Datatransportkosten vormen een aanzienlijk deel van het ict-budget. Veel bedrijven onderzoeken de mogelijkheid om deze kosten te verlagen, onder meer door het inzetten van internetverbindingen. Over het internet kan een virtual private network (vpn) opgezet worden om het wan te vervangen of te ontlasten. Welke haken en ogen zitten aan het inzetten van intenet als vervanger van het wan?
Internetbandbreedte is tegenwoordig overal ter wereld te krijgen tegen tarieven die dalende zijn. Met name in de consumentenmarkt in West-Europa en de VS worden enorme bandbreedtes geboden voor stuntprijzen. Heel begrijpelijk dat het bedrijfsleven de perceptie heeft dat datanetwerken niet duur hoeven te zijn en onderzoeken worden gestart naar hoe internet de kosten voor datatransport kunnen verlagen. En inderdaad, mijn ervaring is dat afhankelijk van de eisen die gesteld worden en de locatie van de verbinding er een business case gemaakt kan worden die positief is voor het gebruik van internet. Maar er zal per locatie bekeken moeten worden of het pakket van eisen ingevuld kan worden.
In de particuliere sector is het gebruikelijk dat de up- en downstreamsnelheden van een internetverbinding niet gelijk zijn. Hierdoor is het mogelijk een grote downstreamsnelheid te leveren en een lage upstream, hetgeen perfect is voor normaal internetbrowsegedrag. De mix van verkeer dat over een bedrijfsnetwerk gaat heeft vaak meer een symmetrisch karakter, ofwel up- en downstream zijn ongeveer gelijk. Bij gebruik van internet zal de upstreamsnelheid dan minstens de benodigde capaciteit voor de desbetreffende site moeten bedragen, of zal de internetverbinding symmetrisch moeten zijn. Vaak blijkt dan dat hier een beperking zit in de maximaal verkrijgbare upstreamsnelheid. Verder zal blijken dat als symmetrische internetverbindingen worden besteld het prijskaartje bijna gelijk is als dat van de wan-verbinding die er in eerste instantie al lag.
De business case kan al gunstig uitpakken door slechts een deel van het verkeer over een internet-vpn te leiden. Met name e-mailverkeer, back-ups en internetbrowsing vormen vaak een groot deel van de totale verkeermix en gedijt goed op goedkope asymmetrische verbindingen. De wan-verbinding kan dan krimpen in bandbreedte, evenals het kostenniveau. Helaas neemt de complexiteit van de oplossing nu toe omdat vanuit de site nu onderscheid gemaakt moet worden tussen verschillende routes voor dataverkeer.
Op internetverbindingen kunnen wel degelijk servicelevels verkregen worden. Het servicelevel heeft dan betrekking op de oprit naar het internet (de local loop van de site naar een opstappunt van de provider) en het stuk internet dat binnen het beheerdomein van de provider ligt. Indien verschillende locaties gebruik maken van dezelfde provider is het dus mogelijk end-to-end garanties te krijgen over de beschikbaarheid van die internetverbinding. Uiteraard hangt aan dit servicelevel een prijskaartje dat dan helaas weer dicht bij de prijs van wan-verbindingen ligt. Financieel is het natuurlijk interessant om internetproducten voor de consumentenmarkt of kleinzakelijke markt te nemen, maar de serviceverlening is dan vaak gebaseerd op 'best effort'. Nu kan 'best effort' best voldoende zijn, zeker als je kijkt naar de hoge beschikbaarheid die in West-Europa en de VS gehaald wordt met consumentenproducten. Maar let op dat er landen zijn waar de beschikbaarheid maar 80 procent per week haalt en dat de werkelijke te halen bandbreedte slechts een fractie is van de bestelde bandbreedte. Een nadeel van providers die leveren aan de kleinzakelijke en consumentenmarkt is dat ze lokaal georganiseerd zijn, met een servicedesk in de lokale taal. Dit kan een nadeel zijn voor de grote multinationals waarbij ict vaak gecentraliseerd is.
In het kader van de beveiliging van het bedrijfsnetwerk is het van belang zicht te hebben op alle dataverbindingen naar buiten. Internetverbindingen worden vaak maar op een paar plaatsen in het bedrijfsnetwerk gekoppeld met passende maatregelen om controle uit te voeren op wat er tussen het bedrijfsnetwerk en internet op en neer gaat. Door internetverbindingen op meer locaties aan te brengen moeten ook op die plaatsen de beveiligende maatregelen getroffen worden. Met name als gebruikers de lokale internetconnectie gaan gebruiken voor het surfen op internet, kan het zijn dat er eisen gesteld worden aan url-filtering en -rapportage. Als deze eisen er werkelijk liggen kan het aantrekkelijk zijn het internetsurfverkeer toch eerst per vpn naar de centrale internetgateway te leiden en na controle en rapportage het internet op te sturen. Voor een gesloten vpn-netwerk over internet tussen locaties kan de beveiliging eenvoudiger gerealiseerd worden omdat bekend is tussen welke IP-adressen het vpn mag bestaan.
Door het toenemend gebruik van realtime datastromen voor bijvoorbeeld audio en video moet de dataverbinding voorrang kunnen geven aan bepaalde typen verkeer. Hier komen we op een zwak punt van het internet-vpn, op internet heeft iedereen evenveel voorrang (zie artikel Chaos in het verkeer door Carlo van Wordragen). Als quality of service een zware eis is, dan is het internet-vpn niet aan te raden. Mijn verwachting is echter wel dat voice- en videoapplicaties steeds beter zullen gedeien op netwerken zonder QoS door gebruik te maken van intelligente codecs die zich aanpassen aan de beschikbare netwerkkwaliteit.
Het internet-vpn-concept kan vooral in landen waar de kosten voor wan-bandbreedte lineair oploopt per MBit interessant zijn. In de VS en West-Europa zit een groot deel van de kosten echter in de gebruikte onderliggende carrier en is er haast geen prijsverschil meer tussen een paar Mbit meer of minder. Omdat de kwaliteit van internet in veel landen niet is wat we gewend zijn in de westerse wereld is aan te bevelen om de internet-vpn in die landen te gebruiken voor applicaties die niet of minder businesskrititsch zijn.
Arjen Verhiel
