SD-WAN、MPLS 、IPsec 和物理专线的区别

目前主流的专线解决方案常见有SD-WAN、MPLS VPN、IPsec VPN和物理专线这四种，对绝大多数公司来说，自己花钱拉一根专有的网线或光纤，把总公司和分公司的网络连接起来，是一件不可能的事情，工程量和成本造价是个天文数字，物理专线的成本非常高，但是不论是数据安全性还是链路可用性都是顶级的存在，常用于金融政府机构，但是不是所有公司机构都如此阔绰自己开一条专线，所以他们只剩下两种选择。

第一种，就是让所有的员工通过互联网进行连接，如vx，qq等软件，在互联网发达的时代这个好像是个不错的选择，但是每天都在接触通信产品的你应该遇到过不少卡慢的情况，所以也就引出了第一个点：服务质量(Qos)；在某些不重视这点的企业来说可能可以接受，但是对Qos有一定要求的企业比如金融类企业，他们对Qos的要求极高，基本不允许任何一点卡慢，所以这种方案对他们来说效果并不是很好。暴露在互联网上的数据会带来极大的安全隐患和风险，也就引出了第二个点：数据安全，这个点恰巧是致命的，对绝大部分企业来说，数据安全绝对是一个要重点保障的对象，所以这个方案的风险较高，但是成本较低。

第二种也是目前用户的主流选择，就是借助运营商提供的专线进行连接。
目前主流的专线也就是标题中的另外三种，MPLS VPN、IPsec VPN以及SDWAN。

IPsec VPN：

IPSec VPN是基于IPSec协议的VPN技术实现的虚拟专用网络，由IPSec协议提供隧道安全保障，通过在数据包上插入一个预定头部的方式来保证上层协议的安全，主要用户保护ICMP，UDP和TCP和隧道数据包。

优点：

1. 安全性高 ，通过身份认证、数据加密、数据完整性校验等多种方式保证接入的安全，保证的数据的私密性。
2. 灵活性强，基于internet，只要接入网络就可以利用ipsec vpn建立隧道实现端对端的连接。
3. 技术已经非常成熟，单机部署虽然可靠性低但是目前的双机部署可靠性得到显著提升。

缺点：

1. 流量在加密隧道中传输，就无法从提供者网络的角度对流量进行优先级排序，因为标头已加密且无法查看，剩下的就是尽力而为的网络，所以无法对重要业务进行优先保障。
2. 正是因为基于internet，所以遇到拥堵时会绕行，导致Qos不稳定。

MPLS VPN：

MPLS，Multi-Protocol Label Switching，多协议标签交换。这是一种高效且可靠的网络传输技术。简单来说，它就是在数据流上打标签，有点像鸡毛信，告诉沿路的所有设备：“我是谁，我要去哪里”。其底层就是由于使用服务提供商位置的入口路由器在交换级别(第2层)转发网络数据包，而不必将其传递到路由级别(第3层)。然后，出口路由器移除标签，并将原始IP数据包转发到其最终目的地。节省时间，从而提高了性能，因为交换机不必查看IP报头即可传输数据。

优点：

1. 正是由于标签的而作用，隔离了数据包，保障了数据包的可靠传输，在避免数据包丢失和保持业务最重要的流量流量方面，MPLS通常可提供卓越的服务质量，这种可靠性对于保持诸如IP语音(VoIP)之类的实时协议的质量尤其重要。
2. MPLS VPN连接比较简单，只要求客户把客户设备(CE) 连接到运营商的网络边缘设备(PE)就可以了

缺点：

1. MPLS的带宽成本较高，如今用户越来越关注带宽占用的多媒体内容，如视频和增强现实(AR)/虚拟现实(VR)，以及MPLS要求的高每兆位成本是具有挑战性的。
2. MPLS对数据内部不提供任何加密防护手段，所以安全性相对较差。
3. 由于MPLS VPN通讯关系是由运营商指定的，用户配置的灵活性并不高。同时，由于运营商的网络往往是由多家设备厂商组成的，这样即使是运营商，对VPN设备的管理实际上也是很困难的。
4. 申请安装专线之后，运营商内部要走流程，还需要人工上门进行终端安装和配置。整个的安装时间周期就很长，一般要一周到一个月的时间。
5. 跨运营商场景效能大打折扣

SD-WAN：

**SD-WAN，全名是Software-Defined WAN，软件定义广域网。WAN，就是Wide Area Network，广域网。如果经常接触IT和通信的同志，对“SD（Software-Defined ）”这个前缀词一定不会陌生。是的，在如今这个软件为王的时代，像SDN、SDS、SDR……这样的概念名词，已经充斥于我们的工作之中，成为流行词汇。
SDN：Software DefinedNetwork，软件定义网络
SDS：Software DefinedStorage，软件定义存储
SDR：Software DefinedRadio，软件定义无线电
SDN（软件定义网络）/NFV是未来网络的发展方向，也是5G时代的显著特征。SD-WAN，就是SDN的一个重要分支，是SDN技术在WAN领域的应用落地。
再简单一点说，SD-WAN，就是SDN+WAN；SDxCentral提出的定义能够言简意赅地体现出SD-WAN的核心思想，即“SD-WAN是将SDN技术应用到广域网场景中所形成的一种服务，这种服务用于连接广阔地理范围的企业网络，包括企业的分支机构以及数据中心。

