企业在比较SD-WAN与VPN服务时,在两种技术之间进行选择应该考虑成本、云计算使用和应用意识等因素。
软件定义的WAN有时作为互联网上虚拟专用网络的升级版,许多IT团队都对SD-WAN与VPN服务的根本区别和相似之处感到疑惑。
尽管SD-WAN平台的首选连接选项确实基于全球互联网(具体而言是公共IP),但该技术与网络连接无关。SD-WAN营销团队可能希望用户相信全球互联网连接是SD-WAN的主要选择,但是基于软件的网络的原始概念至今仍支持多种接口。
为了选择正确的选项,企业IT团队希望通过比较SD-WAN与VPN的各个方面来消除有关SD-WAN的宣传和炒作。
了解VPN
几十年来,基本IPsec VPN的基本任务是丢弃不是来自经过身份验证的端点的数据包。端点之间的所有流量都经过高级别的加密,这构成了全球互联网上VPN的基础。VPN既简单又经济高效,但在保证网络性能方面也存在问题。
在基本的层面上,VPN可以在加密应用程序之前优先处理应用程序和流量。但是,这样做的价值是有限的。一旦流量在加密隧道中传输,就无法从提供者网络的角度对流量进行优先级排序,因为标头已加密且无法查看。剩下的就是尽力而为的网络,以合理的性能水平支持流量。
对于在单个IP主干上运行其业务的小型企业来说,采用典型的VPN是很好的。但是,对于具有多个位置的大型企业,由于网络上的高延迟或拥塞,IPsec VPN通常会导致语音和视频应用程序出现问题。
以下是企业在评估SD-WAN与VPN时应考虑的VPN的优缺点:
•标准VPN使用经过身份验证的隧道和加密来提供简单的WAN创建。
•VPN服务很简单,通常成本较低,易于部署。
•延迟敏感型应用程序需要比VPN提供的具有加密和身份验证功能更多的功能。
•基于云计算的服务需要具有优化性和高级下一代安全性的全球互联网连接,而VPN不能总是提供这些功能。
了解SD-WAN
一旦企业采用并依赖云计算服务或需要应用程序感知、远程访问和精细安全性,SD-WAN技术便开始变得有意义。尽管SD-WAN没有像第三层MPLS VPN一样具有端到端的服务质量(QoS),但SD-WAN通过提供感知网络状况和本地优先级应用程序的能力来迎接挑战。SD-WAN的本地服务质量(QoS)由于其细粒度的支持以及缓存或应用程序加速等功能,比基本的Internet VPN服务要先进得多。
当组织需要云计算服务时,他们应考虑安全性和应用程序意识。SD-WAN设备和客户端通常在功能集方面更全面,与人们当前的工作习惯保持一致,例如在家中、咖啡店或酒店工作。通过SD-WAN的增强控制,IT团队或提供商可以根据用户配置文件和流量类型来限制和保护流量。
在许多情况下,易于使用的GUI简化的自我管理正在推动SD-WAN的采用。传统的思科IOS VPN配置需要专业知识和认证,而SD-WAN配置则基于点击方法。
SD-WAN的承诺是支持任何类型的网络连接,从多协议标签交换(MPLS)到虚拟专用LAN服务(VPLS),当然还有Internet VPN。借助SD-WAN基于应用程序的路由功能,它可以利用多种路径,例如全球互联网、4G或多协议标签交换(MPLS)。不过,目前,部署简单的IPsec设备以创建标准VPN连接的成本仍然较低。
SD-WAN可以使用多种类型的连接。
同时,SD-WAN设备和客户端将以一种简单易用的基本功能提供所有功能。当每个设备或客户端只是通向集中式管理服务器的快速通道时,SD-WAN的最初承诺将开始成为现实。换句话说,企业将能够使用其基本的SD-WAN服务或更复杂的元素,这取决于它们的总体需求,基本上使用云计算网络功能虚拟化功能。
SD-WAN技术还不存在,因为大多数提供商都在通过使用低成本的全球互联网连接,以及仍可以单独编程的硬件来推动成本节省。不过,它确实需要从服务器进行配置。
SD-WAN的缺点
尽管使用如此丰富的技术似乎很难找出任何SD-WAN的缺点,但它确实也有一些缺点,可以加以考虑。
(1)使用全球互联网作为WAN连接可以减少修复时间和服务水平。当发生诸如断电之类的问题时,从多协议标签交换(MPLS)过渡到具有SD-WAN的基于全球互联网的WAN常常会感到震惊。负责多协议标签交换(MPLS)配置和持续支持的公司网络运营中心拥有丰富的专业知识和响应服务水平。这并不是建议每个互联网提供商都提供降低级别的支持,但是IT团队应该考虑服务级别协议(SLA)的要求,并确定在出现重大问题时如何支持业务。
