站点图标 Linux-技术共享

让软路由神厂告诉你真正好用的隧道协议

如今,大家对于VPN的使用已是家常便饭,各种类型的VPN的技术也是五花八门。但哪种VPN协议适合我?面对层出不穷的新技术,我该如何进行选择?下面要介绍的这个案例或许可以为我们提供一些思考。

用户背景

用户的网络结构比较简单,Panabit设备用作出口的负载均衡:访问延时要求较高的应用走联通和电信,对重载类应用通过Panabit调度到移动链路,形成各出口链路带宽均衡。

而对于内网的远程访问,则由友商的SSL VPN来实现。对于诸如此类的用户,SSL VPN确实是一个较为合适的选择,选择SSL VPN的原因很简单:
1. 能实现异地员工访问内网的需求;
2. 员工下载客户端即可连接,较为便捷。

新的问题

不过,随着业务的发展,用户在远郊建立了一座新的仓库。新仓库有门禁、监控等安防设备,总部需要对其进行远程运维。同时新仓库的部分数据也需要上传到总部服务器。此时问题出现了,用户如何远程对新仓库进行管理,新仓库与用户内网要如何连接呢?

仓库拓扑

需求分析

1. 总部与新仓库间互联,内网数据需要交互;
2. 新仓库互联网出口没有公网IP,而异地人员需要访问新仓库的业务;
3. 总部对新仓库需要进行网络统一管理和运维;
4. 日志审计的需求:需要留存用户访问新仓库及总部资源的相关记录对于总部与仓库的互联而言,此时SSL VPN已经无法满足需求了,目前摆在面前的选择有这么几种:MPLS等专线,以及IPSec等类型的VPN。

合理选择

首先,从成本方面考虑,专线就可以被Pass掉了。对于一般的企业来说,高昂的费用便足以让用户望而却步。

那么IPSec如何呢?答案是OK的。

在用户总部搭建IPSec服务,新仓库侧部署支持IPSec客户端的出口网关即可满足互联的需求。用户也确实这么做了,不过在实际的测试过程中,由于IPSec重连速度较慢,导致业务中断的时间较长。

另外,IPSec的开销太大,传输的效率相对较低。由于新仓库有很多摄像头,在用IPSec看直播或回放时会有卡顿的现象。

那么,有没有一种隧道技术,既可以实现互联互通,还能够保证数据的传输效率呢?

答案是:

有的,Panabit推出的私有隧道协议iWAN就具备这些能力。与其他隧道协议相比较,iWAN在隧道的稳定性和传输效率方面的优势较为明显:

最终经过测试,用户采用了Panabit的SD-WAN解决方案。
Panabit的SD-WAN即利用自研隧道协议iWAN,在多台Panabit设备间进行组网的技术。最后部署的拓扑如下图所示:

  1. 新仓库增加一台Panabit,与总部通过SD-WAN互连,实现两边的互访;
  2. 异地员工可以先用SSL VPN连接至总部,再通过SD-WAN访问新仓库的内网;
  3. 总部部署Panalog日志服务器,对两边的上网流量与服务器的访问流量进行日志留存

除了优质的隧道外,SD-WAN的解决方案还有如下优势:

总部的出口已经是Panabit设备,无需改变原有网络结构。只需在新仓库增加一台Panabit,即可实现两边的互连。部署与开通便捷,并且成本较低。

NPM(网络质量监控)
可帮助用户快速定位网络问题的出处,让问题的定位更有针对性,更有效率。
应用级QoS
基于精准的应用识别,保障隧道内关键业务的正常运行。

统一运维
通过Panabit云平台,可对所有Panabit设备进行统一管理,提升运维效率。
全量日志留存
1:1日志留存,将分支与总部的所有访问记录统一存储。


事实上,绝大多数的选择都是经过多方权衡之后做出的。从上面对隧道的比较中我们也可以看出,并没有哪一种隧道是最好的。在满足用户基本需求的基础之上,选择哪一种还需要对其他的因素进行考察。

在这个案例中我们可以看到,用户的网络建设大多是循序渐进的,并且,多数用户对于成本的考量会占据其选择的大部分因素。因此能够最小化改变网络结构,并且将成本保持在相对较低的水平,对于多数用户的选择来说至关重要。

另一方面,如果说传统VPN只是解决了通不通的问题,那么SD-WAN实际还解决了好不好的问题。我们后面列举的业务质量优化、统一运维等功能,均是传统VPN所缺失的部分。对于用户来说,花差不多的钱,得到的却是更多的服务,何乐而不为呢?

诚然,选择并非简单的加减乘除,客户关系、响应速度、服务态度等等都可能是做出选择的关键因素。作为服务的提供者而言,致力于提供更实在、更优质的服务即是我们的最终目标。

退出移动版