SD-WAN、MPLS 、IPsec 和物理专线的区别

2023-05-16

目前主流的专线解决方案常见有SD-WAN、MPLS VPN、IPsec VPN和物理专线这四种,对绝大多数公司来说,自己花钱拉一根专有的网线或光纤,把总公司和分公司的网络连接起来,是一件不可能的事情,工程量和成本造价是个天文数字,物理专线的成本非常高,但是不论是数据安全性还是链路可用性都是顶级的存在,常用于金融政府机构,但是不是所有公司机构都如此阔绰自己开一条专线,所以他们只剩下两种选择。

第一种,就是让所有的员工通过互联网进行连接,如vx,qq等软件,在互联网发达的时代这个好像是个不错的选择,但是每天都在接触通信产品的你应该遇到过不少卡慢的情况,所以也就引出了第一个点:服务质量(Qos);在某些不重视这点的企业来说可能可以接受,但是对Qos有一定要求的企业比如金融类企业,他们对Qos的要求极高,基本不允许任何一点卡慢,所以这种方案对他们来说效果并不是很好。暴露在互联网上的数据会带来极大的安全隐患和风险,也就引出了第二个点:数据安全,这个点恰巧是致命的,对绝大部分企业来说,数据安全绝对是一个要重点保障的对象,所以这个方案的风险较高,但是成本较低。

第二种也是目前用户的主流选择,就是借助运营商提供的专线进行连接。
目前主流的专线也就是标题中的另外三种,MPLS VPN、IPsec VPN以及SDWAN。

IPsec VPN:

IPSec VPN是基于IPSec协议的VPN技术实现的虚拟专用网络,由IPSec协议提供隧道安全保障,通过在数据包上插入一个预定头部的方式来保证上层协议的安全,主要用户保护ICMP,UDP和TCP和隧道数据包。

优点:

  1. 安全性高 ,通过身份认证、数据加密、数据完整性校验等多种方式保证接入的安全,保证的数据的私密性。
  2. 灵活性强,基于internet,只要接入网络就可以利用ipsec vpn建立隧道实现端对端的连接。
  3. 技术已经非常成熟,单机部署虽然可靠性低但是目前的双机部署可靠性得到显著提升。

缺点:

  1. 流量在加密隧道中传输,就无法从提供者网络的角度对流量进行优先级排序,因为标头已加密且无法查看,剩下的就是尽力而为的网络,所以无法对重要业务进行优先保障。
  2. 正是因为基于internet,所以遇到拥堵时会绕行,导致Qos不稳定。

MPLS VPN:

MPLS,Multi-Protocol Label Switching,多协议标签交换。这是一种高效且可靠的网络传输技术。简单来说,它就是在数据流上打标签,有点像鸡毛信,告诉沿路的所有设备:“我是谁,我要去哪里”。其底层就是由于使用服务提供商位置的入口路由器在交换级别(第2层)转发网络数据包,而不必将其传递到路由级别(第3层)。然后,出口路由器移除标签,并将原始IP数据包转发到其最终目的地。节省时间,从而提高了性能,因为交换机不必查看IP报头即可传输数据。

优点:

  1. 正是由于标签的而作用,隔离了数据包,保障了数据包的可靠传输,在避免数据包丢失和保持业务最重要的流量流量方面,MPLS通常可提供卓越的服务质量,这种可靠性对于保持诸如IP语音(VoIP)之类的实时协议的质量尤其重要。
  2. MPLS VPN连接比较简单,只要求客户把客户设备(CE) 连接到运营商的网络边缘设备(PE)就可以了

缺点:

  1. MPLS的带宽成本较高,如今用户越来越关注带宽占用的多媒体内容,如视频和增强现实(AR)/虚拟现实(VR),以及MPLS要求的高每兆位成本是具有挑战性的。
  2. MPLS对数据内部不提供任何加密防护手段,所以安全性相对较差。
  3. 由于MPLS VPN通讯关系是由运营商指定的,用户配置的灵活性并不高。同时,由于运营商的网络往往是由多家设备厂商组成的,这样即使是运营商,对VPN设备的管理实际上也是很困难的。
  4. 申请安装专线之后,运营商内部要走流程,还需要人工上门进行终端安装和配置。整个的安装时间周期就很长,一般要一周到一个月的时间。
  5. 跨运营商场景效能大打折扣