(2)采用多个互联网提供商的服务将创建不可预测的环境。许多SD-WAN提供商主张使用多个网络服务提供商(ISP)主干网来节省资金。除非企业由于跨多个服务提供商的流量路由而在应用程序之间遇到延迟和抖动问题,否则该策略才有意义。在更大范围内部署时,采用多个网络服务提供商(ISP)的服务可能不是问题,但是全球企业客户应仔细考虑使用其所在地区内成本低的提供商来部署其WAN。
(3)没有端到端QoS。多协议标签交换(MPLS)背后的关键驱动力之一是端到端QoS。SD-WAN通过复杂的路径选择、应用程序隔离感测和本地优先级来对付多协议标签交换(MPLS)。但是,事实仍然存在,多协议标签交换(MPLS)仍然是端到端维护应用程序服务等级协议(SLA)的唯一选择。结果通常是每个应用程序的服务等级协议(SLA),可以将其交付回业务。
(4)节省成本并非总是可以实现的。是否实现SD-WAN成本节省取决于几个因素,但重要的也许是连接性。例如,在英国,互联网的成本与多协议标签交换(MPLS)相当,当将复杂的SD-WAN设备和服务添加到连接中时,这可能会导致整体商业模式的提高。美国市场有所不同,因为与多协议标签交换(MPLS)相比,全球互联网的成本通常要低得多。IT团队需要对每个国家/地区的市场进行商业分析。
(5)研究SD-WAN提供商通常是一项艰巨的任务。选择SD-WAN提供商的弊端之一是大量的宣传和营销,通常会导致决策过程困难。许多提供商和供应商都在宣传节省成本的显著优势和高级功能,从而使企业难以获得进行比较所需的清晰度。
SD-WAN和VPN之间的区别
标准IPsec VPN和SD-WAN之间的主要区别完全基于SD-WAN技术所基于的软件定义网络(SDN)的功能。SDN将选项整合到单个平台中,可以作为硬件、虚拟化或客户端访问使用。同样,SD-WAN是WAN功能不同方面的集合,这些功能整合到单个平台中,易于管理。
VPN在两个或多个端点之间提供经过身份验证的WAN安全性,以保护总部和分支机构的通信。端到端VPN加密只是整体安全性的一小部分,因为IT团队负责通过基于远程云平台的工作合作伙伴、生产力应用程序等为用户提供支持。
VPN传输的两端都需要保护流量,根据权限减少访问,进行WAN优化并选择佳路径。标准VPN通常不包括能够基于佳路径以优化和安全性路由流量的智能。也就是说,某些企业仍需要部署没有SD-WAN功能的VPN服务,例如临时办公室部署或具有简单要求的位置。
SD-WAN是否可以取代VPN?
企业可以根据业务需求或在看到明显的采用优势后用SD-WAN替换VPN。许多企业发现,SD-WAN提供的功能远远超过与多协议标签交换(MPLS)或IPsec VPN相关的WAN连接。
SD-WAN具有在网络和用户级别上进行管理和报告的功能,这使企业能够通过单一接口来支持和促进应用程序访问,而VPN服务则无法实现。 SD-WAN还可以将LAN、WAN、用户、安全性和应用程序性能整合到一个平台中,从而实现业务转型,而不仅仅是另一种VPN服务。
尽管SD-WAN可以充当这些大型网络的救星,但企业仍然面临端到端流量问题。那么,为什么企业会选择IPsec VPN而不是SD-WAN?
比较SD-WAN与VPN的企业应根据业务流程,应用程序和策略的合理调整来做出决策。从根本上讲,他们应该考虑以下问题:
•企业是否需要保证应用程序性能,还是可以尽力而为?
•企业是否使用云并支持远程、不安全的网络?
•企业是否要管理自己的WAN?
对于希望实施具有成本效益并尽力而为的VPN服务的企业,使用具有简化功能集的传统VPN设备,可以使用具有IPsec功能的简单路由器或客户端。部署此类服务的成本通常很小。一些企业以每月不到100美元的价格部署具有宽带的VPN服务。
SD-WAN与VPN:如何决定
尽管很难预测未来,但企业无疑会以相对较低的成本寻求佳的网络性能、安全性和灵活性。
SD-WAN的目标是采用业务元素并将其映射到业务支持中。借助SD-WAN,网络将变得更加精细,从而实现更好的报告,安全性和应用程序性能。与标准的Internet VPN不同,无论客户端连接在哪里,SD-WAN都可以感知网络状况,以保障可预测的性能水平。
当比较全球互联网上的SD-WAN与VPN时,SD-WAN更加全面。SD-WAN技术具有启用基本Internet VPN和终止全球多协议标签交换(MPLS)和VPLS网络的潜力。
但是,当考虑使用网络技术时,企业需要警惕宣传和炒作,这可能会导致他们在购买带有特定关键要素的特定服务提供商产品后购买SD-WAN。
随着IT团队的不断前进,技术加速和产品功能将继续发展,最终导致简单的VPN成为过去。企业将需要采用一种更加针对性的方法来保护和处理应用程序流量,以避免黑客攻击或不良的分配性能,所有这些都会影响业务发展。