SD-WAN、MPLS 、IPsec 和物理专线的区别

2023-05-16

目前主流的专线解决方案常见有SD-WAN、MPLS VPN、IPsec VPN和物理专线这四种,对绝大多数公司来说,自己花钱拉一根专有的网线或光纤,把总公司和分公司的网络连接起来,是一件不可能的事情,工程量和成本造价是个天文数字,物理专线的成本非常高,但是不论是数据安全性还是链路可用性都是顶级的存在,常用于金融政府机构,但是不是所有公司机构都如此阔绰自己开一条专线,所以他们只剩下两种选择。

第一种,就是让所有的员工通过互联网进行连接,如vx,qq等软件,在互联网发达的时代这个好像是个不错的选择,但是每天都在接触通信产品的你应该遇到过不少卡慢的情况,所以也就引出了第一个点:服务质量(Qos);在某些不重视这点的企业来说可能可以接受,但是对Qos有一定要求的企业比如金融类企业,他们对Qos的要求极高,基本不允许任何一点卡慢,所以这种方案对他们来说效果并不是很好。暴露在互联网上的数据会带来极大的安全隐患和风险,也就引出了第二个点:数据安全,这个点恰巧是致命的,对绝大部分企业来说,数据安全绝对是一个要重点保障的对象,所以这个方案的风险较高,但是成本较低。

第二种也是目前用户的主流选择,就是借助运营商提供的专线进行连接。
目前主流的专线也就是标题中的另外三种,MPLS VPN、IPsec VPN以及SDWAN。

IPsec VPN:

IPSec VPN是基于IPSec协议的VPN技术实现的虚拟专用网络,由IPSec协议提供隧道安全保障,通过在数据包上插入一个预定头部的方式来保证上层协议的安全,主要用户保护ICMP,UDP和TCP和隧道数据包。

优点:

  1. 安全性高 ,通过身份认证、数据加密、数据完整性校验等多种方式保证接入的安全,保证的数据的私密性。
  2. 灵活性强,基于internet,只要接入网络就可以利用ipsec vpn建立隧道实现端对端的连接。
  3. 技术已经非常成熟,单机部署虽然可靠性低但是目前的双机部署可靠性得到显著提升。

缺点:

  1. 流量在加密隧道中传输,就无法从提供者网络的角度对流量进行优先级排序,因为标头已加密且无法查看,剩下的就是尽力而为的网络,所以无法对重要业务进行优先保障。
  2. 正是因为基于internet,所以遇到拥堵时会绕行,导致Qos不稳定。

MPLS VPN:

MPLS,Multi-Protocol Label Switching,多协议标签交换。这是一种高效且可靠的网络传输技术。简单来说,它就是在数据流上打标签,有点像鸡毛信,告诉沿路的所有设备:“我是谁,我要去哪里”。其底层就是由于使用服务提供商位置的入口路由器在交换级别(第2层)转发网络数据包,而不必将其传递到路由级别(第3层)。然后,出口路由器移除标签,并将原始IP数据包转发到其最终目的地。节省时间,从而提高了性能,因为交换机不必查看IP报头即可传输数据。

优点:

  1. 正是由于标签的而作用,隔离了数据包,保障了数据包的可靠传输,在避免数据包丢失和保持业务最重要的流量流量方面,MPLS通常可提供卓越的服务质量,这种可靠性对于保持诸如IP语音(VoIP)之类的实时协议的质量尤其重要。
  2. MPLS VPN连接比较简单,只要求客户把客户设备(CE) 连接到运营商的网络边缘设备(PE)就可以了

缺点:

  1. MPLS的带宽成本较高,如今用户越来越关注带宽占用的多媒体内容,如视频和增强现实(AR)/虚拟现实(VR),以及MPLS要求的高每兆位成本是具有挑战性的。
  2. MPLS对数据内部不提供任何加密防护手段,所以安全性相对较差。
  3. 由于MPLS VPN通讯关系是由运营商指定的,用户配置的灵活性并不高。同时,由于运营商的网络往往是由多家设备厂商组成的,这样即使是运营商,对VPN设备的管理实际上也是很困难的。
  4. 申请安装专线之后,运营商内部要走流程,还需要人工上门进行终端安装和配置。整个的安装时间周期就很长,一般要一周到一个月的时间。
  5. 跨运营商场景效能大打折扣