SD-WAN:

**SD-WAN,全名是Software-Defined WAN,软件定义广域网。WAN,就是Wide Area Network,广域网。如果经常接触IT和通信的同志,对“SD(Software-Defined )”这个前缀词一定不会陌生。是的,在如今这个软件为王的时代,像SDN、SDS、SDR……这样的概念名词,已经充斥于我们的工作之中,成为流行词汇。
SDN:Software DefinedNetwork,软件定义网络
SDS:Software DefinedStorage,软件定义存储
SDR:Software DefinedRadio,软件定义无线电
SDN(软件定义网络)/NFV是未来网络的发展方向,也是5G时代的显著特征。SD-WAN,就是SDN的一个重要分支,是SDN技术在WAN领域的应用落地。
再简单一点说,SD-WAN,就是SDN+WAN;SDxCentral提出的定义能够言简意赅地体现出SD-WAN的核心思想,即“SD-WAN是将SDN技术应用到广域网场景中所形成的一种服务,这种服务用于连接广阔地理范围的企业网络,包括企业的分支机构以及数据中心。

优点:

  1. SD-WAN可以支持任何类型的网络连接,从多协议标签交换(MPLS)到虚拟专用LAN服务(VPLS),当然还有Internet VPN。借助SD-WAN基于应用程序的路由功能,它可以利用多种路径,例如全球互联网、4G或多协议标签交换(MPLS)。不过,目前,部署简单的IPsec设备以创建标准VPN连接的成本仍然较低。
  2. SD-WAN能够提供与软件定义网络(SDN)相关的优势,在广域网中,通过自动化网络部署和管理,SDN和SD-WAN虚拟化资源,以提高性能、加速服务交付并提高可用性,同时降低总成本
  3. SD-WAN通过测量基本网络流量指标,如延迟、丢包、抖动和可用性来运行,通过这些数据,SD-WAN能够主动响应实时网络条件,自动为每个数据包选择最佳路径,将MPLS、宽带、4G、5G等线路虚拟成统一资源池,根据VPN内的具体业务QOE特性要求和线路实时状态,调度到最合适的线路。(可以有效解决跨运营商造成的Qos下降问题)
  4. 部署简单,在评价SD-WAN的部署速度时,人们会反复提到一个词,叫做ZTP,也就是Zero Touch Provisioning,零接触部署。简单来说,差不多就是即插即用。除了CPE上电后自动获取配置之外,还可以用扫码配置或邮件配置的方式。以邮件部署方式为例。在部署SD-WAN时,总部的IT工程师只需要提前做好配置数据,然后将配置通过邮件的方式,发给分公司的任何员工,该员工即可通过链接,完成设备的配置部署。

缺点:

  1. 出现重大故障时厂商的支持与响应能力普遍不如运营商。
  2. 采用多个互联网提供商的服务将创建不可预测的环境。许多SD-WAN提供商主张使用多个网络服务提供商(ISP)主干网来节省资金。除非企业由于跨多个服务提供商的流量路由而在应用程序之间遇到延迟和抖动问题,该策略才有意义。
  3. 节省成本并非总是可以实现的。是否实现SD-WAN成本节省取决于几个因素,但重要的也许是连接性。例如,在英国,互联网的成本与MPLS相当,当将复杂的SD-WAN设备和服务添加到连接中时,这可能会导致整体商业模式的提高。美国市场有所不同,因为与多协议标签交换(MPLS)相比,全球互联网的成本通常要低得多。IT团队需要对每个国家/地区的市场进行商业分析。

目前国内SD-WAN分为两个流派:

  • 产品型SD-WAN

针对分支需求,分支设备提供丰富网络功能NFV(虚拟化上网行为管理、下一代防火墙,SSL VPN等),结合云端管理平台,旨在推出能够易部署、云化运维、提高访问体验性。针对如阿里云、腾讯云等云平台,适配相关虚拟化网络设备组件,解决混合云互联、跨国组网等场景遇到的网络挑战,此类厂商多数都有深厚的路由交换、安全类产品设计经验,设备功能比较全面,同时集成安全及防病毒功能,保障客户内网安全。
主要厂商:深信服、华为、华三、中兴、锐捷等。

