对于目前市场上主流的SD-WAN、MPLS VPN、SSL VPN、IPSec VPN和MSTP等企业组网技术,想必大家一定不陌生。其实,MPLS VPN,IPSec VPN,SSL VPN都属于采用IP VPN技术的产品。IP VPN(虚拟专用网)是通过互联网建立的临时连接,是一条穿过公用网络到企业内部网的高安全性且稳定的通信隧道,从而帮助远程用户、公司分支机构、商业伙伴及供应商与公司内部网建立可靠的连接,并保证数据的安全传输。
在IP VPN出现前,企业总部和各分支机构间的网络互通一般采用互联网或专线。企业利用互联网进行通信往往存在信息泄露、窃取等安全风险,而在总部和各分支机构间搭建专线,如MSTP,对于企业来说费用和维护成本较高。随着企业对跨区域、跨分支专用网络高速度访问需求日益增长,IP VPN应运而生。而随着多云应用、远程办公、企业全球化的深入,企业对于专用网络的速度、扩展性、安全性、及时性以及成本控制有了更高的要求,SD-WAN的出现恰恰可以满足这些要求。
MPLS VPN是一种基于MPLS(Multi-Protocol Label Switching,即多协议标签交换)技术的IP-VPN,它可以把送往特定VPN的数据区分出来,使用MPLS标签去分辨及传送封包,标签包括客户的VPN身分、来源地址、目标地址、流量等级等信息,支持网内所有地点之间的全互连通信,可以通过使用边界网关协议 BGP (边界网关协议)的归属群体属性来指定同属一个VPN的路由器,服务提供商所设置规定VPN网内路由信息的传播只限定于网内的路由器。
安全性高
MPLS VPN的安全性不是通过加密技术实现的,而是利用两层标记,通过标签协议栈自动在和同一个VPN相连的不同PE (边缘路由器) 之间建立不同的隧道,对不同客户间、客户公网间的路由信息进行隔离,使得无关用户的通信不会混杂其中。
可靠性高
设备、线路和路由都有冗余传输资源的保护,保障了网络的可靠性。
扩展性强
网络中可容纳的VPN数目大,同一个VPN中的用户节点数不受限制,容易扩充,可实现任何节点与任何其他节点的直接通信。
维护灵活
因为MPLS VPN是无连接的,增加节点无需点对点映射。
IPSec VPN是采用IPSec(Internet Protocol Security, 网络协议安全性)来实现远程接入的一种VPN技术,它能在一对主机、一对安全网关、或主机和安全网关之间保护一条或多条“通道“;可以提供访问控制、数据源的验证、无连接数据的完整性验证、数据内容的机密性、抗重放保护以及有限的数据流机密性保证等服务。它提供了3种结构:主机到主机、主机到网关和网关到网关,并有传输模式和隧道模式两种封装模式。
安全性高
通过身份认证、数据加密、数据完整性校验等多种方式,保证接入的安全和数据的私密性。
灵活性强
基于互联网,只要接入网络就可以利用IPSec VPN建立隧道实现端对端的连接。
通道分离
VPN设备的通道分离特性为IPSec提供客户端同时访问公网私网的支持,访问本地网络可以设置用户的访问权限。
SSL VPN是基于SSL (Secure Sockets Layer的虚拟专用网络, 简单来说是Web应用的安全协议,它指定了一种在应用程序协议和TCP (输控制协议) /IP协议之间提供数据安全性分层的机制,它为TCP/IP连接提供数据加密、服务器认证、消息完整性以及可选的客户机认证。它简单易用,任何安装浏览器的装置都可以使用,SSL VPN网关在传输过程中起到的主要作用是代理,请求并没有被直接发送给应用服务器,而是被SSL VPN接收,接收后的数据首先被SSL VPN进行协议解析,然后执行身份认证和访问控制等安全策略,最终再将数据转换为适当的后端协议,传送给应用服务器。
安全性高:
SSL网关隔离了内网服务器和客户端,只剩Web浏览接口,客户端的大多数木马病毒因此感染不到内网服务器。
灵活性高:
容易使用,SSL VPN工作在传输层以上,能够遍历所有NAT (网络地址转换) 和防火墙设备,使得用户可以从任何地方远程连入企业互联网,支持Web界面直接登录。
扩展性强:
无需改变原有的网络结构,可以随时根据需求,添加需要VPN保护的服务器。
便于管理:
无客户端软件和硬件需求,远程用户无需IT部门支持,随时随地从任何支持SSL协议的浏览器上安全地访问应用程序。
MSTP (Multi-Service Transport Platform, 多重生成树协议))是一种多业务传送节点技术,基于传统的SDH(同步数字体系) 平台,能够同时实现TDM (时分复用模式)、ATM (异步传输模式)、Ethernet (以太网)等不同通信传输技术同时接入、处理并提供统一的网管。它将环城路互联网剪修变成一个无环的树形互联网,防止报文格式在环城路互联网中的增长和不断循环,同时也提供了数据信息分享的多种途径,完成VLAN虚拟局域网数据信息的三层交换机。
