VPN, VLL e VPLS: come le aziende possono collegare tra loro più sedi
Per le aziende con più succursali, una collaborazione efficiente tra le diverse sedi è fondamentale. A tal fine, queste devono essere collegate in rete. Il collegamento in rete più diffuso è tramite Virtual Private Network (VPN), Virtual Leased Line (VLL) o Virtual Private LAN Service (VPLS). Nella scelta del metodo adeguato occorre tener conto dei rispettivi vantaggi e svantaggi, nonché delle esigenze in termini di sicurezza, qualità e costi.
Le imprese con più sedi devono garantire un trasferimento agevole dei dati e delle comunicazioni tra le sedi stesse. Affinché i collaboratori della sede A abbiano accesso agli stessi documenti dei collaboratori della sede B, è necessario che le sedi siano collegate tra loro. Questa connessione può essere realizzata in diversi modi. Ogni metodo presenta vantaggi e svantaggi diversi.
Collegamento in rete delle sedi tramite Virtual Private Network (VPN)
Il collegamento in rete tramite Virtual Private Network (VPN) è un metodo comune di collegamento in rete tra sedi. La VPN stabilisce una connessione sicura tra mittente e destinatario cifrando tramite un cosiddetto protocollo di tunneling i pacchetti di dati, inserendoli in un altro pacchetto di dati e trasmettendoli via internet. Crea una sorta di galleria attraverso l’Internet pubblico che non può essere visualizzata dall’esterno.
Vantaggi e svantaggi di un collegamento in rete delle sedi tramite VPN
La crittografia VPN protegge la connessione dal pubblico, ma ciò richiede un’elevata potenza del processore, con conseguenti consumi di energia elettrica. I gateway VPN a prezzi convenienti hanno inoltre un throughput limitato. Anche nelle comuni connessioni internet da 10 Gigabit, non appena la VPN viene attivata, la velocità si riduce spesso a livello di megabit. Di conseguenza, i gateway VPN più potenti, la cui configurazione può essere molto complessa, sono costosi.
La VPN funziona indipendentemente dal provider, tuttavia la performance dipende dalla qualità della interconnessione tra i provider coinvolti. Se i pacchetti di dati non vengono trasportati in modo ottimale da un punto A a un punto B (routing subottimale), ciò può avere ripercussioni negative sull’esperienza utente della VPN.
Collegamento in rete delle sedi tramite Virtual Leased Line (VLL)
Una Virtual Leased Line è un collegamento punto a punto dedicato tra due sedi, messo a disposizione da un unico provider. Le due sedi possono comunicare tra loro come se fossero collegate da una linea diretta.
Si può immaginare una connessione VLL come un cavo Ethernet diretto molto lungo. Se sono collegate più sedi, vengono utilizzate più VLL e solitamente viene definita una sede principale.
Una parte della connessione VLL viene realizzata tramite una linea fisica e una parte tramite una linea virtuale. Tra le sedi e il Point of Presence (PoP) più vicino del provider viene affittata una linea fisica, di solito una fibra ottica dell’infrastruttura FTTH locale.
La parte tra i PoP, ovvero la maggior parte del tragitto, viene realizzata tramite una linea virtuale sulla rete (più precisamente sulla backbone) del provider. «Virtuale» perché una parte della capacità di rete del provider viene assegnata virtualmente alla VLL.
Supponiamo che un’azienda abbia una sede a Zurigo e una a Ginevra e voglia collegare queste due sedi con una soluzione VLL di Init7. In questo caso, Init7 mette a disposizione dell’azienda una linea fisica dalla sede di Zurigo al più vicino PoP (Point of Presence) Init7 di Zurigo e dalla sede di Ginevra al più vicino PoP Init7 di Ginevra. Il collegamento tra i due PoP (cioè tra Zurigo e Ginevra) avviene tramite una linea virtuale. A livello di sedi, però, è come se ci fosse un collegamento diretto tramite LAN.
Il routing non è sempre ottimale
Normalmente il trasferimento dei dati funziona così: i dati (ad es. un’e-mail) inviati da qualcuno vengono suddivisi in piccoli pacchetti. A ogni pacchetto dati viene assegnato un cosiddetto header, contenente informazioni rilevanti per l’elaborazione del pacchetto. Ad esempio, vi sono definiti l’indirizzo dell’emittente e della destinazione.
I pacchetti di dati attraversano numerosi router fino a raggiungere la destinazione. Ogni router legge l’header dei pacchetti e li inoltra al router successivo utilizzando una tabella di routing.
Questo routing è «destination based», ovvero il mittente dei dati non può determinare il percorso dei suoi pacchetti. Pertanto accade spesso che i pacchetti di dati non vengano inoltrati sul percorso ottimale (routing subottimale). Ad esempio, i pacchetti di dati tra Winterthur e Zurigo possono deviare attraverso Londra: in gergo tecnico si parla ironicamente di «Scenic Routing». Le connessioni VPN possono quindi risentirne.
La VLL si basa sul MPLS (Multiprotocol Label Switching)
La situazione è diversa per il Multi Protocol Label Switching (MPLS): il percorso dei pacchetti dati viene definito in anticipo dal provider.
A tal fine, ai pacchetti dati vengono assegnate delle etichette che indicano un percorso specifico (un cosiddetto Label Switched Path (LSP)). Queste informazioni vengono inserite in un header di livello superiore rispetto a quello «normale». I router nella backbone del provider leggono solo questo header MPLS e inoltrano i pacchetti al successivo router predefinito di conseguenza.
Poiché l’MPLS è gestito solo all’interno della rete del provider, quest’ultimo ha il controllo sulla qualità della connessione. Pertanto ci si può aspettare un ottimo throughput.
Per esigenze «normali» con la VLL non è necessaria la codifica.