  • 运营型SD-WAN(云专线)

此类厂商利用自建骨干资源及优化技术,更专注于提升用户的网络链路质量、应用使用体验,租用当地运营商昂贵且不灵活的专线,只需要租用当地互联网,通过SD-WAN方案进行VPN组网,接入到各个云POP节点,国内数据中心(例如:广州)同样通过SD-WAN接入广州云POP节点。各个云POP节点之间通过SD-WAN和CN2骨干链路构建高速通道,达到海外分支之间、海外和国内之间进行高速互访的需求,同时更高的ROI和专线级的SLA,
主要厂商:华夏创新CloudWAN、大地、NETPAS等创业厂商为主,直接抢运营商专线的客户,主打低价、开通快和优质线路组网。

下图为SD-WAN的典型组网方式,可以看到,整个网络架构的躯干,其实还是Internet和MPLS专线。但是,在架构之上,多了一个SD-WAN控制器。这个控制器,就是SD-WAN的管理控制核心。
在分公司节点,还有总部节点,多了一些uCPE和vCPE这样的东西。CPE ( Customer Premise Equipment ) ,业内称之为“客户终端设备”。这里的CPE和5G CPE不一样,5G CPE是把5G信号转成Wi-Fi信号的。这里的CPE是连入网络的一个接口盒子(可以理解为一个小路由器)。uCPE是Universal CPE,通用客户端设备。vCPE是Virtual CPE,虚拟客户端设备。
管理员可以通过应用层接口对SD-WAN控制器进行配置,也可以下发vFW(虚拟防火墙,Firewall)、vWOC(虚拟广域网优化控制器,WAN Optimization Controller)功能到CPE,实现相应的功能,无需专门购买硬件。

在这里插入图片描述

本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)

SD-WAN、MPLS 、IPsec 和物理专线的区别 的相关文章

  • Windows 10 L2TP/IPSec 防火墙配置

    This guide will walk you through how to open your Windows 10 firewall to allow the L2TP IPSec protocol For more about th
  • 【性能测试】利用IxChariot测试路由器吞吐量(wan to lan & lan to wan)

    写在前面 因项目原因 xff0c 本人对路由器吞吐量测试进行了学习探索 在学习过程中 xff0c 了解到IxChariot这一工具 xff0c 而在实践中 xff0c 也遇到一些问题 xff0c 花了较多时间去尝试和摸索 在此本人将这次实践
  • 浅谈路由器的wan、lan、wlan口和vlan/trunk口

    背景 另一篇博文分析了一个实际的路由问题 xff0c 为方便问题分析 xff0c 在此列出常用概念 vlan中的trunk口 VLAN Trunk以及三层交换 可以把switch某一端口设为trunk 端口 问题 IP地址分类 xff1a
  • Juniper MPLS Static LSP

    MPLS Static LSP 1 配置接口去接收和处理MPLS帧 user 64 R1 set interface ge 1 0 0 unit 0 family inet family mpls 2 指定哪个接口运行MPLS user 6
  • ipsec服务器无响应,lean请进,IPSec 服务器连接不上,求指教。

    Thu May 17 11 16 48 2018 daemon info 13 NET received packet from 10 0 0 247 500 to 10 0 0 231 500 848 bytes Thu May 17 1
  • BGP、OSPF、MPLS路由协议RFC分享

    文章目录 1 概述1 1 BGP1 2 OSPF1 3 MPLS 2 分享2 1 rfc 42712 2 rfc 31072 3 rfc 43642 4 rfc 44562 5 rfc 45772 6 rfc 47242 7 rfc 476
  • SDN的优势及企业为什么要用SD-WAN

    Aray SDN的优势及企业为什么要用SD WAN 在过去的几年里随着一批互联网巨头纷纷开始提供公有云服务如阿里云 百度云 腾讯云等 xff0c 云服务已经越来越多的被各大企业所认可接受 xff0c 企业采用云服务致力于实现互联网化转型 但
  • IPsec:strongswan与vpp实现ipsec

