SD-WAN與VPN之間的差異是什么

企業(yè)在比較SD-WAN與VPN服務(wù)時，在兩種技術(shù)之間進行選擇應(yīng)該考慮成本、云計算使用和應(yīng)用意識等因素。

軟件定義的WAN有時作為互聯(lián)網(wǎng)上虛擬專用網(wǎng)絡(luò)的升級版，許多IT團隊都對SD-WAN與VPN服務(wù)的根本區(qū)別和相似之處感到疑惑。

盡管SD-WAN平臺的首選連接選項確實基于全球互聯(lián)網(wǎng)（具體而言是公共IP），但該技術(shù)與網(wǎng)絡(luò)連接無關(guān)。SD-WAN營銷團隊可能希望用戶相信全球互聯(lián)網(wǎng)連接是SD-WAN的主要選擇，但是基于軟件的網(wǎng)絡(luò)的原始概念至今仍支持多種接口。

為了選擇正確的選項，企業(yè)IT團隊希望通過比較SD-WAN與VPN的各個方面來消除有關(guān)SD-WAN的宣傳和炒作。

了解VPN

幾十年來，基本IPsec VPN的基本任務(wù)是丟棄不是來自經(jīng)過身份驗證的端點的數(shù)據(jù)包。端點之間的所有流量都經(jīng)過高級別的加密，這構(gòu)成了全球互聯(lián)網(wǎng)上VPN的基礎(chǔ)。VPN既簡單又經(jīng)濟高效，但在保證網(wǎng)絡(luò)性能方面也存在問題。

在基本的層面上，VPN可以在加密應(yīng)用程序之前優(yōu)先處理應(yīng)用程序和流量。但是，這樣做的價值是有限的。一旦流量在加密隧道中傳輸，就無法從提供者網(wǎng)絡(luò)的角度對流量進行優(yōu)先級排序，因為標頭已加密且無法查看。剩下的就是盡力而為的網(wǎng)絡(luò)，以合理的性能水平支持流量。

對于在單個IP主干上運行其業(yè)務(wù)的小型企業(yè)來說，采用典型的VPN是很好的。但是，對于具有多個位置的大型企業(yè)，由于網(wǎng)絡(luò)上的高延遲或擁塞，IPsec VPN通常會導致語音和視頻應(yīng)用程序出現(xiàn)問題。

以下是企業(yè)在評估SD-WAN與VPN時應(yīng)考慮的VPN的優(yōu)缺點：

?標準VPN使用經(jīng)過身份驗證的隧道和加密來提供簡單的WAN創(chuàng)建。

?VPN服務(wù)很簡單，通常成本較低，易于部署。

?延遲敏感型應(yīng)用程序需要比VPN提供的具有加密和身份驗證功能更多的功能。

?基于云計算的服務(wù)需要具有優(yōu)化性和高級下一代安全性的全球互聯(lián)網(wǎng)連接，而VPN不能總是提供這些功能。

了解SD-WAN

一旦企業(yè)采用并依賴云計算服務(wù)或需要應(yīng)用程序感知、遠程訪問和精細安全性，SD-WAN技術(shù)便開始變得有意義。盡管SD-WAN沒有像第三層MPLS VPN一樣具有端到端的服務(wù)質(zhì)量（QoS），但SD-WAN通過提供感知網(wǎng)絡(luò)狀況和本地優(yōu)先級應(yīng)用程序的能力來迎接挑戰(zhàn)。SD-WAN的本地服務(wù)質(zhì)量（QoS）由于其細粒度的支持以及緩存或應(yīng)用程序加速等功能，比基本的Internet VPN服務(wù)要先進得多。

當組織需要云計算服務(wù)時，他們應(yīng)考慮安全性和應(yīng)用程序意識。SD-WAN設(shè)備和客戶端通常在功能集方面更全面，與人們當前的工作習慣保持一致，例如在家中、咖啡店或酒店工作。通過SD-WAN的增強控制，IT團隊或提供商可以根據(jù)用戶配置文件和流量類型來限制和保護流量。

在許多情況下，易于使用的GUI簡化的自我管理正在推動SD-WAN的采用。傳統(tǒng)的思科IOS VPN配置需要專業(yè)知識和認證，而SD-WAN配置則基于點擊方法。

SD-WAN的承諾是支持任何類型的網(wǎng)絡(luò)連接，從多協(xié)議標簽交換（MPLS）到虛擬專用LAN服務(wù)（VPLS），當然還有Internet VPN。借助SD-WAN基于應(yīng)用程序的路由功能，它可以利用多種路徑，例如全球互聯(lián)網(wǎng)、4G或多協(xié)議標簽交換（MPLS）。不過，目前，部署簡單的IPsec設(shè)備以創(chuàng)建標準VPN連接的成本仍然較低。

