Projektowanie infrastruktury
MPLS może być całkowitą zmianą w funkcjonowaniu sieci WAN, a także wprowadzać problemy związane z rozwiązywaniem problemów i bezpieczeństwem. Ponieważ sieć MPLS może zapewnić funkcjonalność kraty typu „dowolny z każdym”, trudniej jest rozwiązywać problemy z siecią. W topologii sieci WAN typu hub-and-spoke możliwe jest wdrożenie centralnie zlokalizowanych sond w celu monitorowania i rozwiązywania problemów z siecią WAN. Jest mało prawdopodobne, aby organizacje korzystające z MPLS w wielu lokalizacjach zainwestowały czas i pieniądze na wdrożenie tego typu monitorów we wszystkich lokalizacjach. Usługodawca może jednak być w stanie świadczyć dodatkowe usługi, które zapewniają tego typu możliwości rozwiązywania problemów za dodatkową opłatą. Sieci MPLS zwiększają również ogólne obciążenie związane z bezpieczeństwem sieci, wymagając zwiększenia liczby urządzeń zabezpieczających sieć w celu zapewnienia ochrony w każdym indywidualnym miejscu. Dzieje się tak głównie dlatego, że witryny mogą nawiązywać bezpośrednią komunikację zamiast najpierw iść do węzła. MPLS oddaje bezpieczeństwo infrastruktury WAN w ręce dostawcy usług.
Upewnij się, że dostawca MPLS ma solidną sieć i ścisłe procesy oddzielania sieci MPLS. Dodatkową ochroną przed błędami po stronie dostawcy jest wdrożenie zabezpieczenia routingu Border Gateway Protocol (BGP)23, w którym obie strony połączenia będą uwierzytelniać się, zanim staną się częścią tabeli routingu. Sieci VPN dla lokalizacji zdalnych stwarzają dodatkowe ryzyko, umieszczając Internet bezpośrednio w sieci wewnętrznej w lokalizacjach zdalnych. Jeśli Internet łączy się bezpośrednio z routerem witryny, istnieje kilka opcji ochrony. Lista ACL może ograniczyć komunikację do tego interfejsu tylko przez drugą stronę połączenia VPN w lokacji zdalnej. Inną opcją byłoby włączenie dodatkowych funkcji bezpieczeństwa na routerze. Może to jednak wymagać uaktualnienia kodu i zwiększyć wymagania dotyczące przetwarzania na routerze. Bezpieczniejszą, ale kosztowniejszą opcją byłoby wdrożenie GSD, który zapewnia usługi bezpieczeństwa i VPN, tworząc dodatkową kolejną warstwę ochrony między Internetem a siecią wewnętrzną. Wielopunktowe sieci VPN są również ważnym czynnikiem konstrukcyjnym. Tam, gdzie stało się to powszechne, jeśli nie jest to konieczne, w przypadku wysoce dostępnych, szerokopasmowych połączeń VPN, typowy projekt sieci VPN z lokalizacją centralną lub hub-and-spoke może nie być pożądany. Wiele projektów opiera się na punkcie centralnym w celu ustanowienia siatki połączeń VPN typu jeden-do-wielu. Jeśli jednak centralny punkt jest niedostępny, cała siatka VPN nie działa. Wielopunktowe sieci VPN usuwają zależność od centralnego punktu końcowego VPN. Jeśli centralny punkt końcowy stanie się tymczasowo niedostępny, inne punkty końcowe są w stanie komunikować się i negocjować połączenia między sobą bez obecności węzła centralnego (lub głównego). Dzięki temu pozostała część sieci VPN pozostaje operacyjna i przekierowuje ruch do innych punktów końcowych, które w innym przypadku byłyby niedostępne bez centralnego punktu końcowego.