SD-WAN:

**SD-WAN,全名是Software-Defined WAN,软件定义广域网。WAN,就是Wide Area Network,广域网。如果经常接触IT和通信的同志,对“SD(Software-Defined )”这个前缀词一定不会陌生。是的,在如今这个软件为王的时代,像SDN、SDS、SDR……这样的概念名词,已经充斥于我们的工作之中,成为流行词汇。
SDN:Software DefinedNetwork,软件定义网络
SDS:Software DefinedStorage,软件定义存储
SDR:Software DefinedRadio,软件定义无线电
SDN(软件定义网络)/NFV是未来网络的发展方向,也是5G时代的显著特征。SD-WAN,就是SDN的一个重要分支,是SDN技术在WAN领域的应用落地。
再简单一点说,SD-WAN,就是SDN+WAN;SDxCentral提出的定义能够言简意赅地体现出SD-WAN的核心思想,即“SD-WAN是将SDN技术应用到广域网场景中所形成的一种服务,这种服务用于连接广阔地理范围的企业网络,包括企业的分支机构以及数据中心。

优点:

  1. SD-WAN可以支持任何类型的网络连接,从多协议标签交换(MPLS)到虚拟专用LAN服务(VPLS),当然还有Internet VPN。借助SD-WAN基于应用程序的路由功能,它可以利用多种路径,例如全球互联网、4G或多协议标签交换(MPLS)。不过,目前,部署简单的IPsec设备以创建标准VPN连接的成本仍然较低。
  2. SD-WAN能够提供与软件定义网络(SDN)相关的优势,在广域网中,通过自动化网络部署和管理,SDN和SD-WAN虚拟化资源,以提高性能、加速服务交付并提高可用性,同时降低总成本
  3. SD-WAN通过测量基本网络流量指标,如延迟、丢包、抖动和可用性来运行,通过这些数据,SD-WAN能够主动响应实时网络条件,自动为每个数据包选择最佳路径,将MPLS、宽带、4G、5G等线路虚拟成统一资源池,根据VPN内的具体业务QOE特性要求和线路实时状态,调度到最合适的线路。(可以有效解决跨运营商造成的Qos下降问题)
  4. 部署简单,在评价SD-WAN的部署速度时,人们会反复提到一个词,叫做ZTP,也就是Zero Touch Provisioning,零接触部署。简单来说,差不多就是即插即用。除了CPE上电后自动获取配置之外,还可以用扫码配置或邮件配置的方式。以邮件部署方式为例。在部署SD-WAN时,总部的IT工程师只需要提前做好配置数据,然后将配置通过邮件的方式,发给分公司的任何员工,该员工即可通过链接,完成设备的配置部署。

缺点:

  1. 出现重大故障时厂商的支持与响应能力普遍不如运营商。
  2. 采用多个互联网提供商的服务将创建不可预测的环境。许多SD-WAN提供商主张使用多个网络服务提供商(ISP)主干网来节省资金。除非企业由于跨多个服务提供商的流量路由而在应用程序之间遇到延迟和抖动问题,该策略才有意义。
  3. 节省成本并非总是可以实现的。是否实现SD-WAN成本节省取决于几个因素,但重要的也许是连接性。例如,在英国,互联网的成本与MPLS相当,当将复杂的SD-WAN设备和服务添加到连接中时,这可能会导致整体商业模式的提高。美国市场有所不同,因为与多协议标签交换(MPLS)相比,全球互联网的成本通常要低得多。IT团队需要对每个国家/地区的市场进行商业分析。

目前国内SD-WAN分为两个流派:

