如今,大家对于VPN的使用已是家常便饭,各种类型的VPN的技术也是五花八门。但哪种VPN协议适合我?面对层出不穷的新技术,我该如何进行选择?下面要介绍的这个案例或许可以为我们提供一些思考。
用户背景
用户的网络结构比较简单,Panabit设备用作出口的负载均衡:访问延时要求较高的应用走联通和电信,对重载类应用通过Panabit调度到移动链路,形成各出口链路带宽均衡。
而对于内网的远程访问,则由友商的SSL VPN来实现。对于诸如此类的用户,SSL VPN确实是一个较为合适的选择,选择SSL VPN的原因很简单:
1. 能实现异地员工访问内网的需求;
2. 员工下载客户端即可连接,较为便捷。
新的问题
不过,随着业务的发展,用户在远郊建立了一座新的仓库。新仓库有门禁、监控等安防设备,总部需要对其进行远程运维。同时新仓库的部分数据也需要上传到总部服务器。此时问题出现了,用户如何远程对新仓库进行管理,新仓库与用户内网要如何连接呢?
# 仓库拓扑
# 需求分析
1. 总部与新仓库间互联,内网数据需要交互;
2. 新仓库互联网出口没有公网IP,而异地人员需要访问新仓库的业务;
3. 总部对新仓库需要进行网络统一管理和运维;
4. 日志审计的需求:需要留存用户访问新仓库及总部资源的相关记录
对于总部与仓库的互联而言,此时SSL VPN已经无法满足需求了,目前摆在面前的选择有这么几种:MPLS等专线,以及IPSec等类型的VPN。
合理选择
首先,从成本方面考虑,专线就可以被Pass掉了。对于一般的企业来说,高昂的费用便足以让用户望而却步。
那么IPSec如何呢?答案是OK的。在用户总部搭建IPSec服务,新仓库侧部署支持IPSec客户端的出口网关即可满足互联的需求。用户也确实这么做了,不过在实际的测试过程中,由于IPSec重连速度较慢,导致业务中断的时间较长。另外,IPSec的开销太大,传输的效率相对较低。由于新仓库有很多摄像头,在用IPSec看直播或回放时会有卡顿的现象。
那么,有没有一种隧道技术,既可以实现互联互通,还能够保证数据的传输效率呢?答案是:有的,Panabit推出的私有隧道协议iWAN就具备这些能力。与其他隧道协议相比较,iWAN在隧道的稳定性和传输效率方面的优势较为明显:
最终经过测试,用户采用了Panabit的SD-WAN解决方案。
Panabit的SD-WAN即利用自研隧道协议iWAN,在多台Panabit设备间进行组网的技术。
最后部署的拓扑如下图所示:
除了优质的隧道外,SD-WAN的解决方案还有如下优势:
01利旧:
总部的出口已经是Panabit设备,无需改变原有网络结构。只需在新仓库增加一台Panabit,即可实现两边的互连。部署与开通便捷,并且成本较低。
02业务质量的优化:
NPM(网络质量监控)
可帮助用户快速定位网络问题的出处,让问题的定位更有针对性,更有效率。
应用级QoS
基于精准的应用识别,保障隧道内关键业务的正常运行。
03其他
统一运维
通过Panabit云平台,可对所有Panabit设备进行统一管理,提升运维效率。
全量日志留存
1:1日志留存,将分支与总部的所有访问记录统一存储。
事实上,绝大多数的选择都是经过多方权衡之后做出的。从上面对隧道的比较中我们也可以看出,并没有哪一种隧道是最好的。在满足用户基本需求的基础之上,选择哪一种还需要对其他的因素进行考察。
在这个案例中我们可以看到,用户的网络建设大多是循序渐进的,并且,多数用户对于成本的考量会占据其选择的大部分因素。因此能够最小化改变网络结构,并且将成本保持在相对较低的水平,对于多数用户的选择来说至关重要。
另一方面,如果说传统VPN只是解决了通不通的问题,那么SD-WAN实际还解决了好不好的问题。我们后面列举的业务质量优化、统一运维等功能,均是传统VPN所缺失的部分。对于用户来说,花差不多的钱,得到的却是更多的服务,何乐而不为呢?
诚然,选择并非简单的加减乘除,客户关系、响应速度、服务态度等等都可能是做出选择的关键因素。作为服务的提供者而言,致力于提供更实在、更优质的服务即是我们的最终目标。
京公网安备 11010802035086号