa näiden kahden maailman lähentymisen, ja jopa sulautumisen.
- SD-WAN-ratkaisuun on helppoa sisällyttää myös palomuuritoiminnallisuus, joka on myös ohjelmoitavissa samalla periaatteella kuin WAN-osuuskin. Suosituimmat SD-WAN-toteutukset ovatkin sellaisia, joissa on palomuuritoiminnallisuus mukana.
- Jos Underlay-kerroksella käytetään Internet-liittymiä, niin SD-WAN:in palomuuriosuus voi päästää tietyn liikenteen ulos internetiin jo heti toimipistetasolla. Tällä vähennetään yhden keskitetyn palomuurin kuormaa ja kriittisyyttä ja voidaan myös optimoida liikennevirtoja.
- Underlay-kerroksella voidaan käyttää eri operaattoreiden liittymiä ja SIM-kortteja, jolloin voidaan pienentää yhden underlay-operaattorin riskiä.
- SD-WAN pohjautuu API-rajapintoihin, mikä mahdollistaa tulevaisuudessa sen, että esim. sovellukset voivat suoraan ohjelmoida verkkoa.
- Ohjelmisto-ohjaus mahdollistaa perinteistä IP-reititystä hienojakoisemman reitityksen. Liikennettä voidaan esim. sovellusten tunnistamisen kautta ohjata eri Underlay-liittymille. Underlay-liittymien laatua voidaan jatkuvasti mitata ja reitityspäätöksiä voidaan säätää mittaustulosten perusteella.
- Ohjelmisto-ohjaus mahdollistaa esimerkiksi uusien palomuurisääntöjen tai tieturvapolitiikkojen päivittämisen välittömästi kaikille verkon palomuureille. Tällä on merkittävä vaikutus silloin, kun palomuuraus on hajautettu verkon reunalle ja muureja voi olla kymmeniä, satoja tai jopa tuhansia.
- Verkon segmentoinnin ja loogisen rakenteen muokkaaminen on nopeaa ja helppoa, koska se tapahtuu ainoastaan Overlay-kerroksella ja on luonteeltaan ohjelmisto-ohjattua. Underlay-kerrosta ei näissä tilanteissa tarvitse muuttaa.
- Active-Passive -tyyppisten varayhteysjärjestelyiden sijaan voidaan siirtyä käyttämään Active-Active-tyyppistä topologiaa, jolloin kaikki kapasiteetti on koko ajan hyötykäytössä.
SD-WAN:in adaptiivisuus ja ohjelmoitavuus ovat läheisessä kytkennässä muiden IT-maailman megatrendien, kuten pilveistymisen, digitalisaation ja virtualisoinnin, kanssa. SD-WAN on parin viime vuoden aikana kypsynyt sille tasolle, että sitä pidetään jo vakavasti otettavana teknologiana ja sen käyttö yritysten keskuudessa kasvaa voimakkaasti.
Kumpi sitten on parempi, MPLS vai SD-WAN?
Ensinnäkin on syytä vastata, että molemmat ovat erinomaisen hyviä verkkotekniikoita. Molemmilla on paikkansa, ja molemmille löytyy käyttötapauksia, joissa ne ovat parempia kuin toinen. Mutta kysymys niiden absoluuttisesta paremmuudesta on yhtä turha kuin kysymys siitä, onko auton paras käyttövoima bensa, diesel, hybridi vai sähkö. Yhtä oikeaa vastausta ei ole, vaan käyttötarkoitus, käyttöympäristö, tulevaisuuden tarpeet ja tavoitteet, ja käyttötapa ratkaisevat. Jokaiselle yritykselle ja organisaatiolle kuitenkin löytyy fiksuin tapa toteuttaa yritysverkko, ja Elisan asiantuntijat mielellään auttavat sen haarukoimisessa. Suositeltavaa on esimerkiksi pitää työpaja, jossa lähdetään liikkeelle yrityksen liiketoimintastrategiasta ja yleisestä IT-strategiasta, ja suunnitellaan sen jälkeen yritykselle verkkoarkkitehtuuri, joka parhaiten tukee liiketoiminnallisten tavoitteiden saavuttamista.
MPLS:n ja SD-WAN:in välisen rajan ei välttämättä tarvitse olla mustavalkoinen joko-tai-valinta, vaan se voi olla ajan myötä liukuva raja, jossa SD-WAN-tekniikkaa otetaan asteittain käyttöön niissä asiakasverkon osissa, joissa siitä on aidosti hyötyä.
Entäpä eurot?
Ennen kuin mennään eurokeskusteluun, niin on syytä todeta, että itse asiassa SD-WAN ja MPLS-yritysverkko eivät suoranaisesti ole edes kilpailijoita, koska ne sijaitsevat eri kohdissa protokollapinoa. SD-WAN:ia on mahdollista ajaa MPLS-verkon päällä. Tällöin SD-WAN on ”overlay” ja MPLS on ”underlay”. Todellinen kilpailutilanne ja vertailtavuus saadaan aikaan vasta, kun toisessa vaakakupissa on Internet-liittymien ja SD-WAN:in yhdistelmä, ja toisessa vaakakupissa on MPLS-pohjainen yritysverkkoratkaisu.