SD-WAN(Software Defined Wide Area Network)是指软件定义广域网,是将SDN(软件定义网络)技术应用到广域网场景中的一种服务,用于连接广阔地理范围的企业网络、数据中心、互联网应用及云服务。它通过多个不同的传输链路优化路由流量,自动识别生成特定流量的应用程序,并根据配置的策略和优先级别为其选择路由,以确保高优先级和延迟敏感的应用程序获得所需的网络性能,同时确保不太重要的应用程序流量不会消耗宝贵的网络带宽。
安全性高:
互联网线路加密传输,设备安全认证,集中安全策略管理。
实时监测:
实时线路状态和传输质量监测,可监控动态应用传输状态。
智能分流:
根据线路状态和应用类型来分配传输路径和优先级别,提供智能路由分流技术,根据特定应用选择合适的路由。
集中管理:
集中管理全网线路、设备,无论分支机构的规模和位置如何,都能提供灵活、弹性的部署。
香港电讯可以提供一个包含IPVPN专线,互联网和SD-WAN服务的整体方案。
香港电讯提供多分支到多云互联的云网融合解决方案。
香港电讯SD-WAN可以优化国内到海外公有云/SaaS(软件即服务/云软件) 的连接。
| MPLS VPN |
IPSEC VPN |
SSL VPN |
MSTP |
SD-WAN |
|
| 安全性 |
1. 将不同VPN的通信完全隔离,使得无关用户的通信不会混杂其中。 2. 但数据不加密,网络内部可能存在攻击。 |
1. 采用密钥算法,只有在安装相应的客户端并建立身份验证机制,才能使用IPSec VPN,安全性较高。 2. 但由于运行在互联网上,存在旁路攻击的风险。 |
身份验证功能为可选项而非必须项,可能需要第三方配置或应用程序,因此会面临未正确设置的安全措施风险,加密级别通常不及IPSec VPN。 |
物理隔离,安全性高,要实施攻击首先需要解析SDH。 |
1. 端到端加密,借助可扩展的密钥交换功能和软件定义的安全性。 2. 中心支点到分支机构之间建立基于业务隔离的安全连接,敏感流量可以通过单独的密钥加密来将自己与其他流量隔离。 |
| 接入便捷性 |
1. 无需进行复杂的配置和排错,普通CE (客户边缘)设备即可接通。 2. 如接入多间运营商的话管理和维护难度高,灵活性也较低。 |
1. 新站点接入时,总部和分支需进行较多修改和配置。 2. 移动性较差,用户使用时,需绑定到唯一的设备以使用VPN,难以迁移到新设备。 |
1. 无需安装客户端只需使用普通的浏览器进行访问。 2. 但访问其他应用程序或服务时,需要更改SSL VPN中的权限和设置,对于应用程序管理需要大量的协调工作。 |
直接采用以太网口接入,接入便捷。 |
支持零接触部署,接入灵活,所有客户侧接入网元时,就能在云端控制器上完成所有策略部署。 |
| 可扩展性 |
可以建立任意的连接,VPN用户可以延用原有的专用地址。新增站点无需做大量配置。 |
1. 连接稳定,一旦设备通过IPSec客户端连接到网络,将持续连接整个网络。 2. 增添新的设备,往往要改变网络结构。 |
无需额外的客户端,随时根据需求,添加VPN服务器,可快速移动部署。 |
1. 扩展性较差,每增加一个站点需要同时增加一个交换机端口和一条链路。 2. MSTP只提供物理层的隔离,缺乏业务层面上的多用户隔离。 |
新增分支机构只要接入节点,就能达到全网互联的效果,不用增加任何设备。 |
| 成本 |
比租用专线可以较大地节省成本,但一次性工程费、介入费较高。 |
身份验证证书必须经常更新,费用昂贵,需大量协调工作。 |
具有降低成本和复杂性的优势:不需安装额外客户端软件即可使用。 |
每增加一个站点需要同时增加一个交换机端口和一条链路的成本。 |
1. 部署时间短,节约成本。 2. 不同站点可以使用不同的广域网链路,无需花费成本更换站点现有链路类型。 3. 无需派遣技术人员到现场安装和维护本地网络。 |
| 适用场景 |
1. 多点组网,企业内部与分支站点、数据中心的互联。 2. 适用于对服务质量、服务等级有明确划分以及对网络资源的利用率、网络的可靠性有较高要求的企业。 |
1. Site-to-Site(站点到站点或者网关到网关) 2. End-to-End(端到端或者PC到PC) 3. End-to-Site(端到站点或者PC到网关) |
企业用户远程办公或分支机构员工访问总部的OA(办公自动化)系统、邮件系统等。 |
同城、跨省市的两点专线。 |
1. 融合互联网、IPVPN、SD-WAN的混合组网。 2. 灵活组网,全球站点采用SD-WAN实现组网互访。 3. 优化现网,保留现有MPLS专线的同时,融合SD-WAN方案。 |
