SD-WAN是什么?与MPLS VPN,MSTP,IPSEC VPN,SSL VPN有什么区别?
2023-07-11对于目前市场上主流的SD-WAN、MPLS VPN、SSL VPN、IPSec VPN和MSTP等企业组网技术,想必大家一定不陌生。其实,MPLS VPN,IPSec VPN,SSL VPN都属于采用IP VPN技术的产品。IP VPN(虚拟专用网)是通过互联网建立的临时连接,是一条穿过公用网络到企业内部网的高安全性且稳定的通信隧道,从而帮助远程用户、公司分支机构、商业伙伴及供应商与公司内部网建立可靠的连接,并保证数据的安全传输。
在IP VPN出现前,企业总部和各分支机构间的网络互通一般采用互联网或专线。企业利用互联网进行通信往往存在信息泄露、窃取等安全风险,而在总部和各分支机构间搭建专线,如MSTP,对于企业来说费用和维护成本较高。随着企业对跨区域、跨分支专用网络高速度访问需求日益增长,IP VPN应运而生。而随着多云应用、远程办公、企业全球化的深入,企业对于专用网络的速度、扩展性、安全性、及时性以及成本控制有了更高的要求,SD-WAN的出现恰恰可以满足这些要求。
MPLS VPN
什么是MPLS VPN?
MPLS VPN是一种基于MPLS(Multi-Protocol Label Switching,即多协议标签交换)技术的IP-VPN,它可以把送往特定VPN的数据区分出来,使用MPLS标签去分辨及传送封包,标签包括客户的VPN身分、来源地址、目标地址、流量等级等信息,支持网内所有地点之间的全互连通信,可以通过使用边界网关协议 BGP (边界网关协议)的归属群体属性来指定同属一个VPN的路由器,服务提供商所设置规定VPN网内路由信息的传播只限定于网内的路由器。
MPLS VPN功能优势
- 安全性高:
- 可靠性高:
- 扩展性强:
网络中可容纳的VPN数目大,同一个VPN中的用户节点数不受限制,容易扩充,可实现任何节点与任何其他节点的直接通信。
- 维护灵活:
IPSec VPN
什么是IPSec VPN?
IPSec VPN是采用IPSec(Internet Protocol Security, 网络协议安全性)来实现远程接入的一种VPN技术,它能在一对主机、一对安全网关、或主机和安全网关之间保护一条或多条“通道“;可以提供访问控制、数据源的验证、无连接数据的完整性验证、数据内容的机密性、抗重放保护以及有限的数据流机密性保证等服务。它提供了3种结构:主机到主机、主机到网关和网关到网关,并有传输模式和隧道模式两种封装模式。
IPSec VPN功能优势
- 安全性高:
- 灵活性强:
- 通道分离:
SSL VPN
什么是SSL VPN?
SSL VPN是基于SSL (Secure Sockets Layer的虚拟专用网络, 简单来说是Web应用的安全协议,它指定了一种在应用程序协议和TCP (输控制协议) /IP协议之间提供数据安全性分层的机制,它为TCP/IP连接提供数据加密、服务器认证、消息完整性以及可选的客户机认证。它简单易用,任何安装浏览器的装置都可以使用,SSL VPN网关在传输过程中起到的主要作用是代理,请求并没有被直接发送给应用服务器,而是被SSL VPN接收,接收后的数据首先被SSL VPN进行协议解析,然后执行身份认证和访问控制等安全策略,最终再将数据转换为适当的后端协议,传送给应用服务器。
SSL VPN功能优势
- 安全性高:
- 灵活性高:
- 扩展性强:
- 便于管理:
MSTP
什么是MSTP?
MSTP (Multi-Service Transport Platform, 多重生成树协议))是一种多业务传送节点技术,基于传统的SDH(同步数字体系) 平台,能够同时实现TDM (时分复用模式)、ATM (异步传输模式)、Ethernet (以太网)等不同通信传输技术同时接入、处理并提供统一的网管。它将环城路互联网剪修变成一个无环的树形互联网,防止报文格式在环城路互联网中的增长和不断循环,同时也提供了数据信息分享的多种途径,完成VLAN虚拟局域网数据信息的三层交换机。
MSTP功能优势
- MSTP 兼容STP (生成树协议)和RSTP (快速生成树协议),而且能够填补STP和RSTP的缺点。
- 实现了负载分担,利用了冗余链路,一个实例的拓扑发生变化,不会影响到其他实例。
- 具有强大的SDH功能、Ethernet透明传输功能以及传输节点二层交换功能。
SD-WAN
什么是SD-WAN?
