Een IP-VPN is een private netwerkdienst die organisaties in staat stelt om meerdere vestigingen veilig en voorspelbaar met elkaar te verbinden via een providerbackbone. Ondanks dat het concept al jaren bestaat, blijft het een van de meest stabiele, beheersbare en voorspelbare WAN-oplossingen. Dit artikel legt uit hoe een IP-VPN is opgebouwd, welke architectonische elementen een rol spelen en waarom VRF’s en MPLS-routing cruciaal zijn voor de werking.
Wat is een IP-VPN?
Een IP-VPN is een Layer-3 privéverbinding waarbij verkeer tussen klantlocaties volledig gescheiden blijft van ander verkeer binnen het netwerk van de provider. Anders dan bij site-to-site VPN’s over het internet is encryptie geen standaardonderdeel; isolatie wordt bereikt via MPLS (Multiprotocol Label Switching).
Waarom MPLS?
MPLS voegt een extra label toe aan datapakketten. Dit label vertelt de routers in de providerbackbone hoe het pakket moet worden doorgestuurd, los van IP-routing. Hierdoor ontstaat een voorspelbaarder netwerk met vaste paden (Label Switched Paths), QoS-mogelijkheden en volledige scheiding tussen verschillende klanten.
De rol van VRF’s (Virtual Routing and Forwarding)
Een van de belangrijkste bouwstenen van een IP-VPN is de VRF. Een VRF is in feite een gescheiden routing- en forwardinginstantie binnen een router.
Hoe werkt een VRF?
- Elke klant krijgt één of meerdere VRF’s toegewezen op de PE-router (Provider Edge).
- Deze VRF bevat de route-informatie voor alle vestigingen van die klant.
- Verkeer uit een bepaalde VRF kan niet bij een andere VRF terechtkomen.
Waarom meerdere VRF’s?
Sommige organisaties scheiden verkeer per afdeling of omgeving, bijvoorbeeld:
- Productie
- Gastnetwerk
- OT / ICS-omgevingen
- Beveiligde zones
Met VRF’s kunnen deze logische domeinen strikt van elkaar worden gescheiden.
MPLS-routing en label switching in de praktijk
Stap 1: CE-router stuurt verkeer naar de PE
De apparatuur op de klantlocatie (CE-router) stuurt verkeer naar de providerrouter (PE). De CE-router hoeft MPLS niet te spreken; dat gebeurt meestal alleen binnen de backbone.
Stap 2: PE plaatst MPLS-label
Zodra het pakket binnenkomt, kijkt de PE naar de VRF om te bepalen waar het pakket thuishoort. Daarna wordt een MPLS-label toegevoegd dat aangeeft naar welke volgende router (P-router) het pakket moet.
Stap 3: Switching door de backbone
Binnen de providerbackbone wordt het pakket uitsluitend op basis van het MPLS-label doorgestuurd. De routers hoeven daarom het IP-pakket niet opnieuw te inspecteren.
Stap 4: Uitpakken & afleveren
Vlak voor de bestemming verwijdert de laatste PE-router het label en stuurt het pakket naar de betreffende CE- of LAN-router.
Topologie en architectuurkeuzes
Hub-and-spoke
In dit model komen alle verbindingen samen in een centrale locatie.
Geschikt voor organisaties waarin alle applicaties centraal draaien, bijvoorbeeld in een datacenter.
Full-mesh
Elke locatie kan rechtstreeks communiceren met elke andere locatie.
Meer geschikt voor moderne, gedistribueerde applicatielandschappen.
Hybride varianten
Veel netwerken combineren beide: een hub voor centrale functies en mesh-verkeer voor regionale kantoren.
QoS en CoS: Waarom IP-VPN voorspelbaar aanvoelt
Een van de grootste voordelen van een IP-VPN zijn de QoS-mogelijkheden. Hierdoor krijgen bepaalde verkeersstromen (bijvoorbeeld voice of ERP-verkeer) prioriteit boven bulkdata.
Voorbeelden van Class of Service-profielen:
- Real-time (Voice, video)
- Business-critical (ERP, CRM)
- Best-effort (internet, webverkeer)
Providers kunnen bandbreedte reserveren per klasse, waardoor prestaties consistent blijven, zelfs bij congestie.
Wat maakt IP-VPN anders dan internet-VPN’s?
| IP-VPN | Internet VPN |
|---|---|
| Geen encryptie nodig vanwege isolatie | Encryptie verplicht |
| Voorspelbare latency en QoS | Sterk variabel |
| Managed door provider | Vaak zelf te beheren |
| Geen exposure aan het publieke internet | Wel afhankelijk van internetkwaliteit |
IP-VPN’s zijn vooral populair bij organisaties die voorspelbaarheid en stabiliteit belangrijker vinden dan flexibiliteit of cloud-native integraties.
Wanneer kies je voor meerdere VRF’s of segmenten?
- Wanneer een organisatie duidelijke scheiding zoekt tussen afdelingen
- Als OT-omgevingen apart moeten worden behandeld
- Wanneer strengere security policies gelden
- Voor compliance-eisen zoals ISO, NEN of PCI-DSS
Segmentatie via VRF’s blijft een robuuste methode met minimale impact op bestaande architecturen.
Conclusie
Een IP-VPN is een stabiel en volwassen WAN-concept dat dankzij MPLS, VRF-segmentatie en uitgebreide QoS-mogelijkheden voorspelbare prestaties levert. Hoewel moderne technologieën zoals SD-WAN en SASE steeds meer aandacht krijgen, blijft het IP-VPN een belangrijke keuze voor bedrijven die behoefte hebben aan betrouwbaarheid, scheiding van verkeer en voorspelbare verbindingsprestaties.
