MPLS和SD-WAN有什么不同？

MPLS和SD-WAN都是用于构建企业网络的技术，但它们有一些明显的不同之处：

1 技术架构：MPLS是一种基于传统路由技术的网络架构，它使用标签来标识不同的流量，并通过标签交换技术来实现数据包的转发。而SD-WAN是一种基于软件定义网络（SDN）的架构，它通过集中管理和配置网络设备，实现对网络流量的智能路由和负载均衡。

2 网络拓扑：MPLS通常采用点到点的网络拓扑，需要在不同的节点上配置路由器、交换机等设备来实现网络连接。而SD-WAN则采用全网覆盖的拓扑结构，可以将多个不同的网络连接整合为一个虚拟网络。

3 网络控制：MPLS的网络控制是由运营商完成的，企业只能通过与运营商（或者与合作的企业组网服务提供商）沟通来调整网络服务，但实施工程的只能是运营商。而SD-WAN则可以由企业自己进行网络控制和管理，可以根据企业的需求和实际情况来调整网络服务。

4 成本：MPLS的成本相对较高，需要购买运营商提供的专线服务和设备，同时也需要支付高昂的维护和管理费用。而SD-WAN则可以通过云服务提供商来实现，可以降低企业的网络成本。

MPLS和SD-WAN的不同之处主要在于其技术架构、网络拓扑、网络控制和成本等方面。企业应该根据自身的需求和实际情况来选择合适的网络技术。

摘要 ：疫情阶段，各类企业负责人都在考虑远程办公/协同办公，以保持公司业务的正常运行。目前各大企业也都推出了各自的远程办公/协同办公平台，比如阿里的钉钉、腾讯的企业微信、字节跳动的飞书等。但据调研，企业更多需求是员工在家能够直接访问企业内部业务系统、可直接访问办公室电脑完成业务工作的开展，而这一点是目前常见的协同办公平台不太容易实现的。要想实现企业对于直接访问内部业务系统、资源的需求，则需要建立起相对应的网络连接服务，且同时要提供固定的可访问IP地址，用于直接访问。

Abstract : during the epidemic stage, all kinds of enterprise leaders are considering telecommuting / collaborative work in order to maintain the normal operation of the company's business At present, major enterprises have also launched their own telecommuting / collaborative office platforms, such as Ali's DingDing, Tencent's WeChat Work, ByteDance’s Fei Shu and so on However, according to research, more demand of enterprises is that employees can directly access the internal business system at home and can directly access the office computer to complete the development of business work, which is not easy to achieve in the current common collaborative office platform In order to realize the voluntary demand for direct access to the internal business system, it is necessary to establish the corresponding network connection service, and at the same time provide a fixed accessible IP address for direct access

关键词 ：疫情，远程办公，协同办公，网络连接

自2019年12月爆发新冠肺炎（COVID-19）以来，尤其是过完春节假期，远程办公需求就大量爆发了。对此，市场上涌现出大量的远程办公/协同办公平台，各大互联网厂商相继下场，以期占领这个突然爆发的并不算新兴的市场。

但是通过笔者对这些协同办公平台的试用结果来看，都不是特别能够满足个人需求。当前市场上所涌现出的这些远程办公平台，更多倾向于协同文档、视频会议等应用场景，而并未充分考虑远程访问企业内部业务系统和办公资源这一场景。

经过多轮的认证分析之后，笔者认为要想实现对企业内部业务系统和办公资源的访问，还需要满足3点要求：（1）具备公共网络访问能力；（2）至少有1个固定IP地址，以绑定相关的业务系统；（3）支持配置虚拟网络连接服务。

笔者建议企业在建设远程异地访问内部业务系统和办公资源综合网络时，充分考虑使用SDN（Software Defined Network，软件定义网络）和NFV（Network Function Virtualization，网络功能虚拟化）技术，以实现上述3点要求。

而综合考虑，虚拟化SD-WAN服务能够最大限度地满足这些要求，虚拟化SD-WAN服务可在不增加额外的软硬件系统的基础上，充分实现企业办公室设备和员工家庭设备之间的快速智慧连接，完成办公综合网络的建设工作。

要想了解虚拟化SD-WAN服务，那就必须要对SD-WAN服务有着一定的了解。

SD-WAN全名即Software-Defined Wide Area Network（软件定义广域网），其服务基于高品质的公共网络资，利用SDN/NFV技术重新构建骨干网络，助力企业用户快速实现总部与分支机构互连、数据中心互连和云服务互连。

