Ik was laatst in de Belgische Ardennen en de wifi of 4G werkte meestal niet of super langzaam. Dan is het toch lastig je werk te doen. Wij werken voornamelijk met Google G-suite, in de Cloud dus, en zijn daar heel tevreden over. Maar ik werd er nog eens aan herinnerd dat beschikbaar en snel internet toch wel heel belangrijk is! Het is u ook vast weleens overkomen.

Het bundelen van
meerdere internetverbindingen is niet vanzelfsprekend

Hoe redundant zijn uw internetlijnen eigenlijk?

Bedrijven wedden niet graag op 1 paard en in de enterprise wereld is, vanwege het belang van snel internet, de behoefte ontstaan om belangrijke vestigingen te ontsluiten met meerdere internetverbindingen. Allereerst zodat er altijd een tweede alternatief is om de continuïteit te waarborgen op het moment dat de ene verbinding uitvalt. Redundantie wordt dit genoemd, doordat de internet-voorziening meervoudig wordt uitgevoerd.

Maar betekent deze redundantie ook automatisch dat u sneller kunt werken, doordat u de totale (hogere) bandbreedte van alle verbindingen benut? Is het ook mogelijk om 3 internetverbindingen te gebruiken, bijvoorbeeld glas, koper en 4G? En kunnen al deze verbindingen gelijktijdig (active-active) worden gebruikt?

Op papier klopt het en wordt er van alles beloofd, zoals stabiele cloud toegang, snelle applicaties, veilig werken en nog heel veel meer. Maar wat is hiervoor echt nodig en hoe werkt een ‘meervoudige internetlijn’ eigenlijk precies?

Hoe werkt edge SD-WAN?

Edge SD-WAN of ‘traditioneel SD-WAN’ werkt als volgt: U plaatst een apparaat (SD-WAN edge appliance) op de vestiging, dat betekent aan de rand (edge) van het netwerk. Het apparaat herkent verschillende applicaties (‘Nextgen’) en verdeelt de bijbehorende (uitgaande) datastromen over de beschikbare internetverbindingen. Dit verdelen van datastromen noemt men vaak ‘failover’ omdat normaliter alleen 1 verbinding (primary link) gebruikt wordt (active-passive). Terugkerende datastromen (downloads) komen binnen via dezelfde internetlijn. Als beide verbindingen gelijktijdig gebruikt worden (men spreekt dan van ‘active-active’, en ‘load-balancing’), worden de verschillende datastromen over meerdere verbindingen gelijktijdig verstuurd.

Bij edge SD-WAN wordt cloud verkeer meestal rechtstreeks naar de desbetreffende cloud gestuurd. Dit noemt men ook wel ‘local internet breakout’. De vestiging, gezien vanaf het internet, is bereikbaar via verschillende publieke IP adressen, behorende bij de respectievelijke internetverbindingen.

Een firewall is nodig om de internettoegang te beveiligen. Deze functionaliteit zit ingebouwd in het apparaat: de security wordt geleverd door ‘on-premise’ hardware.  Als uw bedrijf alleen cloudapplicaties gebruikt, dan is dit vaak een uitstekende oplossing. Een voorbeeld is SD-WAN van Cisco, Meraki, Citrix, of Versa. Het belangrijkste voordeel is dat eindgebruikers op de vestiging direct naar de Cloud kunnen verbinden. 

SD-WAN betekent niet automatisch continuïteit

Stel u zoekt een oplossing om een traditioneel MPLS netwerk aan te vullen of te vervangen. Of u wilt dat mission-critical applicaties zoals Microsoft Office 356 of ERP altijd stabiel en veilig bereikbaar zijn. In de Cloud, of ‘on-prem’: uw werknemers en andere eindgebruikers moeten altijd en overal door kunnen werken. 

Als u hiervoor SD-WAN overweegt of reeds gebruikt, dan is dat vaak een goed idee. Toch zijn er  valkuilen. Edge SD-WAN blijkt niet altijd stabiel te werken. Dat komt doordat edge SD-WAN alleen niet voldoende is, maar moet worden aangevuld met security functionaliteit. Zodoende worden verschillende technologieën en diensten van meerdere leveranciers aan elkaar geknoopt. Door bijvoorbeeld ‘updates’ kunnen die technologieën elkaar plotseling onderling niet begrijpen, waardoor uw netwerk dan toch tijdelijk ‘lam ligt’.

Als SD-WAN, en firewalls (maar ook routers, switches, en eventuele WAN-acceleratie apparaten) onderling niet goed communiceren, wordt bij storingen niet meteen overgeschakeld naar een alternatief, met alle gevolgen van dien. Bijvoorbeeld bij storing van een verbinding of degradatie van die verbinding. Omdat diverse zaken aan elkaar zijn geknoopt kan het lastig zijn de oorzaak (root-cause) te achterhalen. Uitval of degradatie kan mogelijk leiden tot aanzienlijke kostenposten en is eigenlijk geen optie! 