SD-WAN可以使用多種類型的連接。

同時，SD-WAN設(shè)備和客戶端將以一種簡單易用的基本功能提供所有功能。當每個設(shè)備或客戶端只是通向集中式管理服務(wù)器的快速通道時，SD-WAN的最初承諾將開始成為現(xiàn)實。換句話說，企業(yè)將能夠使用其基本的SD-WAN服務(wù)或更復雜的元素，這取決于它們的總體需求，基本上使用云計算網(wǎng)絡(luò)功能虛擬化功能。

SD-WAN技術(shù)還不存在，因為大多數(shù)提供商都在通過使用低成本的全球互聯(lián)網(wǎng)連接，以及仍可以單獨編程的硬件來推動成本節(jié)省。不過，它確實需要從服務(wù)器進行配置。

SD-WAN的缺點

盡管使用如此豐富的技術(shù)似乎很難找出任何SD-WAN的缺點，但它確實也有一些缺點，可以加以考慮。

（1）使用全球互聯(lián)網(wǎng)作為WAN連接可以減少修復時間和服務(wù)水平。當發(fā)生諸如斷電之類的問題時，從多協(xié)議標簽交換（MPLS）過渡到具有SD-WAN的基于全球互聯(lián)網(wǎng)的WAN常常會感到震驚。負責多協(xié)議標簽交換（MPLS）配置和持續(xù)支持的公司網(wǎng)絡(luò)運營中心擁有豐富的專業(yè)知識和響應(yīng)服務(wù)水平。這并不是建議每個互聯(lián)網(wǎng)提供商都提供降低級別的支持，但是IT團隊應(yīng)該考慮服務(wù)級別協(xié)議（SLA）的要求，并確定在出現(xiàn)重大問題時如何支持業(yè)務(wù)。

（2）采用多個互聯(lián)網(wǎng)提供商的服務(wù)將創(chuàng)建不可預測的環(huán)境。許多SD-WAN提供商主張使用多個網(wǎng)絡(luò)服務(wù)提供商（ISP）主干網(wǎng)來節(jié)省資金。除非企業(yè)由于跨多個服務(wù)提供商的流量路由而在應(yīng)用程序之間遇到延遲和抖動問題，否則該策略才有意義。在更大范圍內(nèi)部署時，采用多個網(wǎng)絡(luò)服務(wù)提供商（ISP）的服務(wù)可能不是問題，但是全球企業(yè)客戶應(yīng)仔細考慮使用其所在地區(qū)內(nèi)成本低的提供商來部署其WAN。

（3）沒有端到端QoS。多協(xié)議標簽交換（MPLS）背后的關(guān)鍵驅(qū)動力之一是端到端QoS。SD-WAN通過復雜的路徑選擇、應(yīng)用程序隔離感測和本地優(yōu)先級來對付多協(xié)議標簽交換（MPLS）。但是，事實仍然存在，多協(xié)議標簽交換（MPLS）仍然是端到端維護應(yīng)用程序服務(wù)等級協(xié)議（SLA）的唯一選擇。結(jié)果通常是每個應(yīng)用程序的服務(wù)等級協(xié)議（SLA），可以將其交付回業(yè)務(wù)。

（4）節(jié)省成本并非總是可以實現(xiàn)的。是否實現(xiàn)SD-WAN成本節(jié)省取決于幾個因素，但重要的也許是連接性。例如，在英國，互聯(lián)網(wǎng)的成本與多協(xié)議標簽交換（MPLS）相當，當將復雜的SD-WAN設(shè)備和服務(wù)添加到連接中時，這可能會導致整體商業(yè)模式的提高。美國市場有所不同，因為與多協(xié)議標簽交換（MPLS）相比，全球互聯(lián)網(wǎng)的成本通常要低得多。IT團隊需要對每個國家/地區(qū)的市場進行商業(yè)分析。

（5）研究SD-WAN提供商通常是一項艱巨的任務(wù)。選擇SD-WAN提供商的弊端之一是大量的宣傳和營銷，通常會導致決策過程困難。許多提供商和供應(yīng)商都在宣傳節(jié)省成本的顯著優(yōu)勢和高級功能，從而使企業(yè)難以獲得進行比較所需的清晰度。

