如今，大家對于VPN的使用已是家常便飯，各種類型的VPN的技術也是五花八門。但哪種VPN協議适合我？面對層出不窮的新技術，我該如何進行選擇？下面要介紹的這個案例或許可以為我們提供一些思考。

用戶背景

用戶的網絡結構比較簡單，Panabit設備用作出口的負載均衡：訪問延時要求較高的應用走聯通和電信，對重載類應用通過Panabit調度到移動鍊路，形成各出口鍊路帶寬均衡。

而對于内網的遠程訪問，則由友商的SSL VPN來實現。對于諸如此類的用戶，SSL VPN确實是一個較為合适的選擇，選擇SSL VPN的原因很簡單：

1. 能實現異地員工訪問内網的需求；

2. 員工下載客戶端即可連接，較為便捷。

新的問題

不過，随着業務的發展，用戶在遠郊建立了一座新的倉庫。新倉庫有門禁、監控等安防設備，總部需要對其進行遠程運維。同時新倉庫的部分數據也需要上傳到總部服務器。此時問題出現了，用戶如何遠程對新倉庫進行管理，新倉庫與用戶内網要如何連接呢？

# 倉庫拓撲

# 需求分析

1. 總部與新倉庫間互聯，内網數據需要交互；

2. 新倉庫互聯網出口沒有公網IP，而異地人員需要訪問新倉庫的業務；

3. 總部對新倉庫需要進行網絡統一管理和運維；

4. 日志審計的需求：需要留存用戶訪問新倉庫及總部資源的相關記錄

對于總部與倉庫的互聯而言，此時SSL VPN已經無法滿足需求了，目前擺在面前的選擇有這麼幾種：MPLS等專線，以及IPSec等類型的VPN。

合理選擇

首先，從成本方面考慮，專線就可以被Pass掉了。對于一般的企業來說，高昂的費用便足以讓用戶望而卻步。

那麼IPSec如何呢？答案是OK的。在用戶總部搭建IPSec服務，新倉庫側部署支持IPSec客戶端的出口網關即可滿足互聯的需求。用戶也确實這麼做了，不過在實際的測試過程中，由于IPSec重連速度較慢，導緻業務中斷的時間較長。另外，IPSec的開銷太大，傳輸的效率相對較低。由于新倉庫有很多攝像頭，在用IPSec看直播或回放時會有卡頓的現象。

那麼，有沒有一種隧道技術，既可以實現互聯互通，還能夠保證數據的傳輸效率呢？答案是：有的，Panabit推出的私有隧道協議iWAN就具備這些能力。與其他隧道協議相比較，iWAN在隧道的穩定性和傳輸效率方面的優勢較為明顯：

最終經過測試，用戶采用了Panabit的SD-WAN解決方案。

Panabit的SD-WAN即利用自研隧道協議iWAN，在多台Panabit設備間進行組網的技術。

最後部署的拓撲如下圖所示：

1. 新倉庫增加一台Panabit，與總部通過SD-WAN互連，實現兩邊的互訪；
2. 異地員工可以先用SSL VPN連接至總部，再通過SD-WAN訪問新倉庫的内網；
3. 總部部署Panalog日志服務器，對兩邊的上網流量與服務器的訪問流量進行日志留存。

除了優質的隧道外，SD-WAN的解決方案還有如下優勢：

01利舊:

總部的出口已經是Panabit設備，無需改變原有網絡結構。隻需在新倉庫增加一台Panabit，即可實現兩邊的互連。部署與開通便捷，并且成本較低。

02業務質量的優化:

NPM（網絡質量監控）

可幫助用戶快速定位網絡問題的出處，讓問題的定位更有針對性，更有效率。

應用級QoS

基于精準的應用識别，保障隧道内關鍵業務的正常運行。

03其他

統一運維

通過Panabit雲平台，可對所有Panabit設備進行統一管理，提升運維效率。

全量日志留存

1:1日志留存，将分支與總部的所有訪問記錄統一存儲。

事實上，絕大多數的選擇都是經過多方權衡之後做出的。從上面對隧道的比較中我們也可以看出，并沒有哪一種隧道是最好的。在滿足用戶基本需求的基礎之上，選擇哪一種還需要對其他的因素進行考察。

在這個案例中我們可以看到，用戶的網絡建設大多是循序漸進的，并且，多數用戶對于成本的考量會占據其選擇的大部分因素。因此能夠最小化改變網絡結構，并且将成本保持在相對較低的水平，對于多數用戶的選擇來說至關重要。

另一方面，如果說傳統VPN隻是解決了通不通的問題，那麼SD-WAN實際還解決了好不好的問題。我們後面列舉的業務質量優化、統一運維等功能，均是傳統VPN所缺失的部分。對于用戶來說，花差不多的錢，得到的卻是更多的服務，何樂而不為呢？

誠然，選擇并非簡單的加減乘除，客戶關系、響應速度、服務态度等等都可能是做出選擇的關鍵因素。作為服務的提供者而言，緻力于提供更實在、更優質的服務即是我們的最終目标。

更多精彩：

記一次工具人的逆襲之路

智能應用級彈性遙測，解決網絡全量分析的所有痛苦

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!