Zpedia 

/ Cosa si intende per Multiprotocol Label Switching (MPLS)?

Cosa si intende per Multiprotocol Label Switching (MPLS)?

Il Multiprotocol Label Switching (MPLS o, letteralmente, commutazione di etichetta multiprotocollo) è una tecnica di rete WAN (Wide Area Network) che instrada il traffico utilizzando etichette (e non indirizzi di rete) per determinare il percorso più breve possibile per l'inoltro dei pacchetti. L'MPLS etichetta ogni pacchetto di dati e verifica il percorso che segue, anziché inviarlo da un router all'altro tramite commutazione di pacchetto. Il suo scopo è quello di ridurre al minimo i tempi di inattività, migliorare la qualità del servizio (QoS) e garantire che il traffico si muova il più rapidamente possibile.
Trasformazione cloud ed SD-WAN
Sicurezza della reteSicurezza sul cloud
  1. Come funziona
  2. I vantaggi dell'MPLS
  3. MPLS e adozione del cloud
  4. MPLS ed SD-WAN a confronto
  5. SASE
  6. Zscaler SD-WAN e SASE
  7. Risorse suggerite
  8. Domande frequenti
  9. Argomenti correlati

Come funziona il routing tramite MPLS?

A un livello di base, l'MPLS agisce trasformando i router in switch, assegnando al traffico un percorso predeterminato da seguire in base alle etichette. In questo senso, le connessioni MPLS sono molto più potenti e affidabili delle tradizionali connessioni a commutazione di pacchetto o di circuito.

L'MPLS consente l'inoltro dei pacchetti IP al livello di commutazione OSI di livello 2 (collegamento dati), senza passare al livello 3, ovvero al livello di rete o di routing. Il routing basato su protocollo Internet (IP) invia il traffico su un lungo percorso con più fermate, ma con l'MPLS, il traffico riceve un'etichetta MPLS e viene inviato tramite un percorso a commutazione di etichetta (Label-Switched Path, LSP) inserito tra le intestazioni di livello 2 e di livello 3. Con questo metodo, i router devono interpretare solo le etichette MPLS del traffico, non l'indirizzo IP completo.

Esistono due tipi di router MPLS: i Label Edge Router (LER) per l'ingresso, che etichettano i dati in arrivo, e i Label Switch Router (LSR) per l'uscita, che inviano i dati etichettati alla relativa destinazione. Esistono anche LSR intermedi, che correggono, se necessario, il collegamento dati su cui viene inviato il pacchetto.

Questi router combinano i pacchetti con caratteristiche simili e li inseriscono nella stessa classe di equivalenza di inoltro (Forwarding Equivalence Class, FEC), in modo che possano essere inviati allo stesso LSP dopo aver ricevuto la stessa etichetta. In un contesto aziendale, questa pratica può ridurre significativamente i tipi di traffico su un livello di rete e ridurre la latenza.

A cosa serve l'MPLS?

L'MPLS agisce creando percorsi da punto a punto che agiscono come connessioni a commutazione di circuito, ma trasmettono pacchetti IP di livello 3. In questo senso, è la soluzione ideale per le organizzazioni che hanno filiali in remoto in diverse località del territorio e che necessitano di concedere l'accesso al data center. Questa, almeno, era la sua funzione principale quando i dipendenti lavoravano ancora prevalentemente dall'ufficio.

Molte organizzazioni utilizzano l'MPLS all'interno di una rete privata virtuale (VPN), sia per creare il percorso da punto a punto di cui abbiamo parlato in precedenza, sia per un servizio LAN privato. Questa soluzione offre un certo grado di diversità, in quanto può essere implementata indipendentemente dai protocolli di rete sottostanti che vengono utilizzati (Ethernet, SDH, ATM, ecc.). La decisione di inoltro non verrebbe influenzata perché, ancora una volta, conta solo che l'etichetta corrisponda.

In cosa consiste l'MPLS?

L'MPLS si avvale di quattro meccanismi esclusivi che migliorano la qualità e la stabilità della connessione:

  1. L'etichetta: l'MPLS non esisterebbe senza un'etichetta (label) associata a ciascuna connessione.
  2. Campo classe del traffico: questo componente assegna la priorità ai pacchetti in base alla qualità del servizio.
  3. Segnalazione "Bottom of stack": indica a un router di uscita che non ci sono ulteriori etichette da assegnare a quella data connessione.
  4. Time to live: indica il numero di hop che i dati possono effettuare prima di essere scartati.