优点：

1. SD-WAN可以支持任何类型的网络连接，从多协议标签交换（MPLS）到虚拟专用LAN服务（VPLS），当然还有Internet VPN。借助SD-WAN基于应用程序的路由功能，它可以利用多种路径，例如全球互联网、4G或多协议标签交换（MPLS）。不过，目前，部署简单的IPsec设备以创建标准VPN连接的成本仍然较低。
2. SD-WAN能够提供与软件定义网络(SDN)相关的优势，在广域网中，通过自动化网络部署和管理，SDN和SD-WAN虚拟化资源，以提高性能、加速服务交付并提高可用性，同时降低总成本。
3. SD-WAN通过测量基本网络流量指标，如延迟、丢包、抖动和可用性来运行，通过这些数据，SD-WAN能够主动响应实时网络条件，自动为每个数据包选择最佳路径，将MPLS、宽带、4G、5G等线路虚拟成统一资源池，根据VPN内的具体业务QOE特性要求和线路实时状态，调度到最合适的线路。（可以有效解决跨运营商造成的Qos下降问题）
4. 部署简单，在评价SD-WAN的部署速度时，人们会反复提到一个词，叫做ZTP，也就是Zero Touch Provisioning，零接触部署。简单来说，差不多就是即插即用。除了CPE上电后自动获取配置之外，还可以用扫码配置或邮件配置的方式。以邮件部署方式为例。在部署SD-WAN时，总部的IT工程师只需要提前做好配置数据，然后将配置通过邮件的方式，发给分公司的任何员工，该员工即可通过链接，完成设备的配置部署。

缺点：

1. 出现重大故障时厂商的支持与响应能力普遍不如运营商。
2. 采用多个互联网提供商的服务将创建不可预测的环境。许多SD-WAN提供商主张使用多个网络服务提供商（ISP）主干网来节省资金。除非企业由于跨多个服务提供商的流量路由而在应用程序之间遇到延迟和抖动问题，该策略才有意义。
3. 节省成本并非总是可以实现的。是否实现SD-WAN成本节省取决于几个因素，但重要的也许是连接性。例如，在英国，互联网的成本与MPLS相当，当将复杂的SD-WAN设备和服务添加到连接中时，这可能会导致整体商业模式的提高。美国市场有所不同，因为与多协议标签交换（MPLS）相比，全球互联网的成本通常要低得多。IT团队需要对每个国家/地区的市场进行商业分析。

目前国内SD-WAN分为两个流派：

• 产品型SD-WAN

针对分支需求，分支设备提供丰富网络功能NFV（虚拟化上网行为管理、下一代防火墙，SSL VPN等），结合云端管理平台，旨在推出能够易部署、云化运维、提高访问体验性。针对如阿里云、腾讯云等云平台，适配相关虚拟化网络设备组件，解决混合云互联、跨国组网等场景遇到的网络挑战，此类厂商多数都有深厚的路由交换、安全类产品设计经验，设备功能比较全面，同时集成安全及防病毒功能，保障客户内网安全。
主要厂商：深信服、华为、华三、中兴、锐捷等。

• 运营型SD-WAN（云专线）

此类厂商利用自建骨干资源及优化技术，更专注于提升用户的网络链路质量、应用使用体验，租用当地运营商昂贵且不灵活的专线，只需要租用当地互联网，通过SD-WAN方案进行VPN组网，接入到各个云POP节点，国内数据中心（例如：广州）同样通过SD-WAN接入广州云POP节点。各个云POP节点之间通过SD-WAN和CN2骨干链路构建高速通道，达到海外分支之间、海外和国内之间进行高速互访的需求，同时更高的ROI和专线级的SLA，
主要厂商：华夏创新CloudWAN、大地、NETPAS等创业厂商为主，直接抢运营商专线的客户，主打低价、开通快和优质线路组网。

下图为SD-WAN的典型组网方式，可以看到，整个网络架构的躯干，其实还是Internet和MPLS专线。但是，在架构之上，多了一个SD-WAN控制器。这个控制器，就是SD-WAN的管理控制核心。
在分公司节点，还有总部节点，多了一些uCPE和vCPE这样的东西。CPE ( Customer Premise Equipment ) ，业内称之为“客户终端设备”。这里的CPE和5G CPE不一样，5G CPE是把5G信号转成Wi-Fi信号的。这里的CPE是连入网络的一个接口盒子（可以理解为一个小路由器）。uCPE是Universal CPE，通用客户端设备。vCPE是Virtual CPE，虚拟客户端设备。
管理员可以通过应用层接口对SD-WAN控制器进行配置，也可以下发vFW（虚拟防火墙，Firewall）、vWOC（虚拟广域网优化控制器，WAN Optimization Controller）功能到CPE，实现相应的功能，无需专门购买硬件。