SD-WAN是什么?与MPLS,MSTP,IPSEC,SSL 有什么区别?
对于目前市场上主流的SD-WAN、MPLS VPN、SSL VPN、IPSec VPN和MSTP等企业组网技术,想必大家一定不陌生。其实,MPLS VPN,IPSec VPN,SSL VPN都属于采用IP VPN技术的产品。IP VPN(虚拟专用网)是通过互联网建立的临时连接,是一条穿过公用网络到企业内部网的高安全性且稳定的通信隧道,从而帮助远程用户、公司分支机构、商业伙伴及供应商与公司内部网建立可靠的连接,并保证数据的安全传输。
在IP VPN出现前,企业总部和各分支机构间的网络互通一般采用互联网或专线。企业利用互联网进行通信往往存在信息泄露、窃取等安全风险,而在总部和各分支机构间搭建专线,如MSTP,对于企业来说费用和维护成本较高。随着企业对跨区域、跨分支专用网络高速度访问需求日益增长,IP VPN应运而生。而随着多云应用、远程办公、企业全球化的深入,企业对于专用网络的速度、扩展性、安全性、及时性以及成本控制有了更高的要求,SD-WAN的出现恰恰可以满足这些要求。
MPLS VPN
什么是MPLS VPN:
MPLS VPN是一种基于MPLS(Multi-Protocol Label Switching,即多协议标签交换)技术的IP-VPN,它可以把送往特定VPN的数据区分出来,使用MPLS标签去分辨及传送封包,标签包括客户的VPN身分、来源地址、目标地址、流量等级等信息,支持网内所有地点之间的全互连通信,可以通过使用边界网关协议 BGP (边界网关协议)的归属群体属性来指定同属一个VPN的路由器,服务提供商所设置规定VPN网内路由信息的传播只限定于网内的路由器。
MPLS VPN功能优势:
▶ 安全性高
MPLS VPN的安全性不是通过加密技术实现的,而是利用两层标记,通过标签协议栈自动在和同一个VPN相连的不同PE (边缘路由器) 之间建立不同的隧道,对不同客户间、客户公网间的路由信息进行隔离,使得无关用户的通信不会混杂其中。
▶ 可靠性高
设备、线路和路由都有冗余传输资源的保护,保障了网络的可靠性。
▶ 扩展性强
网络中可容纳的VPN数目大,同一个VPN中的用户节点数不受限制,容易扩充,可实现任何节点与任何其他节点的直接通信。
▶ 维护灵活
因为MPLS VPN是无连接的,增加节点无需点对点映射。
IPSec VPN
什么是IPSec VPN:
IPSec VPN是采用IPSec(Internet Protocol Security, 网络协议安全性)来实现远程接入的一种VPN技术,它能在一对主机、一对安全网关、或主机和安全网关之间保护一条或多条“通道“;可以提供访问控制、数据源的验证、无连接数据的完整性验证、数据内容的机密性、抗重放保护以及有限的数据流机密性保证等服务。它提供了3种结构:主机到主机、主机到网关和网关到网关,并有传输模式和隧道模式两种封装模式。
IPSec VPN功能优势:
▶ 安全性高
通过身份认证、数据加密、数据完整性校验等多种方式,保证接入的安全和数据的私密性。
▶ 灵活性强
基于互联网,只要接入网络就可以利用IPSec VPN建立隧道实现端对端的连接。
▶ 通道分离
VPN设备的通道分离特性为IPSec提供客户端同时访问公网私网的支持,访问本地网络可以设置用户的访问权限。
SSL VPN
什么是SSL VPN:
SSL VPN是基于SSL (Secure Sockets Layer的虚拟专用网络, 简单来说是Web应用的安全协议,它指定了一种在应用程序协议和TCP (输控制协议) /IP协议之间提供数据安全性分层的机制,它为TCP/IP连接提供数据加密、服务器认证、消息完整性以及可选的客户机认证。它简单易用,任何安装浏览器的装置都可以使用,SSL VPN网关在传输过程中起到的主要作用是代理,请求并没有被直接发送给应用服务器,而是被SSL VPN接收,接收后的数据首先被SSL VPN进行协议解析,然后执行身份认证和访问控制等安全策略,最终再将数据转换为适当的后端协议,传送给应用服务器。
SSL VPN功能优势:
▶ 安全性高:
SSL网关隔离了内网服务器和客户端,只剩Web浏览接口,客户端的大多数木马病毒因此感染不到内网服务器。
▶ 灵活性高:
容易使用,SSL VPN工作在传输层以上,能够遍历所有NAT (网络地址转换) 和防火墙设备,使得用户可以从任何地方远程连入企业互联网,支持Web界面直接登录。
▶ 扩展性强:
无需改变原有的网络结构,可以随时根据需求,添加需要VPN保护的服务器。
▶ 便于管理:
无客户端软件和硬件需求,远程用户无需IT部门支持,随时随地从任何支持SSL协议的浏览器上安全地访问应用程序。
MSTP
什么是MSTP:
MSTP (Multi-Service Transport Platform, 多重生成树协议))是一种多业务传送节点技术,基于传统的SDH(同步数字体系) 平台,能够同时实现TDM (时分复用模式)、ATM (异步传输模式)、Ethernet (以太网)等不同通信传输技术同时接入、处理并提供统一的网管。它将环城路互联网剪修变成一个无环的树形互联网,防止报文格式在环城路互联网中的增长和不断循环,同时也提供了数据信息分享的多种途径,完成VLAN虚拟局域网数据信息的三层交换机。
