Soy un técnico de redes junior y me cuesta entender algo. ¿Cuáles son las ventajas de tener una solución SD-WAN integrada encima de una solución MPLS existente?
La empresa para la que trabajo tiene dos ubicaciones de centros de datos y 8 sucursales, todas conectadas mediante enlaces MPLS duales desde un proveedor de servicios centralizado en una topología en estación de tren. Cada sitio también tiene dos enlaces dedicados a Internet para acceso directo, y cada sitio tiene su propio firewall.
Todo esto funciona muy bien. Pero ahora aparentemente vamos a integrar una solución SD-WAN sobre todos estos enlaces de internet y MPLS, con uno de los centros de datos sirviendo como el hub.
¿Alguien puede explicarme el beneficio de tener SD-WAN sobre MPLS? ¿Es esto una práctica común? Las respuestas que estoy encontrando sugieren que normalmente no harías esto, usarías MPLS O SD-WAN, pero no ambos ligados juntos.
Internet es un medio compartido. En cualquier día, puede ser una experiencia drásticamente diferente. Los enlaces MPLS generalmente están respaldados por un SLA del proveedor de servicios.
La mayoría de las empresas que he visto que mantienen MPLS cuando usan SD-WAN lo utilizan como una ruta ‘premium’ para las aplicaciones que lo necesitan. Luego, internet para todo el tráfico masivo. (Generalmente, el proyecto también reduce el ancho de banda MPLS para reducir costos)
SD-WAN puede considerarse como una combinación de varias tecnologías diferentes, pero su objetivo principal es conocer qué conexiones ascendentes tiene y enviar + priorizar qué conexiones envían diferentes tipos de tráfico.
Cuantas más conexiones ascendentes pongas a disposición de SD-WAN, más flexibilidad y control tendrás.
Supongamos que tienes una aplicación particularmente sensible a la latencia, pero solo interna y no necesita acceder a internet. Podrías decidir que este tráfico se envía a través de tu enlace MPLS en lugar de la VPN sitio a sitio. Pero otras aplicaciones menos sensibles a la latencia podrían simplemente usar la VPN, ya que probablemente tengan mayor ancho de banda.
Entonces, podrías decir, “vale, pero si el MPLS es privado de todos modos, ¿por qué molestar en cifrar el tráfico?” El asunto es que, generalmente, no se cifra el tráfico que pasa por MPLS, al menos no por encima de los encabezados del datagrama. No hay VPN a través del MPLS, solo internet público.
Cuando desplegué SD-WAN para un cliente, estaban en proceso de cerrar sus conexiones MPLS, para que SD-WAN pudiera reemplazar conexiones MPLS caras con conexiones de internet más baratas.
Resumen - Para la mayoría de los clientes, no tiene sentido. Usa WAN público (Internet) en lugar de WAN privado.
En teoría, los servicios MPLS de las telcos son de mejor calidad en circuito con garantías de ancho de banda y servicio. En realidad, la mayoría de las telcos no cumplen esas garantías y tienen un rendimiento de reenvío de paquetes muy pobre.
Para garantizar el ancho de banda, los servicios MPLS solo ofrecen un ancho de banda muy limitado. Por ejemplo, podemos comprar un servicio de Internet de 10Gb por la mitad del precio de un servicio MPLS de 1G. La mayoría de las veces, puedes comprar dos servicios, cada uno con diez veces más ancho de banda, por el mismo precio que un servicio MPLS de 1G. Por supuesto, esto puede variar dependiendo de la competitividad de la telco local.
En redes, el ancho de banda resuelve TODOS los problemas. Mejor latencia, menos pérdidas y retransmisiones, mayor capacidad, etc. Diría que diez veces el ancho de banda significa cincuenta veces el rendimiento.
Es bastante común que las personas tengan una creencia falsa acerca de los circuitos MPLS y su “calidad”. En teoría, los servicios MPLS están cuidadosamente diseñados y tienen SLAs. En la práctica, las redes de los operadores están >90% asignadas a internet, por lo que el MPLS usa el mismo equipo y cables. La fiabilidad de los servicios de internet es generalmente la misma que la de MPLS en 2024 (puede variar, investiga tú mismo)
Aunque hay algunos casos en los que el ancho de banda MPLS tiene sentido, la mayor parte de las implementaciones de SD-WAN usan WAN público. Si tienes miedo, o el representante de ventas de la telco difunde MIEDO, entonces adquiere servicios MPLS e Internet, y ejecuta SDWAN sobre ellos. Todos se dan cuenta rápidamente de que el MPLS no vale la pena y lo cancelan en menos de un año.
Realizamos SDWAN con un MPLS y un Internet. En sitios críticos, mantenemos ambos MPLS y descargamos Internet localmente. Cosas como Office365 y aplicaciones AWS no necesitan recorrer toda la red corporativa.
MPLS es mucho más caro, así que introduces SD-WAN para descargar el tráfico que puedas, reducir los compromisos de MPLS mientras mantienes QoS dedicado para lo necesario.