Jos vielä tarkastellaan SD-WAN:in ja MPLS-pohjaisen yritysverkon suhdetta, niin itse asiassa niillä kolme eri tapaa sijoittautua toisiinsa nähden:
- ”Päällekkäin”: MPLS-tekniikkaa underlay-kerroksella ja sen päällä SD-WAN-overlay
- ”Rinnakkain”: Osa yritysten toimipisteistä verkotetaan MPLS-tekniikalla, ja toinen osa SD-WAN-tekniikalla. Näiden osien välissä on hallittu yhdyskäytävä, jonka palveluntarjoaja voi tuottaa osana kokonaisratkaisua.
- ”Winner takes it all”: Puhdas MPLS-ratkaisu tai puhdas Internet+SD-WAN -ratkaisu.
Jos verrataan Internet+SD-WAN -komboa MPLS:ään euromielessä, niin huomaamme, että Internet+SD-WAN -yhdistelmä tuottaa kaksi laskua: Internet-liittymän toimittaja lähettää oman laskunsa ja SD-WAN:illa myös on oma kustannuksensa. Kokonaisuuden hinta koostuu siis näistä kahdesta komponentista ja niiden välisestä integrointityöstä. Hintalappu voi kuitenkin olla MPLS-liittymän hintaa alempi, jos liikutaan esim. Aasian tai Etelä-Amerikan maissa, joihin kansainväliset MPLS-palvelut ovat suhteellisen kalliita. Sen sijaan esimerkiksi Pohjoismaissa ja Baltiassa MPLS-verkot ovat niin tiukasti kilpailtuja ja niin tehokkaasti tuotettuja, että Underlay+Overlay-mallilla ei ole mahdollista saada suoria säästöjä, vaan SD-WANin perustelut pitää löytää sen tarjoamista hyvistä ominaisuuksista.
Mutta entäpä se elinkaariajattelu? Eikö MPLS:n aika ole jo ohi?
Ei. Ainakaan markkinat eivät ole päättäneet mitään sellaista. Me Elisalla toteutamme koko ajan uusia MPLS-pohjaisia yritysverkkoja asiakkaillemme. Toki toteutamme myös SD-WAN-ratkaisuita. Tietysti jokaisen tekniikan elinkaari on äärellinen. Jonakin päivänä myös nykymuotoinen SD-WAN on historiallinen kummajainen. Mikä tahansa teknologia on. Mikään ei ole ikuista. Mutta esimerkiksi 70-vuotias FM-radio (”ULA”) on keskuudessamme ja voi hyvin, koska sen tappajaksi povattu digiradio oli vain hivenen parempi, mutta ei riittävästi. MPLS on edelleen täysin kuranttia tekniikkaa, jota voi turvallisesti hankkia. SD-WAN tulee uutena mahdollisuutena MPLS:n rinnalle, mutta ei ole sitä ”tappamassa”.
Mikä oikeastaan on olennaista?
Kun tehdään yritykselle verkkostrategiaa, kannattaa lähteä liikkeelle muutamasta perusvaatimuksesta. Nämä perusvaatimukset ovat teknologiariippumattomia. Yritysverkko on yrityksen strateginen resurssi, jolloin teknologiavalintojen lisäksi kannattaa kiinnittää huomiota valitun yhteistyökumppanin resursseihin ja kyvykkyyksin. Toimialasta riippumatta lähes kaikki yritykset ja organisaatiot asettavat tietoliikennetoimittajalleen nämä kriteerit:
- Prosessien pitää toimia. Jos tulee ongelmatilanne, pitää palveluntarjoajan reagoida määrätietoisesti ja tiedottaa aktiivisesti.
- Ratkaisun pitää skaalautua. Niin verkon fyysisen kuin loogisenkin rakenteen pitää elää ja kehittyä yrityksen liiketoiminnan muutosten tahdissa.
- Verkon suorituskyvyn pitää olla riittävä, jotta verkko ei muodostu sovellusten käyttökokemuksen pullonkaulaksi.
- Verkkoon käytettävän taloudellisen panostuksen pitää olla oikeassa suhteessa verkosta saatavaan hyötyyn.
- Valitulla yhteistyökumppanilla pitää olla riittävät henkilöresurssit, vahva paikallinen läsnäolo, kasvolliset kontaktit sekä vahvat ja monipuoliset teknologia-osaamiset, sertifikaatit ja kumppanuudet.
Teknologiavalinta MPLS:n ja SD-WAN:in välillä kyllä hoituu, kunhan prosesseihin ja toimintamalleihin liittyvät perusasiat ovat kunnossa. Onnistumisen kolmiossa on aina kolme kulmaa: teknologia, prosessit ja ihmiset. Elisalla olemme viime vuosina tehneet merkittäviä panostuksia osaamispääoman ja asiantuntijaroolien kehittämiseen, koska palveluntarjoajien väliset erot löytyvät nimenomaan siitä suunnasta.