简单来说，SD-WAN由两部分组成：SDN Router（简称白盒终端）和SDN Controller（SDN控制器），其中SDN Router负责数据流量的转发工作，SDN Controller负责数据流量转发的路径计算。两者的密切结合，实现了传统网络架构所不具备的转控分离（数据转发平面和路径控制平面）功能，将原本Router或Switch的功能进行分离，在SDN Router仅保留数据流量转发能力，而将路径选择、路由计算能力交给SDN Controller处理。

这样的设计结构，使得SD-WAN服务在网络连接、数据转发方面的效率大幅提高，能够做到及时的路径路由调整，对网络拥塞有着相当的提前预判和管控能力。

SD-WAN服务需要在各连接机构、单位部署SDN Router，所以一般来说SD-WAN更多应用于企业互连。对于疫情阶段个人用户的适用性并不强，为每个员工安装一台SDN Router同时建立IPsec隧道连接的成本过于高昂。

基于此，SD-WAN服务虚拟化的需求大幅提升。如何将SDN Router实现的功能虚拟化在X86或ARM架构的机器上，就成了疫情期间SD-WAN服务商需要考虑的大事情。应对如此局面，多数企业选择将以往部署在服务器端的vCPE安装在员工家用PC机，但这样的方案对员工家用PC机以及个人IT技能素质提出了相对较高的要求：（1）硬件系统配置要求相对较高；（2）软件系统需要Linux环境，意味着要么将原本的非Linux操作系统重装成Linux系统，要么安装虚拟机；（3）部署过程对员工的IT技能要求相对较高，既要懂得IT网络知识，又要懂得Linux操作命令等。

如何将SD-WAN服务能力简单的虚拟化，并且支持在多种操作系统（桌面端：Windows/Linux/MAC OS，移动端：Android/iOS）简单安装即可使用，就成了研究的新方向。

虚拟化SD-WAN服务无需为每个用户部署一台SDN Router，也无需将传统对配置要求有较高要求的vCPE部署在客户机器，只需要简单安装一款软件，即可在客户机上生成一张虚拟网卡，并且通过云端SDN Controller为其分配一个虚拟的私有网络IPv4地址，用以连接对等的其他虚拟SDN Router，完成整个虚拟化SD-WAN服务的建立。

江苏澳云软件技术有限公司（JAST）在新冠肺炎疫情期间推出了面向企业和个人的虚拟化SD-WAN服务——云域网（JASTVIN）。该服务由SDN Controller（Virtual Segmentation Platform，VSP）和VIN Connect Client两部分组成。

云域网（JASTVIN）是一款基于SDN/NFV技术开发的虚拟化SD-WAN服务，经由云域网（JASTVIN）传输的数据流量不会经过第三方服务器，采取Full-Mesh网络结构，安装有VIN Connect Client的对等实体相互之间点对点（Point-to-Point，P2P）连接。基于企业内部办公网络或个人家庭宽带网络，在部署云域网（JASTVIN）服务时，无需重新布线、无需新增硬件系统，只需要在需要加入到虚拟网络中的终端设备安装VIN Connect Client软件，通过VSP的鉴权认证审核之后，VIN Connect Client对等实体即可不受地域限制，在全球范围内只有能够连接上公共网络的地方均可以快速建设局域网环境。

云域网（JASTVIN）服务的建设，不依赖于硬件系统，相应的就没有硬件维护成本；支持一个VIN Connect Client实体连接其他多个同一User Domain内的其他VIN Connect Client对等实体；基于云域网（JASTVIN）服务的数据流量传输，不会经过第三方服务器的存储转发，各VIN Connect Client终端之间点对点直连，实现数据安全和传输效率最大化。

传统SD-WAN服务中的SDN Controller，在本文介绍的虚拟SD-WAN服务中称之为VIrtual Segmentation Platform，以下简称VSP。

VSP需要部署在CentOS 72及以上系统，支持一键安装命令。

VSP支持虚拟网络建立、用户管理、证书管理、软件授权、日志推送、系统状态等能力，其中虚拟网络建立是VSP的最核心能力，通过授权邀请使需要建立虚拟SD-WAN服务的终端设备加入到同一个User Domain中，用以建立虚拟SD-WAN服务。