  • 产品型SD-WAN

针对分支需求,分支设备提供丰富网络功能NFV(虚拟化上网行为管理、下一代防火墙,SSL VPN等),结合云端管理平台,旨在推出能够易部署、云化运维、提高访问体验性。针对如阿里云、腾讯云等云平台,适配相关虚拟化网络设备组件,解决混合云互联、跨国组网等场景遇到的网络挑战,此类厂商多数都有深厚的路由交换、安全类产品设计经验,设备功能比较全面,同时集成安全及防病毒功能,保障客户内网安全。
主要厂商:深信服、华为、华三、中兴、锐捷等。

  • 运营型SD-WAN(云专线)

此类厂商利用自建骨干资源及优化技术,更专注于提升用户的网络链路质量、应用使用体验,租用当地运营商昂贵且不灵活的专线,只需要租用当地互联网,通过SD-WAN方案进行VPN组网,接入到各个云POP节点,国内数据中心(例如:广州)同样通过SD-WAN接入广州云POP节点。各个云POP节点之间通过SD-WAN和CN2骨干链路构建高速通道,达到海外分支之间、海外和国内之间进行高速互访的需求,同时更高的ROI和专线级的SLA,
主要厂商:华夏创新CloudWAN、大地、NETPAS等创业厂商为主,直接抢运营商专线的客户,主打低价、开通快和优质线路组网。

下图为SD-WAN的典型组网方式,可以看到,整个网络架构的躯干,其实还是Internet和MPLS专线。但是,在架构之上,多了一个SD-WAN控制器。这个控制器,就是SD-WAN的管理控制核心。
在分公司节点,还有总部节点,多了一些uCPE和vCPE这样的东西。CPE ( Customer Premise Equipment ) ,业内称之为“客户终端设备”。这里的CPE和5G CPE不一样,5G CPE是把5G信号转成Wi-Fi信号的。这里的CPE是连入网络的一个接口盒子(可以理解为一个小路由器)。uCPE是Universal CPE,通用客户端设备。vCPE是Virtual CPE,虚拟客户端设备。
管理员可以通过应用层接口对SD-WAN控制器进行配置,也可以下发vFW(虚拟防火墙,Firewall)、vWOC(虚拟广域网优化控制器,WAN Optimization Controller)功能到CPE,实现相应的功能,无需专门购买硬件。

在这里插入图片描述

本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)

SD-WAN、MPLS 、IPsec 和物理专线的区别 的相关文章

  • Windows 10 L2TP/IPSec 防火墙配置

    This guide will walk you through how to open your Windows 10 firewall to allow the L2TP IPSec protocol For more about th
  • SD-WAN|跨境网络专线

    随着公司越来越依赖云应用程序 分散的团队和统一通信 xff0c 确保连接性不仅重要 xff0c 而且对任务至关重要 但传统的 WAN 并不总能应对挑战 xff0c 使用公共互联网也不总是可靠或安全的 现在 xff0c 通过 SD WAN 改
  • SD-WAN为什么备受欢迎?

    SD WAN即软件定义广域网 xff0c 通过集中控制器 xff0c 将广阔地理范围内的计算机 云服务 数据中心集中起来统一管理 比较多地用于企业组网场景 xff0c 那么为什SD WAN如此受欢迎呢 xff1f 近年来 xff0c 企业的
  • ipsec服务器无响应,lean请进,IPSec 服务器连接不上,求指教。

    Thu May 17 11 16 48 2018 daemon info 13 NET received packet from 10 0 0 247 500 to 10 0 0 231 500 848 bytes Thu May 17 1
  • SD-WAN、MPLS 、IPsec 和物理专线的区别

    目前主流的专线解决方案常见有SD WAN MPLS VPN IPsec VPN和物理专线这四种 xff0c 对绝大多数公司来说 xff0c 自己花钱拉一根专有的网线或光纤 xff0c 把总公司和分公司的网络连接起来 xff0c 是一件不可能
  • SDN, SD-WAN, NFV, VNF: What Is All This?