Dit is vaak het probleem van wat wij noemen: ‘Telco-managed SD-WAN’: U denkt dat complexiteit voor u niet relevant is, omdat u vertrouwt op een ander om dit voor u te managen. Maar uiteindelijk verdwijnt daarmee niet het probleem, de complexiteit blijft. Hoe dan ook, u krijgt de rekening gepresenteerd in de vorm van uitval of te hoge kosten, of -erger nog- hacks. Zelf als uw netwerk infrastructuur wordt beheerd door een gerenommeerde internationale Telco.

Hoe werkt SASE SD-WAN?

Net als bij edge SD-WAN plaatst u een apparaat (SASE SD-WAN edge appliance) op de vestiging. Net als bij edge SD-WAN, herkent het apparaat verschillende applicaties en verdeelt de bijbehorende (uitgaande) datastromen over de beschikbare internetverbindingen. Dit verdelen van datastromen is altijd active-active. Het betekent dat alle verbindingen kunnen gelijktijdig gebruikt worden.  

Het edge device stuurt normaliter alle verkeer (encrypted) naar de wereldwijde SASE Cloud. Het publieke internet wordt alleen gebruikt voor transport naar het dichtstbijzijnde SASE knooppunt! 

Het maakt dus niet meer uit welke uitgaande en terugkerende datastromen via welke internetlijn lopen! Het dataverkeer wordt namelijk niet rechtstreeks (direct) vanaf de vestiging naar de desbetreffende cloud gestuurd. De firewall, om de internettoegang te beveiligen, wordt geleverd vanuit de SASE Cloud.

Als uw bedrijf zware eisen stelt aan security (‘Zero-Trust’), dan blijkt dit vaak een betere oplossing. Dat geldt ook als uw bedrijf niet alleen cloud-applicaties gebruikt. 

Hoe wordt uw bedrijfscontinuïteit gewaarborgd?

IPknowledge waarborgt uw bedrijfscontinuïteit door te zorgen voor een ononderbroken en veilige levering van kritische applicaties aan al uw vestigingen en eindgebruikers. Het fundament is een volledig veerkrachtige netwerkarchitectuur op basis van SASE SD-WAN. Dat is net even anders ten opzichte van wat wij ‘traditioneel SD-WAN’ noemen.

Meerdere internetverbindingen
combineren

We combineren op een slimme manier meerdere lijnen van verschillende Internet Service Providers (ISP’s) en zorgen ervoor dat elke vestiging, waar dan ook ter wereld, volledig redundant is verbonden.

De hoogste graad van redundantie

De hoogste graad van redundantie wordt bereikt als men SASE gebruikt. Hoe het technisch werkt is dat het nieuwe (zichtbare) publieke IP adres een IP wordt op het SASE SD-WAN Netwerk. U bent dus niet meer zichtbaar of afhankelijk van de door de Telco geleverde IP-addressen, wat IP Address Management (IPAM) ook weer veel eenvoudiger maakt. En dat is niet het enige voordeel: Uw bedrijf ligt achter de SASE cloud (Attack surface), en vangt ook alle klappen voor u op, bijvoorbeeld van DDOS aanvallen.

Resultaten met SASE SD-WAN

De voordelen van SASE gaan dus verder dan het gelijktijdig benutten van alle (2 of 3) internetlijnen.
De belangrijkste resultaten op een rij:

• alle beschikbare internet capaciteit wordt benut wordt.
• U bent niet langer beperkt door de CPU rekenkracht van de ‘on-prem’ firewall. 
• U heeft volledig inzicht en controle, omdat alle verkeer via de SASE Cloud loopt. 
• Thuiswerkers, 3rd parties of clouddiensten verbindt u gemakkelijk en op uniforme wijze.
• U kunt uw beveiligingsniveau naar wens op en afschalen.
• De beveiliging wordt uniform toegepast, of het nu gebruikers op kantoren zijn, 3rd parties, thuiswerkers of IaaS diensten.
• Volledig end-to-end controle op het verkeer, zodat uw belangrijke applicaties altijd voorrang krijgen.
• De hoogst haalbare beschikbaarheid en beveiliging van uw netwerk op alle vestigingen, (cloud)datacenters en voor alle thuiswerkers.
• Bestaande internetlijnen, of nieuwe, worden actief-actief ingezet.
• QoS functionaliteiten kunnen worden ingezet: Bedrijfskritisch dataverkeer krijgt altijd voorrang op verkeer met een lagere prioriteit in geval van netwerkproblemen.
• Schaalbaarheid in aantal (tunnels), ongeacht naar andere vestigingen.
• Voor elke vestiging, zoals een hoofdkantoor, fabriekslocatie, logistiek distributiecentrum, magazijn voor opslag, winkelfiliaal of verkoopkantoor kiest u eenvoudig de optimale prijs/prestatieverhouding: u hebt de touwtjes in handen en wij geven graag advies waar het net even anders moet zijn.

Net iets meer willen doen

Een belangrijke kernwaarde van IPknowledge is “Here to help.” Dat betekent dat we als Network as a Service partner niet reactief reageren, als het probleem zich al heeft voorgedaan, maar proactief. “Voorkomen is beter dan genezen”. 

Bert-Jan Kamp – CTO IPknowledge

Bundelen van meerdere internetverbindingen