Contrariamente alla VPN, le VLL non sono crittografate. Tuttavia, poiché i dati passano solo attraverso l’infrastruttura del provider e non tramite l’Internet pubblico, è sufficiente incaricare un provider VLL affidabile.
Come menzionato, i dati trasmessi tramite MPLS sono contrassegnati da un’etichetta e giungono esclusivamente all’indirizzo di destinazione. Si può immaginare un’analogia con i bagagli in aereo: l’etichetta del bagaglio definisce la destinazione, ma la compagnia aerea (il provider) può (teoricamente, nella pratica non succede) visualizzare il contenuto della valigia tramite radiografie.
Nel peggiore dei casi, a causa di una configurazione errata, le etichette possono essere scambiate e il pacchetto di dati può arrivare alla destinazione sbagliata. Tuttavia, a causa del malfunzionamento che ne risulterebbe, il problema verrebbe subito individuato. Il rischio per la sicurezza è quindi minimo.
Crittografia ad alta sicurezza possibile tramite VLL
Per le connessioni tra sedi con esigenze di sicurezza maggiori, ad esempio nel settore bancario, è possibile una crittografia per mezzo di apparecchi aggiuntivi. Ai collegamenti VLL vengono collegati appositi dispositivi di cifratura che codificano l’intero traffico di dati. Una crittografia di questo tipo è sicura come se il PIN della carta di credito venisse modificato ogni minuto. In questo caso, quindi, l’azienda non deve più nemmeno fare affidamento sul proprio provider VLL.
I dispositivi di cifratura potenti con un throughput senza perdite sono tuttavia costosi e occorre mettere in conto un importo a cinque cifre per coppia. In compenso, possono funzionare senza manutenzione per diversi anni. Qualche tempo fa inside-it.ch ha pubblicato una panoramica del mercato dei dispositivi di cifratura.
Combinazione con l’accesso a internet: una scelta sensata
Oltre al collegamento in rete delle sedi, è possibile combinare il collegamento a Internet con la soluzione VLL. Nel grafico qui sopra, ad esempio, apparirebbe così: la sede di Zurigo viene collegata a Internet, quella di Ginevra no.
Se un collaboratore accede a una pagina Internet a Ginevra, il traffico passa prima attraverso la VLL a Zurigo, da lì nell’Internet pubblico e poi di nuovo attraverso la VLL da Zurigo a Ginevra.
Questo aumenta la latenza (tempo di ritardo) di alcuni millisecondi, ma consente di risparmiare sui costi, poiché è sufficiente investire nell’infrastruttura firewall in un unico luogo. Inoltre, aumenta la sicurezza in quanto la superficie di attacco viene ridotta al minimo.
Vantaggi e svantaggi di un collegamento in rete delle sedi mediante VLL
Le VLL offrono un’elevata flessibilità e scalabilità in quanto possono essere facilmente configurate. Dal punto di vista dell’utente si tratta di una soluzione «plug and play» senza complicate configurazioni. Molto spesso le VLL sono più convenienti rispetto alle tradizionali linee dedicate in leasing, in quanto richiedono meno infrastrutture. Le possibilità di utilizzo dell’infrastruttura FTTH locale vengono ampliate.
L’interconnessione delle sedi tramite VLL offre inoltre il vantaggio che le singole sedi sono collegate tra loro come se fossero cablate direttamente con 1 o 10 Gigabit. A differenza della VPN, il throughput non ne risente.
Tuttavia, vi è il rischio che la backbone del provider VLL sia sovraccarica e che si verifichi un congestione dei dati. Tuttavia, con i fornitori seri, normalmente ciò non avviene. In ogni caso , una VLL è molto più potente di una soluzione VPN convenzionale. Tuttavia la VLL richiede fiducia nel provider, poiché non viene cifrata se non si adottano misure aggiuntive.
Collegamento in rete delle sedi tramite Virtual Private LAN Service (VPLS)
Il collegamento in rete tramite VPLS prevede l’interconnessione di tutte le diverse sedi di un’azienda. Ogni sede è collegata a tutte le altre. Come nel caso della soluzione VLL, per le sedi è come se fossero collegate direttamente tramite LAN.
A differenza del collegamento in rete tramite VLL, le soluzioni VPLS non sono gestite. Ciò significa che il provider mette a disposizione solo la connessione e che il routing del traffico dati è gestito dall’azienda stessa.
Si può immaginare il VPLS come un cavo Ethernet con più di due estremità. È l’impresa a doversi assicurare che i dati arrivino all’uscita giusta.
Vantaggi e svantaggi di un collegamento in rete delle sedi mediante VPLS
Rispetto alla VLL, con il VPLS la configurazione è più complessa sia per l’azienda che per il provider. In genere il VPLS è utile per collegare in rete poche sedi. Quando è necessario collegare un gran numero di sedi diverse, il VPLS è meno adatto. La logica di routing deve essere fornita dall’azienda stessa, il che rende il collegamento in rete molto più oneroso.
Collegamento in rete delle sedi con Init7
Colleghiamo le sedi dei nostri clienti con VLL flessibili, assolutamente competitive e scalabili, adatte sia alle piccole che alle grandi imprese. Non offriamo VPLS per gli svantaggi menzionati sopra.
Se è necessario collegare in rete più sedi, ricorriamo a più VLL. Si tratta di una soluzione più sicura, ma non più costosa, perché il nostro modello di fatturazione viene calcolato per ogni sede e non per ogni connessione. L’offerta comprende VLL da 1 Gigabit e 10 Gigabit allo stesso prezzo, in linea con la nostra garanzia MaxFix. La larghezza di banda scelta dipende quindi solo dall’infrastruttura LAN di cui dispone il cliente. Maggiori informazioni sul nostro sito web