Queste quattro categorie secondarie rendono l'MPLS più facile da gestire rispetto ad altri metodi meno rigidi per l'inoltro del traffico. È un po' come tracciare una spedizione usando il numero di tracciamento, invece di cercare di indovinare, ad esempio, la targa o il numero di telaio del furgone che effettua la consegna.

I vantaggi dell'MPLS

Molti ritengono che l'MPLS sia un approccio un po' datato, migliore rispetto al routing tradizionale basato su IP, ma che presenta difficoltà rispetto a opzioni più agili e flessibili come la SD-WAN. Nonostante questo, presenta alcuni vantaggi.

In particolare, è più scalabile della commutazione di pacchetto o di circuito, offre elevati livelli prestazionali, riduce la congestione del traffico di rete e garantisce un'esperienza migliore per gli utenti finali. Inoltre, elimina la necessità di effettuare ricerche in una tabella di routing a ogni fermata. Inoltre, come accennato in precedenza, si tratta di un protocollo di routing che può essere implementato indipendentemente dal protocollo di rete utilizzato dall'organizzazione, aspetto che aumenta la flessibilità.

Come funzionano le reti MPLS nell'ambito dell'adozione del cloud

Per consentire all'MPLS di funzionare sul cloud, è possibile integrarlo con una serie di tecnologie, tra cui:

  • Servizi di routing virtuale: utilizzando un router cloud su un dispositivo MPLS, è possibile impiegare una rete definita da software (SDN) per stabilire connessioni cloud MPLS.
  • Offloading: una connessione diretta a Internet permette di effettuare l'offloading del traffico web, consentendo all'MPLS di trasportare solo il traffico diretto all'ufficio, liberando capacità di riserva.
  • SD-WAN: la SD-WAN potenzia l'MPLS con collegamenti Internet a banda larga a basso costo o lo sostituisce con Internet per basare la progettazione sulle esigenze delle applicazioni e della larghezza di banda.

L'MPLS può essere adattata per funzionare negli ambienti cloud, se configurata correttamente, ma con la diffusione capillare del cloud questa tecnologia inizia gradualmente a perdere rilevanza a causa della sua architettura legacy. Ne parleremo più approfonditamente nella prossima sezione.

Svantaggi dell'MPLS

L'MPLS presenta una serie di problematiche che si accentuano con l'adozione del lavoro da remoto e del cloud:

Maggiore complessità

La distribuzione e la gestione di router in ogni sede richiede molto tempo, comporta compromessi in termini di sicurezza e limita la capacità di rispondere a esigenze in continua evoluzione.

Esperienza utente scadente

Il backhauling del traffico verso apparecchi di sicurezza centralizzati, che non sono stati progettati per gestire le esigenze delle app cloud, rende gli utenti poco produttivi e insoddisfatti.

Mancanza di sicurezza

Quando gli utenti abbandonano la rete aziendale e la VPN MPLS, le policy di sicurezza perdono la capacità di rilevamento e i rischi aumentano. È necessaria una protezione uniforme, indipendentemente dal modo in cui si connettono gli utenti.

Inoltre, l'MPLS non offre la crittografia, e questo è un problema critico in un contesto in cui le operazioni si spostano sempre più verso il cloud. Oggi, con l'aumento della larghezza di banda richiesto dai servizi cloud e normative sempre più stringenti sulla protezione dei dati sensibili, soprattutto durante il transito da e verso il cloud, l'utilizzo dell'MPLS risulta sempre più difficile da giustificare.

MPLS ed SD-WAN a confronto

L'etichettatura dell'MPLS può offrire vantaggi rispetto ai metodi di routing del traffico meno sofisticati del passato, ma la SD-WAN utilizza criteri definiti da software per selezionare il percorso migliore per instradare il traffico verso Internet, le applicazioni cloud e il data center. Questo aspetto la rende più adatta per le applicazioni in tempo reale, come UCaaS, VoIP, business intelligence e così via.

Grazie alla sua struttura definita da software, la SD-WAN garantisce un provisioning più semplice e una gamma più ampia di configurazioni ingegneristiche del traffico. Allo stesso modo, la SD-WAN offre una sicurezza significativamente migliore rispetto all'MPLS, con policy definite da software, stabilite e applicate tramite il cloud, che aiutano a proteggere il traffico di rete, indipendentemente dalla sua provenienza o destinazione.