传统SD-WAN服务中的SDN Router，在本文介绍的虚拟SD-WAN服务中称之为VIN Connect Client，VIN指的是Virtual Invisible Network，意为虚拟隐形网络。

VIN Connect Client支持在广阔范围内建立虚拟网络连接，原本物理隔离的多个局域网通过Virtual Tunnel组建成一个逻辑局域网，形成一张大型的虚拟专用网络。

利用VIN Connect Client建立的虚拟专用网络，其通过Virtual Tunnel来传输数据流量。该Virtual Tunnel的建立采用了IPsec安全加密机制、AES128加密算法，确保各VIN Connect Client对等体在进行通信连接时的数据安全。

通过图3-1可以看出，已经建立了虚拟SD-WAN服务的5台客户机，这其中有处于同一网络环境的客户机，更多的是处于不同网络环境下的客户机（其中GUFENG这台机器为本次测试主机）。但同时也可以看出，在虚拟SD-WAN服务下，这5台客户机均生成了172201100/24这一网段的虚拟私网IPv4地址，即可完成虚拟网络的建设。

一旦建立起虚拟网络连接之后，无论这些客户机出于什么位置、什么公共网络环境下，都可以做到相互连接、相互访问，好比处于同一局域网络环境下。

通过图3-2所示，位于不同网络环境下的两台主机（GuFeng和胥萧雨）可以实现正常的连通。

跨地区异地组网是云域网（JASTVIN）服务最核心的能力，通过云域网（JASTVIN）虚拟SD-WAN服务在安装有VIN Connect Client的客户机上生成虚拟IPv4地址，从而建立起虚拟专用网络，完成智慧连接、智能组网。

通过云域网（JASTVIN）虚拟SD-WAN服务，可以将广阔地理范围的企业内部业务系统、办公电脑，员工家用电脑、平板等终端设备连接在一起，实现身临其境的远程异地办公操作。

随着企业全球化、信息化的发展，企业的商业和业务运行模式较之于传统模式发生了天翻地覆的变化，业务云化、移动化、物联网化，传统的企业网已经无法满足企业新的发展趋势。对此，传统企业网面临越来越多的挑战。

Ø 专线成本过高，运营费用大；

Ø 分支机构网络环境复杂，开通周期长（多为1~3个月）；

Ø 自建网络质量难以保证；

Ø 应用无感知，带宽被抢占；

Ø 关键业务、敏感数据体验难以保证，用户体验较差；

Ø 故障定位困难，IT支撑团队技能要求高，维护成本巨大。

对于分支机构、外勤员工数量众多的企业来说，更希望有一套完善的远程异地办公方案。一般来说，异地办公需要解决好如下几个问题：

①方便、快速访问企业内部系统（包括文档共享、OA/ERP/CRM、SVN源码协作平台、共享打印机等）；

②支持移动设备的异地办公；

③支持多种方式联网（包括宽带互联网、4G/5G等）；

④低成本，高质量的网络链路；

⑤运维简单，支持零基础部署。

根据企业客户实际应用场景需求，可将VSP管理平台部署于企业指定厂商的云服务器上，按需在员工设备上安装VIN客户端软件，同时需要在OA/ERP/CRP、文件、SVN等服务器上安装VIN客户端。

按照实际需要，将需要互访的系统服务器、员工设备终端加入到相应的User Domain内，即可完成虚拟网络的建设。

在指定的云服务器（系统镜像要求CentOS 72+）上部署VSP Platform，需要进行管理的公有云/私有云服务器和本地终端设备上安装VIN Connect Client。当终端设备或云服务器开机运行后，VIN Connect Client将自动运行，并向VSP Platform发送注册请求，VSP Platform鉴权、认证通过后，所有装有VIN Connect Client的本地或是云上服务器即可实现互相连接，无视复杂的网络环境，实现混合云业务管理。

根据不同的云端业务需求，在VSP Platform创建不同的User Domain，将需要实施管理的终端设备或服务器添加到该User Domain，即可完成业务隔离的混合云管理方案。

云域网（JASTVIN）虚拟SD-WAN混合云管理方案，在高效、安全、可靠的基础上，还较之传统混合云解决方案有着巨大高性价比优势。

伴随着云技术与市场的不断壮大，企业用户可以选择采用公有云，并将其私有化的方案解决传统IDC私有云建设的弊端。 云域网（JASTVIN） 虚拟SD-WAN 公有云私有化服务方案 适用于下列技术要求。

