互联技术选型
SD-WAN和IPsec VPN作为云园区网络解决方案出口互联的两种技术,有不同的适用场景和特性差异,在选择时,要充分考虑两种技术对场景的匹配度,选择合适的技术进行方案设计和部署。
SD-WAN和IPsec VPN特性的关键差异点如表1所示。
|
特性 |
SD-WAN |
IPsec VPN |
备注 |
|
|---|---|---|---|---|
|
组网 |
Hub-Spoke |
支持 |
支持 |
- |
|
Full-Mesh |
支持 |
支持 |
IPsec VPN mesh互联限制比较多,如仅FW支持、仅支持32个站点、出口必须是公网地址。 |
|
|
分层组网 |
支持 |
不支持 |
分层组网主要用于站点规模非常多时的互联组网场景。 |
|
|
部署 |
多Hub站点/Hub多出口 |
支持 |
支持 |
IPsec VPN方案中仅FW设备支持。 |
|
站点出口为第三方设备 |
不支持 |
支持 |
SD-WAN方案Spoke、Hub节点必须都为AR设备。 |
|
|
分支多链路上行 |
支持 |
支持 |
IPsec VPN方案多链路时,也只能同时建一条隧道。 |
|
|
网关设备双机出口 |
支持 |
不支持 |
- |
|
|
U盘开局 |
支持 |
不支持 |
- |
|
|
邮件开局 |
支持 |
不支持 |
- |
|
|
DHCP option开局 |
支持 |
支持 |
FW不支持DHCP option方式开局。 |
|
|
注册查询中心方式开局 |
支持 |
支持 |
- |
|
|
功能 |
分支和Hub建立多条VPN隧道,流量可以负载分担/主备 |
支持 |
不支持 |
- |
|
智能选路(基于应用、链路质量选路) |
支持 |
支持 |
- |
|
|
隧道IPsec加密 |
支持 |
支持 |
- |
|
|
分支、Hub间动态路由发布 |
支持 |
不支持 |
- |
|
|
链路限速 |
支持 |
支持 |
- |
|
|
分支互访 |
支持 |
支持 |
- |
|
|
支持的规模 |
站点规模(单租户) |
5000 |
5000 |
- |
|
支持的网关设备 |
AP |
不支持 |
不支持 |
- |
|
AR(非SD-WAN款型) |
不支持 |
不支持 |
- |
|
|
AR(SD-WAN款型) |
支持 |
不支持 |
支持SD-WAN的AR款型请参见云管理网络的《服务开通》中“开通云管理网络套餐”章节。 |
|
|
FW |
不支持 |
支持 |
- |
|
关于SD-WAN和IPsec VPN方案的选择,可以参考如下规则和建议:
必须选择SD-WAN技术的场景
- 分支、总部站点多链路上行,分支、总部需要多隧道建链实现多VPN隧道的主备或者负载分担。
- 需要基于应用、链路质量进行智能选路。
- 有多区域/多中心站点(每个区域相当于一个总部),需要跨区域进行分层互联的复杂互联场景。
- 园区间有多部门业务隔离的诉求,对WAN侧也需要进行隔离,需要部署多VPN的互联。
必须选择IPsec VPN技术的场景
- 小微门店仅部署AP,AP做出口网关。
- 金融、物流、办公门店等只考虑用FW做出口网关场景。
- Hub节点为第三方VPN网关。
其他建议
- IPsec VPN主要适合于中小型海量分支的互联,SD-WAN可以支持中小型分支的互联,同时也可以支持大中型园区的互联,通过动态的方式发布园区路由,在大中型园区互联场景下更具灵活性、扩展性。
- 如果仅有单链路和单总部的场景,则建议配置轻量化的IPsec VPN,同时也可以支持更多的设备类型,方便灵活组网。
- 针对多Hub节点场景(一个总部多个公网出口也为多个Hub节点),分支如果只需要和一个Hub节点建链,则可以考虑用FW的IPsec VPN方案。
- 部署SD-WAN方案时,如果同时需要高级安全如IPS、威胁分析、反病毒等,则可以通过AR下挂FW的方案实现。
- 针对FW、AR部署时,SD-WAN方案可以在满足站点规模的前提下,都可以替代IPsec VPN的方案,但实际可以根据部署的成本、代价、灵活性、扩展性,选择具体的方案。