    1 strongswan 43 vpp简介 strongswan与vpp如何结合 本次实验使用的是VPP 20 01 版本 43 strongswan 5 9 6版本 目前strongSwan 43 vpp的方案主要是使用strongswa
  • 查看路由器WAN口IP是否为公网ip指南

    查看路由器WAN口IP是否为公网ip指南 吴捷 一 xff0e 公网ip和私网ip ip地址分类中常用的有A B C类 xff0c 每类IP中都规划了一段私网IP xff0c 除了这些私网外的IP都是公网IP 分类IP地址范围适用用户A1
  • 关于IKEv2中安全策略索引SPI的生成

    首先引入一个PF key的概念 PF KEY Key Management API 提供IKE模块和IPSec核心之间的接口 在RFC 2367中 有一个SADB GETSPI消息 这个消息就是实现允许一个进程获取SPI值 该值标识所给的s
  • IPSec 专栏目录锦集(openswan)

    为了方便查阅现有的文章 特准备一个目录页供后续查询使用 专栏序言 1 IPsec理论知识 openswan任务调度基础知识之信号 IPSec协议详细介绍 pdf 一本书 IPSec技术理论介绍 pdf IBM手册 包括IKE协商commit
  • 锐捷防火墙(WEB)——VPN部署场景—VPN技术介绍

    目录 IPSec简介 应用场景 IPSEC VPN原理简介 数字证书原理简介 预共享密钥与数字证书的区别 主模式与野蛮模式的区别 SSL VPN简介 应用场景 SSL VPN原理简介 SSL VPN有三种工作模式 GRE简介 应用场景 功能
  • openswan中ISAKMP交互过程关键函数接口

    1 ISAKMP交互过程中关键函数接口 下面分别说明不同的阶段和模式下的函数接口以及对应的报文 2 第一阶段 Phase I 主模式函数接口 发送端 响应端 main outI1 主模式第一包
  • strongswan介绍

    文章目录 保障网络安全 IKE和IPsec基础 认证基础知识 配置文件基础 使用和维护 日志和监测 PKI 路由 strongswan介绍文档翻译 原文链接 保障网络安全 strongswan是一套完整的IPsec实现方案来提供服务端和客户
  • 如何扩展 VpnService 以在 Android 中以编程方式打开 L2TP/IPSEC 连接?

    我正在寻求实施一个解决方案来打开一个L2TP IPSEC来自android应用程序的连接 所以我可以简单地传递server ip pre shared key username and password因此设备已连接到此 VPN 服务器 我
  • PowerShell 2 中是否有一个 cmdlet 可以处理 ipsec 更改?

    我正在使用 System Management Automation 构建一个本质上充当防火墙的程序 我想知道 PowerShell 2 中是否有特定的 cmdlet 来处理服务器的 ipsec 更改 即 重复 netsh ipsec 功能
  • WAN 上的 TCP 和 UDP 套接字服务器

    我正在尝试创建一个同时使用 TCP 和 UDP 的服务器和客户端 服务器在 LAN 设置中运行良好 但通过 WAN 传输时无法接收 UDP 消息 我相信这是因为用于发送数据的 UDP 套接字在 NAT 表中保留的时间不够长 无法返回任何信息
  • 获取我的 WAN IP 地址

    我怎样才能以编程方式获取从互联网上看到的我的网络的IP地址 显然 我的路由器在连接到 ISP 时可以访问该属性 有没有办法使用标准协议从路由器获取此信息 我唯一的选择是要么找到一个返回我的IP地址的WS 非常难做到 要么就去类似的地方Wha
  • ipsec.py 找不到属性 IPPROTO_IP 和 socket.IPPROTO_IP

    我安装了 python 2 6 的模块 scapy 当我导入此模块时 我收到此警告 警告 无法导入层 ipsec 模块 对象没有属性 IPPROTO AH 我查看了套接字属性 但没有找到 IPPROTO AH 属性 此外 我尝试编辑模块 i
  • IPSec vs OpenSSL vs PGP [关闭]

    Closed 这个问题是无关 help closed questions 目前不接受答案 IPSec 用于 IP 级别 SSL 用于传输级别 PGP 用于应用级别 在一些讲座中不是这样说的 IPSEC 最通用的解决方案 但灵活性最差 SSL

随机推荐