如今,大家對于VPN的使用已是家常便飯,各種類型的VPN的技術也是五花八門。但哪種VPN協議適合我?面對層出不窮的新技術,我該如何進行選擇?下面要介紹的這個案例或許可以為我們提供一些思考。
用戶背景
用戶的網絡結構比較簡單,Panabit設備用作出口的負載均衡:訪問延時要求較高的應用走聯通和電信,對重載類應用通過Panabit調度到移動鏈路,形成各出口鏈路帶寬均衡。
而對于內網的遠程訪問,則由友商的SSL VPN來實現。對于諸如此類的用戶,SSL VPN確實是一個較為合適的選擇,選擇SSL VPN的原因很簡單:
1. 能實現異地員工訪問內網的需求;
2. 員工下載客戶端即可連接,較為便捷。
新的問題
不過,隨著業務的發展,用戶在遠郊建立了一座新的倉庫。新倉庫有門禁、監控等安防設備,總部需要對其進行遠程運維。同時新倉庫的部分數據也需要上傳到總部服務器。此時問題出現了,用戶如何遠程對新倉庫進行管理,新倉庫與用戶內網要如何連接呢?
# 倉庫拓撲
# 需求分析
1. 總部與新倉庫間互聯,內網數據需要交互;
2. 新倉庫互聯網出口沒有公網IP,而異地人員需要訪問新倉庫的業務;
3. 總部對新倉庫需要進行網絡統一管理和運維;
4. 日志審計的需求:需要留存用戶訪問新倉庫及總部資源的相關記錄
對于總部與倉庫的互聯而言,此時SSL VPN已經無法滿足需求了,目前擺在面前的選擇有這么幾種:MPLS等專線,以及IPSec等類型的VPN。
合理選擇
首先,從成本方面考慮,專線就可以被Pass掉了。對于一般的企業來說,高昂的費用便足以讓用戶望而卻步。
那么IPSec如何呢?答案是OK的。在用戶總部搭建IPSec服務,新倉庫側部署支持IPSec客戶端的出口網關即可滿足互聯的需求。用戶也確實這么做了,不過在實際的測試過程中,由于IPSec重連速度較慢,導致業務中斷的時間較長。另外,IPSec的開銷太大,傳輸的效率相對較低。由于新倉庫有很多攝像頭,在用IPSec看直播或回放時會有卡頓的現象。
那么,有沒有一種隧道技術,既可以實現互聯互通,還能夠保證數據的傳輸效率呢?答案是:有的,Panabit推出的私有隧道協議iWAN就具備這些能力。與其他隧道協議相比較,iWAN在隧道的穩定性和傳輸效率方面的優勢較為明顯:
最終經過測試,用戶采用了Panabit的SD-WAN解決方案。
Panabit的SD-WAN即利用自研隧道協議iWAN,在多臺Panabit設備間進行組網的技術。
最后部署的拓撲如下圖所示:
- 新倉庫增加一臺Panabit,與總部通過SD-WAN互連,實現兩邊的互訪;
- 異地員工可以先用SSL VPN連接至總部,再通過SD-WAN訪問新倉庫的內網;
- 總部部署Panalog日志服務器,對兩邊的上網流量與服務器的訪問流量進行日志留存。
除了優質的隧道外,SD-WAN的解決方案還有如下優勢:
01利舊:
總部的出口已經是Panabit設備,無需改變原有網絡結構。只需在新倉庫增加一臺Panabit,即可實現兩邊的互連。部署與開通便捷,并且成本較低。
02業務質量的優化:
NPM(網絡質量監控)
可幫助用戶快速定位網絡問題的出處,讓問題的定位更有針對性,更有效率。
應用級QoS
基于精準的應用識別,保障隧道內關鍵業務的正常運行。
03其他
統一運維
通過Panabit云平臺,可對所有Panabit設備進行統一管理,提升運維效率。
全量日志留存
1:1日志留存,將分支與總部的所有訪問記錄統一存儲。
事實上,絕大多數的選擇都是經過多方權衡之后做出的。從上面對隧道的比較中我們也可以看出,并沒有哪一種隧道是最好的。在滿足用戶基本需求的基礎之上,選擇哪一種還需要對其他的因素進行考察。
在這個案例中我們可以看到,用戶的網絡建設大多是循序漸進的,并且,多數用戶對于成本的考量會占據其選擇的大部分因素。因此能夠最小化改變網絡結構,并且將成本保持在相對較低的水平,對于多數用戶的選擇來說至關重要。
另一方面,如果說傳統VPN只是解決了通不通的問題,那么SD-WAN實際還解決了好不好的問題。我們后面列舉的業務質量優化、統一運維等功能,均是傳統VPN所缺失的部分。對于用戶來說,花差不多的錢,得到的卻是更多的服務,何樂而不為呢?
誠然,選擇并非簡單的加減乘除,客戶關系、響應速度、服務態度等等都可能是做出選擇的關鍵因素。作為服務的提供者而言,致力于提供更實在、更優質的服務即是我們的最終目標。