SD-WAN(Software Defined Wide Area Network)是指软件定义广域网,是将SDN(软件定义网络)技术应用到广域网场景中的一种服务,用于连接广阔地理范围的企业网络、数据中心、互联网应用及云服务。它通过多个不同的传输链路优化路由流量,自动识别生成特定流量的应用程序,并根据配置的策略和优先级别为其选择路由,以确保高优先级和延迟敏感的应用程序获得所需的网络性能,同时确保不太重要的应用程序流量不会消耗宝贵的网络带宽。
SD-WAN有哪些功能优势
- 安全性高:
- 实时监测:
- 智能分流:
- 集中管理:
香港电讯SD-WAN应用场景
混合组网:
香港电讯可以提供一个包含IPVPN专线,互联网和SD-WAN服务的整体方案。
1. 灵活的网络管理工具, 应用级的全网管理
2. 基于实时网络状况和应用作智能选路
3. 支持第三方网络整合
云连接:
香港电讯提供多分支到多云互联的云网融合解决方案。
1. 分支有互联网/ IPVPN等多种接入选择
2. 优化专线的骨干到云连接以及分支到云的连接,保障访问的安全性
3. 支持数据中心互连(DCI) 及混合云连接
海外应用加速:
香港电讯SD-WAN可以优化国内到海外公有云/SaaS(软件即服务/云软件) 的连接。
1. 实现智能应用分流
2. 端到端广域网优化
SD-WAN与MPLS VPN, IPSEC VPN,SSL VPN, MSTP的区别对比
|
|
MPLS VPN |
IPSEC VPN |
SSL VPN |
MSTP |
SD-WAN |
|
安全性 |
1. 将不同VPN的通信完全隔离,使得无关用户的通信不会混杂其中。 2. 但数据不加密,网络内部可能存在攻击。 |
1. 采用密钥算法,只有在安装相应的客户端并建立身份验证机制,才能使用IPSec VPN,安全性较高。 2. 但由于运行在互联网上,存在旁路攻击的风险。 |
身份验证功能为可选项而非必须项,可能需要第三方配置或应用程序,因此会面临未正确设置的安全措施风险,加密级别通常不及IPSec VPN。 |
物理隔离,安全性高,要实施攻击首先需要解析SDH。 |
1. 端到端加密,借助可扩展的密钥交换功能和软件定义的安全性。 2. 中心支点到分支机构之间建立基于业务隔离的安全连接,敏感流量可以通过单独的密钥加密来将自己与其他流量隔离。 |
|
接入便捷性 |
1. 无需进行复杂的配置和排错,普通CE (客户边缘)设备即可接通。 2. 如接入多间运营商的话管理和维护难度高,灵活性也较低。 |
1. 新站点接入时,总部和分支需进行较多修改和配置。 2. 移动性较差,用户使用时,需绑定到唯一的设备以使用VPN,难以迁移到新设备。 |
1. 无需安装客户端只需使用普通的浏览器进行访问。 2. 但访问其他应用程序或服务时,需要更改SSL VPN中的权限和设置,对于应用程序管理需要大量的协调工作。 |
直接采用以太网口接入,接入便捷。 |
支持零接触部署,接入灵活,所有客户侧接入网元时,就能在云端控制器上完成所有策略部署。 |
|
可扩展性 |
可以建立任意的连接,VPN用户可以延用原有的专用地址。新增站点无需做大量配置。 |
1. 连接稳定,一旦设备通过IPSec客户端连接到网络,将持续连接整个网络。 2. 增添新的设备,往往要改变网络结构。 |
无需额外的客户端,随时根据需求,添加VPN服务器,可快速移动部署。 |
1. 扩展性较差,每增加一个站点需要同时增加一个交换机端口和一条链路。 2. MSTP只提供物理层的隔离,缺乏业务层面上的多用户隔离。 |
新增分支机构只要接入节点,就能达到全网互联的效果,不用增加任何设备。 |
|
成本 |
比租用专线可以较大地节省成本,但一次性工程费、介入费较高。 |
身份验证证书必须经常更新,费用昂贵,需大量协调工作。 |
具有降低成本和复杂性的优势:不需安装额外客户端软件即可使用。 |
每增加一个站点需要同时增加一个交换机端口和一条链路的成本。 |
1. 部署时间短,节约成本。 2. 不同站点可以使用不同的广域网链路,无需花费成本更换站点现有链路类型。 3. 无需派遣技术人员到现场安装和维护本地网络。 |
|
适用场景 |
1. 多点组网,企业内部与分支站点、数据中心的互联。 2. 适用于对服务质量、服务等级有明确划分以及对网络资源的利用率、网络的可靠性有较高要求的企业。 |
1. Site-to-Site(站点到站点或者网关到网关) 2. End-to-End(端到端或者PC到PC) 3. End-to-Site(端到站点或者PC到网关) |
企业用户远程办公或分支机构员工访问总部的OA(办公自动化)系统、邮件系统等。 |
同城、跨省市的两点专线。 |
1. 融合互联网、IPVPN、SD-WAN的混合组网。 2. 灵活组网,全球站点采用SD-WAN实现组网互访。 3. 优化现网,保留现有MPLS专线的同时,融合SD-WAN方案。 |