Para darte una idea de cuánto más caro, cité un proyecto para pasar de MPLS solamente a MPLS + SDWAN usando doble diá y múltiples sitios, y el punto de equilibrio fue aproximadamente 6 meses, incluyendo licencias y algunos equipos (otros equipos ya eran compatibles con SDWAN). El coste operativo continuo se reduciría en un ~75% pero los anchos de banda se duplicaron. Después de probarlo, hicimos una prueba de todo el tráfico con SDWAN y funcionó tan bien que rápidamente la gente empezó a preguntar por qué mantener MPLS.
SD-WAN está realmente pensado para facilitar la migración lejos de circuitos caros y dedicados como MPLS y hacer que SLA L4-L7 sea el estándar para mover el tráfico.
SD-WAN gestiona el aspecto privado del MPLS con su propio superposición cifrada y enrutada para darte el mismo flujo lógico que obtendrías con MPLS.
Entonces, cada sitio tiene actualmente 4 enlaces. ¿2 son DIA y 2 MPLS?
Con una buena configuración de SD-WAN, podrías eliminar un DIA y un MPLS, reduciendo tus costos a la mitad y usando cada enlace como respaldo del otro.
Si el enlace MPLS falla, el tráfico interno se envía por un túnel SD-WAN usando el enlace a Internet.
Si el DIA falla, SD-WAN enruta Internet al centro de datos.
Esto también se puede hacer sin SD-WAN, pero se supone que es más fácil de configurar y gestionar con una solución SD-WAN.
depende del tipo de SD-WAN. si tu SD-WAN es básicamente DMVPN, entonces no hay ningún sentido en hacerlo, todo lo que estás haciendo es añadir sobrecarga de IPsec sin resultados. si estás involucrando cosas como aceleradores WAN, por ejemplo Riverbed Steelheads, entonces sí es válido.
Supongo que la SD-WAN encima debería darte algún control sobre el flujo del tráfico, también se puede hacer monitoreo activo y sondeos con una buena solución de SD-WAN.
A largo plazo, tu jefe podría eliminar uno de los enlaces MPLS redundantes para ahorrar costos.
Los proveedores de SD-WAN adoran venderse como una superposición sobre cualquier cosa y decir que pueden.
Tiene algunos puntos de venta increíbles, como enviar el tráfico donde quieras, salida local en lugar de salida a través del núcleo.
Enrutamiento avanzado, enviar SIP por tu MPLS, transferencias de archivos por Internet. Modelar las cosas a diferentes velocidades en diferentes ocasiones. Tener políticas consistentes desde un solo panel de control.
Es bastante genial cuando funciona, solo asegúrate de hacer las cosas a la manera SD-WAN, intentar aplicar ideas de enrutamiento tradicionales y políticas encima te enviarán en círculos y a menudo lo romperán.
Es una práctica común, MPLS tiene SLA más estrictos y permite realizar QoS de extremo a extremo. En general, se considera más fiable que un circuito IP regular con NAT e IPSec, que a su vez se considera más fiable que LTE. Normalmente, un sitio puede tener alguna combinación de estos tipos de circuitos. SD-WAN nos permite cambiar dinámicamente entre circuitos por aplicación para garantizar una alta experiencia del usuario.
El MPLS ofrece un camino de baja latencia de regreso a nuestro centro de datos para aplicaciones internas, el DIA permite que el tráfico de la nube/internet salga localmente.
Podemos perder cualquiera de los circuitos y el tráfico cambiará automáticamente.
Si no tienes muchas aplicaciones internas o no son sensibles a la latencia, no hay mucho beneficio en mantener los circuitos MPLS. Sería más barato obtener DIAs más anchos de diferentes proveedores y hacer IPSEC de regreso al centro de datos para lo necesario. (O podrías ir completamente Zero Trust y eliminar las VPN sitio a sitio).
SD-WAN es eficiente en costo, pero en circunstancias muy particulares, las líneas arrendadas te dan control de latencia. Hoy en día hay muy pocos de estos, pero si te preocupan los milisegundos, todavía puedes tener MPLS en algún lugar.
Piensa en ello como una agregación de tus enlaces ISP. Mi empresa solía tener todo MPLS, pero cuando empezamos a implementar SD-WAN, pedimos un tercer enlace en nuestros sitios y cuando los contratos expiraron, eliminamos el MPLS y usamos otras herramientas para gestionar el tráfico como queríamos.
En cuanto a usar ambos, por ejemplo, podrías trasladar todo el tráfico de internet por un enlace público y filtrarlo con alguna solución como ZScaler o volverlo al cuartel general y luego usar estrictamente MPLS para el tráfico interno. En última instancia, te dará más flexibilidad y redundancia, solo debes entender qué estás comprando.
Incluso con SD-WAN deberías tener rutas a ambos centros de datos.
Francamente, no veo el coste adicional del MPLS + DIA sobre SDWAN.
Simplemente haría múltiples DIA sobre SDWAN y ahorraría el extra del MPLS. A menudo, he visto que los enlaces DIA son más baratos y de mayor ancho de banda que MPLS.