La SD-WAN offre una serie di vantaggi rispetto all'MPLS, ma per ereditare un set completo di soluzioni di sicurezza e di rete fornito sul cloud in grado di offrire esperienze ottimali e una sicurezza avanzata, ovunque, ti serve in realtà un modello SASE (Secure Access Service Edge).

Un approccio SASE

Per far fronte alle sfide in continua evoluzione poste dal cloud, molte organizzazioni si stanno orientando verso un'infrastruttura cloud sia per la rete che per la sicurezza (SASE). Questo framework garantisce un accesso sicuro a tutte le applicazioni, oltre alla piena visibilità e all'ispezione del traffico su tutte le connessioni.

Il SASE offre:

Riduzione dei costi e della complessità dell'IT

Il SASE non si concentra più su un perimetro sicuro, ma sulle entità, come gli utenti. Basati sul concetto dell'edge computing, che prevede l'elaborazione delle informazioni vicino alle persone e ai sistemi che ne hanno bisogno, i servizi SASE avvicinano la sicurezza e l'accesso agli utenti. Utilizzando le policy di sicurezza interne dell'organizzazione, questo approccio consente o nega in modo dinamico le connessioni ad applicazioni e servizi.

Esperienza utente rapida e senza interruzioni

Il SASE implica che la sicurezza venga implementata in prossimità di ciò che deve essere protetto: quindi, invece di inviare l'utente alla sicurezza, è quest'ultima a essere inviata all'utente. Il SASE è sicuro per il cloud, in quanto gestisce in modo intelligente e in tempo reale le connessioni in corrispondenza degli Internet Exchange e ottimizza le connessioni alle applicazioni e ai servizi cloud per garantire una bassa latenza.

Riduzione del rischio

In quanto soluzione nativa del cloud, il SASE è progettato per far fronte alle sfide specifiche che derivano dai rischi insiti nella nuova realtà del mondo del lavoro, in cui applicazioni e utenti sono altamente distribuiti. Un componente chiave dell'architettura SASE è lo ZTNA (Zero Trust Network Access), che fornisce a utenti mobili, lavoratori da remoto e filiali un accesso sicuro alle applicazioni, eliminando la superficie di attacco e il rischio di movimento laterale sulla rete.

Zscaler SD-WAN e SASE

Zscaler si avvale di una rete di vari partner per aiutare le organizzazioni ad adottare e implementare rapidamente la SD-WAN. Questi partner confidano nella nostra architettura di rete cloud perché è realizzata secondo la visione del SASE di Gartner, che si è dimostrata il framework ottimale per la sicurezza e la rete fornite sul cloud tramite la SD-WAN.

Zero Trust Exchange™ di Zscaler è una piattaforma SASE nativa del cloud, creata per massimizzare le prestazioni e la scalabilità. Essendo distribuita a livello globale riesce a garantire che gli utenti siano sempre a un passo dalle loro applicazioni. Attraverso il peering con centinaia di partner nei principali Internet Exchange del mondo, offre agli utenti routing, prestazioni e affidabilità ottimali.

Risorse suggerite

Zscaler e i partner per la rete e i servizi UCaaS
Visita la pagina web
Garantire la sicurezza del lavoro da qualsiasi luogo
Sfrutta tutti i vantaggi della SD-WAN
Visita la pagina web
Zscaler e la SD-WAN di Cisco
Scopri di più

01 / 02

FAQ

Se a un pacchetto dati viene assegnata un'etichetta errata, un router con commutazione di etichetta intercetterà la connessione e lo invierà sul percorso dati corretto. Questo si basa principalmente sul livello OSI su cui dovrebbe trovarsi una connessione (in genere 2 o 3).

Sono due i metodi più comuni per inviare i pacchetti dati a destinazione:

commutazione di pacchetto e commutazione di circuito. La commutazione di pacchetto avviene in base a un indirizzo IP di destinazione e a protocolli di routing; questo implica l'utilizzo di un numero elevato di router e un percorso dati non fisso, aspetto che rallenta la trasmissione. La commutazione di circuito viene solitamente utilizzata per le connessioni telefoniche e invia le connessioni attraverso un percorso dati fisso. Tuttavia, dato il tempo necessario per stabilire il percorso, questo approccio risulta inefficiente e costoso.

Le connessioni MPLS sono private in quanto vengono realizzate in un tunnel chiuso e i loro dati non sono esposti a Internet. Stabiliscono connessioni tra filiali e data center e vengono spesso utilizzate come livelli di base per le reti locali virtuali (VLAN) e le VPN, entrambe connessioni private.