    本文转载至 xff1a http www velocloud com sd wan blog sdn sd wan nfv vnf Inscrutable alphabet soup Even the fully expanded term
  • SD-WAN设备白盒刷机

    1 启动U盘插入盒子USB接口 2 PC与盒子通过串口线连接 xff0c 波特率为115200 3 加电 4 WAN接口接入网络 xff0c 保证可以访问外网 5 cd var 6 scp 64 122 96 93 166 root Fle
  • SD-WAN介绍

    在说SD WAN之前 xff0c 先把WAN搞清楚 xff0c 什么是WAN xff1f WAN xff0c Wide Area Network xff0c 是指分布在不同地理位置 xff0c 连接多个LAN的私有通信网络 在企业网络中 x
  • BGP、OSPF、MPLS路由协议RFC分享

    文章目录 1 概述1 1 BGP1 2 OSPF1 3 MPLS 2 分享2 1 rfc 42712 2 rfc 31072 3 rfc 43642 4 rfc 44562 5 rfc 45772 6 rfc 47242 7 rfc 476
  • IPSec浅见

    1 IPSEC协议簇安全框架 a IPSec简介 IPSec xff08 Internet Protocol Security xff09 xff1a 是一组基于网络层的 xff0c 应用密码学的安全通信协议族 IPSec不是具体指哪个协议
  • WLAN、LAN、WAN的区别

    1 LAN局域网 xff08 Local Area Network xff09 xff1a 通俗讲就是路由器和用户之间接口 2 WAN广域网 xff08 Wide Area Network xff09 xff1a 通俗讲就是路由器和外部网络
  • 锐捷防火墙(WEB)——VPN部署场景—VPN技术介绍

    目录 IPSec简介 应用场景 IPSEC VPN原理简介 数字证书原理简介 预共享密钥与数字证书的区别 主模式与野蛮模式的区别 SSL VPN简介 应用场景 SSL VPN原理简介 SSL VPN有三种工作模式 GRE简介 应用场景 功能
  • openswan中ISAKMP交互过程关键函数接口

    1 ISAKMP交互过程中关键函数接口 下面分别说明不同的阶段和模式下的函数接口以及对应的报文 2 第一阶段 Phase I 主模式函数接口 发送端 响应端 main outI1 主模式第一包
  • ipsec.conf 各配置含义

    IPsec conf 是 IPsec 协议的配置文件 它包含了各种网络安全相关的配置信息 下面是常见的一些配置项及其含义 conn 连接名 表示需要建立的安全连接的名称 left 或者 leftsubnet 本地端 IP 地址或子网地址 r
  • strongswan介绍

    文章目录 保障网络安全 IKE和IPsec基础 认证基础知识 配置文件基础 使用和维护 日志和监测 PKI 路由 strongswan介绍文档翻译 原文链接 保障网络安全 strongswan是一套完整的IPsec实现方案来提供服务端和客户
  • MPLS原理和配置实验

    一 MPLS背景 90年代初 互联网流量快速增长 而由于当时硬件技术的限制 路由器采用最长匹配算法逐跳转发数据包 成为网络数据转发的瓶颈 快速路由技术成为当时研究的一个热点 在各种方案中 IETF确定MPLS协议作为标准的协议 MPLS采用
  • 如何扩展 VpnService 以在 Android 中以编程方式打开 L2TP/IPSEC 连接?

    我正在寻求实施一个解决方案来打开一个L2TP IPSEC来自android应用程序的连接 所以我可以简单地传递server ip pre shared key username and password因此设备已连接到此 VPN 服务器 我
  • PowerShell 2 中是否有一个 cmdlet 可以处理 ipsec 更改?

    我正在使用 System Management Automation 构建一个本质上充当防火墙的程序 我想知道 PowerShell 2 中是否有特定的 cmdlet 来处理服务器的 ipsec 更改 即 重复 netsh ipsec 功能
  • An Illustrated Guide to IPsec

    An Illustrated Guide to IPsec IPsec is a suite of protocols for securing network connections but the details and many va
  • IPSec vs OpenSSL vs PGP [关闭]

    Closed 这个问题是无关 help closed questions 目前不接受答案 IPSec 用于 IP 级别 SSL 用于传输级别 PGP 用于应用级别 在一些讲座中不是这样说的 IPSEC 最通用的解决方案 但灵活性最差 SSL

随机推荐