MSTP功能优势:
- MSTP 兼容STP (生成树协议)和RSTP (快速生成树协议),而且能够填补STP和RSTP的缺点。
- 实现了负载分担,利用了冗余链路,一个实例的拓扑发生变化,不会影响到其他实例。
- 具有强大的SDH功能、Ethernet透明传输功能以及传输节点二层交换功能。
SD-WAN
什么是SD-WAN:
SD-WAN(Software Defined Wide Area Network)是指软件定义广域网,是将SDN(软件定义网络)技术应用到广域网场景中的一种服务,用于连接广阔地理范围的企业网络、数据中心、互联网应用及云服务。它通过多个不同的传输链路优化路由流量,自动识别生成特定流量的应用程序,并根据配置的策略和优先级别为其选择路由,以确保高优先级和延迟敏感的应用程序获得所需的网络性能,同时确保不太重要的应用程序流量不会消耗宝贵的网络带宽。
SD-WAN有哪些功能优势:
▶ 安全性高:
互联网线路加密传输,设备安全认证,集中安全策略管理。
▶ 实时监测:
实时线路状态和传输质量监测,可监控动态应用传输状态。
▶ 智能分流:
根据线路状态和应用类型来分配传输路径和优先级别,提供智能路由分流技术,根据特定应用选择合适的路由。
▶集中管理:
集中管理全网线路、设备,无论分支机构的规模和位置如何,都能提供灵活、弹性的部署。
SD-WAN与MPLS VPN, IPSEC VPN,SSL VPN, MSTP的区别对比
MPLS VPN | IPSEC VPN | SSL VPN | MSTP | SD-WAN | |
安全性 | 1. 将不同VPN的通信完全隔离,使得无关用户的通信不会混杂其中。 2. 但数据不加密,网络内部可能存在攻击。 | 1. 采用密钥算法,只有在安装相应的客户端并建立身份验证机制,才能使用IPSec VPN,安全性较高。 2. 但由于运行在互联网上,存在旁路攻击的风险。 | 身份验证功能为可选项而非必须项,可能需要第三方配置或应用程序,因此会面临未正确设置的安全措施风险,加密级别通常不及IPSec VPN。 | 物理隔离,安全性高,要实施攻击首先需要解析SDH。 | 1. 端到端加密,借助可扩展的密钥交换功能和软件定义的安全性。 2. 中心支点到分支机构之间建立基于业务隔离的安全连接,敏感流量可以通过单独的密钥加密来将自己与其他流量隔离。 |
接入便捷性 | 1. 无需进行复杂的配置和排错,普通CE (客户边缘)设备即可接通。 2. 如接入多间运营商的话管理和维护难度高,灵活性也较低。 | 1. 新站点接入时,总部和分支需进行较多修改和配置。 2. 移动性较差,用户使用时,需绑定到唯一的设备以使用VPN,难以迁移到新设备。 | 1. 无需安装客户端只需使用普通的浏览器进行访问。 2. 但访问其他应用程序或服务时,需要更改SSL VPN中的权限和设置,对于应用程序管理需要大量的协调工作。 | 直接采用以太网口接入,接入便捷。 | 支持零接触部署,接入灵活,所有客户侧接入网元时,就能在云端控制器上完成所有策略部署。 |
可扩展性 | 可以建立任意的连接,VPN用户可以延用原有的专用地址。新增站点无需做大量配置。 | 1. 连接稳定,一旦设备通过IPSec客户端连接到网络,将持续连接整个网络。 2. 增添新的设备,往往要改变网络结构。 | 无需额外的客户端,随时根据需求,添加VPN服务器,可快速移动部署。 | 1. 扩展性较差,每增加一个站点需要同时增加一个交换机端口和一条链路。 2. MSTP只提供物理层的隔离,缺乏业务层面上的多用户隔离。 | 新增分支机构只要接入节点,就能达到全网互联的效果,不用增加任何设备。 |
成本 | 比租用专线可以较大地节省成本,但一次性工程费、介入费较高。 | 身份验证证书必须经常更新,费用昂贵,需大量协调工作。 | 具有降低成本和复杂性的优势:不需安装额外客户端软件即可使用。 | 每增加一个站点需要同时增加一个交换机端口和一条链路的成本。 | 1. 部署时间短,节约成本。 2. 不同站点可以使用不同的广域网链路,无需花费成本更换站点现有链路类型。 3. 无需派遣技术人员到现场安装和维护本地网络。 |
适用场景 | 1. 多点组网,企业内部与分支站点、数据中心的互联。 2. 适用于对服务质量、服务等级有明确划分以及对网络资源的利用率、网络的可靠性有较高要求的企业。 | 1. Site-to-Site(站点到站点或者网关到网关) 2. End-to-End(端到端或者PC到PC) 3. End-to-Site(端到站点或者PC到网关) | 企业用户远程办公或分支机构员工访问总部的OA(办公自动化)系统、邮件系统等。 | 同城、跨省市的两点专线。 | 1. 融合互联网、IPVPN、SD-WAN的混合组网。 2. 灵活组网,全球站点采用SD-WAN实现组网互访。 3. 优化现网,保留现有MPLS专线的同时,融合SD-WAN方案。 |