①数据安全性要求高：JASTVIN公有云私有化解决方案支持通过设置将公有云只能通过私有IP进行访问，做到业务数据安全隔离；

②便捷运维，降低成本：企业用户要求运维服务快速响应，降低企业在IT运维阶段的支出；

③业务系统可用性要求较高：支持链路备份能力，保证用户在可联网状态下的业务系统访问能力；

④多分支机构企业应用：支持多分支机构的应用，保证系统访问不受时间和空间限制。

在指定的云服务器（系统镜像要求CentOS 72+）上部署VSP Platform，需要进行管理的公有云服务器和本地终端上安装VIN Connect Client。当终端设备或云服务器开机运行后，VIN Connect Client将自动运行，并向VSP Platform发送注册请求，VSP Platform认证通过后，所有VIN Connect Client对等实体即可完成智能组网。

在公有云服务器控制中心进行“禁止公共网络访问”的安全策略设置，如此公有云服务器只能由安装了VIN Connect Client并经过VSP Platform认证的终端设备，通过VIN Connect Client生成的虚拟私有IPv4地址访问，即可实现公有云私有化。企业用户即可花着公有云服务的钱，既享受着公有云海量的弹性计算、网络、存储等资源，又享受私有云的高安全性。

把云服务器当做终端设备使用，VIN Connect Client可以很好的兼容云服务器多种操作系统（Windows/Cent OS/Ubuntu）而不区分服务供应商。终端设备通过VIN Connect Client与VSP Platform通信，用户只需要给每台“终端设备”安装VIN Connect Client，并使之与VSP Platform保持连接。当“终端设备”启动时，VIN Connect Client将主动向VSP Platform发起注册请求，握手通信成功后保持与VSP Platform的长连接，可实现云和本地网络的完美融合。

VIN Connect Client支持移动端接入：云网通的解决方案适用于本地化部署办公，当客户遇到移动办公的需求时，VIN Connect Client可很好的解决客户的需求。VIN Connect Client部署在客户需要移动办公的终端设备上，保持与VSP Platform的连接，即可实现移动端接入内网或云服务器。

无需变更用户现有网络架构，企业用户可灵活增加或删减设备节点，保证云服务器和本地终端设备之间的连接有效性。不同的业务需求，均可以通过将VIN Connect Client添加进同一个VSP Platform内所创建的不同User Domain实现智慧连接服务。

企业用户可随意增加本地局域网与异地局域网、本地局域网与公有云、公有云与公有云之间的连接交互服务。云域网（JASTVIN）可很好的解决两两之间的连接交互问题，本地局域网、异地局域网、云服务器都可通过VIN Connect Client接入同一个VSP Platform，客户只需在指定的云服务器（系统镜像要求CentOS 72+）上部署VSP Platform，需要进行管理的公有云或是私有云服务器和本地局域网中安装VIN Connect Client。当终端设备或云端服务器开机运行后，VIN Connect Client将自动运行，并向VSP Platform发送注册请求，VSP Platform鉴权、认证通过后，所有装有VIN Connect Client的本地局域网终端设备或是云端服务器可实现互相连接，无视复杂的网络环境，轻松实现连接交互服务。

江苏澳云软件技术有限公司是为用户提供基于SDN技术解决方案的专业服务商，主要提供基于云域网（JASTVIN）虚拟SD-WAN产品的各类企业办公解决方案，同时可根据用户需求提供个性化解决方案。公司致力于中国创新网络连接技术发展，将虚拟化技术与网络相结合，开创了高效且便捷的网络新模式，为各种规模的组织及公司提供世界500强企业才有的网络安全保障。

江苏澳云软件技术有限公司始终以“客户的需求就是命令”为客户服务使命、以“让工作更加高效便捷”为愿景，助力企业办公更加高效、安全，实现进一步的降本增效。

SD-WAN是一种基于软件定义网络技术的广域网解决方案，它通过集中管理和控制网络流量，实现了对企业网络的灵活管理和优化。相比传统的硬件设备，SD-WAN可以通过软件的方式实现网络的配置和管理，大大简化了网络运维的工作。

它在网络性能方面具有显著的优势。SD-WAN可以根据网络流量的实时情况，智能地选择最佳的网络路径，确保数据的快速传输和低延迟。这对于企业来说，意味着更高效的业务运作和更好的用户体验。