SD-WAN和VPN之間的區(qū)別

標準IPsec VPN和SD-WAN之間的主要區(qū)別完全基于SD-WAN技術(shù)所基于的軟件定義網(wǎng)絡(luò)（SDN）的功能。SDN將選項整合到單個平臺中，可以作為硬件、虛擬化或客戶端訪問使用。同樣，SD-WAN是WAN功能不同方面的集合，這些功能整合到單個平臺中，易于管理。

VPN在兩個或多個端點之間提供經(jīng)過身份驗證的WAN安全性，以保護總部和分支機構(gòu)的通信。端到端VPN加密只是整體安全性的一小部分，因為IT團隊負責通過基于遠程云平臺的工作合作伙伴、生產(chǎn)力應(yīng)用程序等為用戶提供支持。

VPN傳輸?shù)膬啥硕夹枰Ｗo流量，根據(jù)權(quán)限減少訪問，進行WAN優(yōu)化并選擇佳路徑。標準VPN通常不包括能夠基于佳路徑以優(yōu)化和安全性路由流量的智能。也就是說，某些企業(yè)仍需要部署沒有SD-WAN功能的VPN服務(wù)，例如臨時辦公室部署或具有簡單要求的位置。

SD-WAN是否可以取代VPN？

企業(yè)可以根據(jù)業(yè)務(wù)需求或在看到明顯的采用優(yōu)勢后用SD-WAN替換VPN。許多企業(yè)發(fā)現(xiàn)，SD-WAN提供的功能遠遠超過與多協(xié)議標簽交換（MPLS）或IPsec VPN相關(guān)的WAN連接。

SD-WAN具有在網(wǎng)絡(luò)和用戶級別上進行管理和報告的功能，這使企業(yè)能夠通過單一接口來支持和促進應(yīng)用程序訪問，而VPN服務(wù)則無法實現(xiàn)。 SD-WAN還可以將LAN、WAN、用戶、安全性和應(yīng)用程序性能整合到一個平臺中，從而實現(xiàn)業(yè)務(wù)轉(zhuǎn)型，而不僅僅是另一種VPN服務(wù)。

盡管SD-WAN可以充當這些大型網(wǎng)絡(luò)的救星，但企業(yè)仍然面臨端到端流量問題。那么，為什么企業(yè)會選擇IPsec VPN而不是SD-WAN？

比較SD-WAN與VPN的企業(yè)應(yīng)根據(jù)業(yè)務(wù)流程，應(yīng)用程序和策略的合理調(diào)整來做出決策。從根本上講，他們應(yīng)該考慮以下問題：

?企業(yè)是否需要保證應(yīng)用程序性能，還是可以盡力而為？

?企業(yè)是否使用云并支持遠程、不安全的網(wǎng)絡(luò)？

?企業(yè)是否要管理自己的WAN？

對于希望實施具有成本效益并盡力而為的VPN服務(wù)的企業(yè)，使用具有簡化功能集的傳統(tǒng)VPN設(shè)備，可以使用具有IPsec功能的簡單路由器或客戶端。部署此類服務(wù)的成本通常很小。一些企業(yè)以每月不到100美元的價格部署具有寬帶的VPN服務(wù)。

SD-WAN與VPN：如何決定

盡管很難預測未來，但企業(yè)無疑會以相對較低的成本尋求佳的網(wǎng)絡(luò)性能、安全性和靈活性。

SD-WAN的目標是采用業(yè)務(wù)元素并將其映射到業(yè)務(wù)支持中。借助SD-WAN，網(wǎng)絡(luò)將變得更加精細，從而實現(xiàn)更好的報告，安全性和應(yīng)用程序性能。與標準的Internet VPN不同，無論客戶端連接在哪里，SD-WAN都可以感知網(wǎng)絡(luò)狀況，以保障可預測的性能水平。

當比較全球互聯(lián)網(wǎng)上的SD-WAN與VPN時，SD-WAN更加全面。SD-WAN技術(shù)具有啟用基本Internet VPN和終止全球多協(xié)議標簽交換（MPLS）和VPLS網(wǎng)絡(luò)的潛力。

但是，當考慮使用網(wǎng)絡(luò)技術(shù)時，企業(yè)需要警惕宣傳和炒作，這可能會導致他們在購買帶有特定關(guān)鍵要素的特定服務(wù)提供商產(chǎn)品后購買SD-WAN。

隨著IT團隊的不斷前進，技術(shù)加速和產(chǎn)品功能將繼續(xù)發(fā)展，最終導致簡單的VPN成為過去。企業(yè)將需要采用一種更加針對性的方法來保護和處理應(yīng)用程序流量，以避免黑客攻擊或不良的分配性能，所有這些都會影響業(yè)務(wù)發(fā)展。