Cześć,
tytuł zasadniczo mówi wszystko.
Jeśli masz sieć MPLS, czy ufasz na tyle swojemu dostawcy sieci, czy też nie ufasz nikomu i szyfrujesz wszystko tak czy tak?
Jeden z moich klientów ma zaszyfrowaną sieć MPLS. To jest zapewnione przez dostawcę sieci. Ale na każdym miejscu klienci mają jakieś (bardzo) silne urządzenia szyfrujące. Kontekst: bardzo wrażliwe dane i brak zaufania.
Tak długo, jak masz moc obliczeniową, nie ma powodu, żeby tego nie robić.
Z ciekawości, dlaczego nadal używasz MPLS? Nie widziałem tego od lat..
Tak naprawdę, umieszczanie VPN na MPLS trochę podważa cel posiadania MPLS. Jeśli to jest twoim celem, SDWAN z tanimi łączami internetowymi i kontrolowanym routingiem po najmniejszych kosztach jest rozwiązaniem. Podczas gdy w umowie Layer SDWAN na MPLS, aby utrzymać siatkę, a gdzie nie potrzebujesz niskiego opóźnienia linii wynajętej, wyciągnij umowy i zamień je na DIA, gdy wygasną warunki. Jednak stracisz możliwość precyzyjnego dostrojenia CoS.
Dziś uważam MPLS za sposób przeszłościowy. Wszyscy chcemy bezpieczeństwa, a MPLS nie oferuje tego samego porozumienia kontraktowego z SLA, gdy nakładasz VPN. Masz VPN, który sprawia kłopoty i nie honoruje poprawnie oznaczeń DIFFSERV wewnątrz i na zewnątrz? Powodzenia w uzyskaniu wsparcia od ISP MPLS…
Audytorzy bankowi będą oceniać instytucje finansowe, które nie szyfrują ruchu przechodzącego przez sieć MPLS (lub jakikolwiek inny medium WAN).
Z perspektywy dostawcy usług, śledzenie ruchu klienta WAN za pomocą taśm światłowodowych lub sesji ERSPAN skonfigurowanej na routerze jest trywialne.
Nie, ale uważam, że powinniśmy to robić.
Nie ufam niczemu, nad czym nie mam pełnej kontroli. Nawet jeśli wszystko jest pod kontrolą, nigdy nie wiadomo, kiedy coś może zostać naruszone. Zawsze szyfruj wszystko.
VoIP nie, wszystko inne tak.
Szczerze… promuję zaufanie zerowe… więc każde połączenie jest szyfrowane tam, gdzie to możliwe, niezależnie od sieci.
Nie ufam własnej sieci ani VPN… nie w pełni. Tam, gdzie to możliwe i rozsądne, każde połączenie jest odrębnym połączeniem. Po co ryzykować ruch boczny?
Szyfruję cały mój ruch do punktów końcowych MPLS poprzez IPSEC site-to-site.
Kupiliśmy kilka lat temu firmę, która miała sieć MPLS. Nie była szyfrowana, ani dostawca nie wydawał się kompetentny, więc ufanie, że jest właściwie odseparowana, było wyzwaniem. Szybko skonfigurowaliśmy tunele IPSEC, aby zapewnić szyfrowanie ruchu. W ustawieniach routerów i MPLS ich ruch telefoniczny nadal przechodził bezpośrednio przez MPLS i był priorytetowany przez QoS.
Rozebraliśmy ten MPLS na rzecz wdrożenia SDWAN, gdy umowa się skończyła. 10 razy większa przepustowość za 1/10 ceny przy korzystaniu z operatorów, którzy naprawdę wiedzą, co robią. Uzyskaliśmy lepszą latency między lokalizacjami przez SDWAN od różnych operatorów niż z MPLS… jeśli to ma jakiekolwiek znaczenie.
Po co MPLS, skoro można SD Wan?
Jeśli i tak muszę to szyfrować, wolę przełączyć na połączenia internetowe.
Przyjazne przypomnienie, że nie potrzebujesz tunelowania, aby korzystać z IPsec.
Zazwyczaj dostarczamy VPLS przez MPLS.
To nie jest szyfrowane.
Zaszyfrowałbym tunel WireGuard między lokalizacjami. Ale zostaw VoIP poza tym.
Robimy to, ale planujemy pozbyć się warstwy MPLS. Wolelibyśmy mieć wiele linii internetowych, w tym kopie zapasowe danych mobilnych i uruchamiać tunel przez najlepszą dostępną linię.
MPLS (tak, jak jest wdrożone) nie ma wartości dodanej, które uzasadniałyby dodatkowe koszty dla nas.
Jeśli ruch nie korzysta już z czegoś w rodzaju SSL, to tak.
Ostatnie połączenie MPLS, które miałem od dostawcy dla wielu lokalizacji, było oczywiście prywatną siecią, ponieważ każde bramki końcowe miały adresy takie jak 172.16.2.1 i 1.1 lub podobne, a trasowanie między nimi nie miało skoków, ale nadal ustawiliśmy tunel VPN między lokalizacjami z regułami zapory.
QoS nie był problemem, tak samo VoIP, ale to było dziesięć lat temu, a przepustowości tych łączy wynosiły tylko 100 Mb/s.