SD-WAN在网络安全方面也有着独特的优势。随着企业网络规模的不断扩大，网络安全问题也日益突出。SD-WAN通过集中管理和控制网络流量，可以实现对网络的全面监控和安全防护。它可以对网络流量进行实时检测和分析，及时发现和应对潜在的安全威胁，保障企业网络的安全性。

SD-WAN还具有灵活性和可扩展性的优势。传统的硬件设备在网络扩容和升级方面存在一定的限制，而SD-WAN可以通过软件的方式实现网络的灵活配置和扩展。无论是新增分支机构还是调整网络拓扑，都可以通过简单的软件配置来实现，大大降低了网络建设和运维的成本。

SD-WAN为企业用户构建业务开放、灵活编程、易于运维的广域网，用户能够按照预定的路由策略自主控制广域网流量的流向，帮助用户降低广域网（WAN）的开支并提高连接的灵活性。

SD-WAN典型的应用场景包括混合WAN场景、云接入场景和移动办公等，通过引入SD-WAN控制器，可完成企业各分支接入设备的集中管理和自动化配置，将企业各个分支灵活接入到公有云或私有云，为用户提供可视化的、可调度的网络拓扑和流量监控，同时，可以为企业提供安全防护等云化增值服务。

SD-WAN解决方案，基于虚拟化企业网关产品和云化业务部署，为政企客户提供灵活、智能、定制化、自动化、差异化的智能专线和云专线业务，适用于Site-Site、Site-Internet、Site-IDC等不同的应用场景，提供企业各站点间的互联专线、企业访问国际互联网的加速服务、企业站点定向访问公有云、私有云等服务，具有敏捷开通、国际加速、混合组网、云网协同等特点。

SD-WAN解决方案包括企业网关、SD-WAN控制器、协同编排器、面向业务的Portal服务门户等产品。其中，企业网关有基于X86架构白盒机部署、基于通用服务器金属裸机部署、基于云平台虚拟主机部署的三种形态，具有高性能、灵活部署、弹性伸缩等特点，满足不同企业客户云专线、虚拟化、物联网等场景的业务需求。

我们正加快SD-WAN研究开发和落地实践，推进下一代企业专线技术和新兴产品的市场应用，助力SD-WAN产业的发展。

SD-WAN（Software-Defined Wide Area Network）是一种基于软件定义的广域网技术，它通过集中管理和控制网络，提供了更灵活、可靠和安全的网络连接。SD-WAN可以帮助企业降低网络成本、提高网络性能，并简化网络管理。

SD-WAN的组网方式

1 集线器和分支机构

这是最常见的SD-WAN组网方式。在这种方式下，集线器位于数据中心或云上，而分支机构则是连接到集线器的边缘设备。集线器负责管理和控制所有分支机构的网络连接，通过集中的控制平面和数据平面，实现对网络流量的优化和安全性的提升。

2 分支到分支

在某些情况下，分支机构之间可能需要直接通信，而不经过集线器。这种组网方式可以提高网络的灵活性和性能。分支到分支的连接可以通过***隧道或直接的点对点连接来实现。

3 云到分支

随着企业对云服务的依赖增加，云到分支的组网方式变得越来越重要。在这种方式下，分支机构通过SD-WAN连接到云服务提供商，实现对云应用的直接访问。这样可以提高应用的性能和用户体验。

SD-WAN的组件

1 SD-WAN控制器

SD-WAN控制器是SD-WAN网络的核心组件，负责集中管理和控制网络。它可以根据网络流量、应用需求和安全策略，动态地分配和优化网络资源。SD-WAN控制器还可以提供网络监控、故障排除和安全管理等功能。

2 边缘设备

边缘设备是部署在分支机构的SD-WAN设备，它们负责与集线器或其他分支机构建立安全的连接。边缘设备可以是物理设备或虚拟设备，根据具体需求选择合适的设备。

3 安全设备

由于SD-WAN涉及到跨网络的连接，安全性是一个重要的考虑因素。安全设备可以包括防火墙、入侵检测系统和虚拟专用网络等。这些设备可以保护网络免受恶意攻击和数据泄露。

4 应用优化工具

SD-WAN可以通过应用优化工具来提高应用的性能和用户体验。这些工具可以对网络流量进行深度分析和优化，以确保关键应用的优先级和带宽需求得到满足。