VPN隧道那么多，我该选哪个？ _VPN隧道

如今，大家对于VPN的使用已是家常便饭，各种类型的VPN的技术也是五花八门。但哪种VPN协议适合我？面对层出不穷的新技术，我该如何进行选择？下面要介绍的这个案例或许可以为我们提供一些思考。
用户背景

文章插图

用户的网络结构比较简单，Panabit设备用作出口的负载均衡：访问延时要求较高的应用走联通和电信，对重载类应用通过Panabit调度到移动链路，形成各出口链路带宽均衡。
而对于内网的远程访问，则由友商的SSL VPN来实现。对于诸如此类的用户，SSL VPN确实是一个较为合适的选择，选择SSL VPN的原因很简单：
1. 能实现异地员工访问内网的需求；
2. 员工下载客户端即可连接，较为便捷。
新的问题
不过，随着业务的发展，用户在远郊建立了一座新的仓库。新仓库有门禁、监控等安防设备，总部需要对其进行远程运维。同时新仓库的部分数据也需要上传到总部服务器。此时问题出现了，用户如何远程对新仓库进行管理，新仓库与用户内网要如何连接呢？
# 仓库拓扑

文章插图

# 需求分析
1. 总部与新仓库间互联，内网数据需要交互；
2. 新仓库互联网出口没有公网IP，而异地人员需要访问新仓库的业务；
3. 总部对新仓库需要进行网络统一管理和运维；
4. 日志审计的需求：需要留存用户访问新仓库及总部资源的相关记录
对于总部与仓库的互联而言，此时SSL VPN已经无法满足需求了，目前摆在面前的选择有这么几种：MPLS等专线，以及IPSec等类型的VPN 。
合理选择
首先，从成本方面考虑，专线就可以被Pass掉了。对于一般的企业来说，高昂的费用便足以让用户望而却步。
那么IPSec如何呢？答案是OK的。在用户总部搭建IPSec服务，新仓库侧部署支持IPSec客户端的出口网关即可满足互联的需求。用户也确实这么做了，不过在实际的测试过程中，由于IPSec重连速度较慢，导致业务中断的时间较长。另外，IPSec的开销太大，传输的效率相对较低。由于新仓库有很多摄像头，在用IPSec看直播或回放时会有卡顿的现象。
那么，有没有一种隧道技术，既可以实现互联互通，还能够保证数据的传输效率呢？答案是：有的，Panabit推出的私有隧道协议iWAN就具备这些能力。与其他隧道协议相比较，iWAN在隧道的稳定性和传输效率方面的优势较为明显：

文章插图

最终经过测试，用户采用了Panabit的SD-WAN解决方案。
Panabit的SD-WAN即利用自研隧道协议iWAN，在多台Panabit设备间进行组网的技术。
最后部署的拓扑如下图所示：

文章插图

新仓库增加一台Panabit，与总部通过SD-WAN互连，实现两边的互访；
异地员工可以先用SSL VPN连接至总部，再通过SD-WAN访问新仓库的内网；
总部部署Panalog日志服务器，对两边的上网流量与服务器的访问流量进行日志留存。

除了优质的隧道外，SD-WAN的解决方案还有如下优势：
01利旧:
总部的出口已经是Panabit设备，无需改变原有网络结构。只需在新仓库增加一台Panabit，即可实现两边的互连。部署与开通便捷，并且成本较低。
02业务质量的优化:
NPM（网络质量监控）
可帮助用户快速定位网络问题的出处，让问题的定位更有针对性，更有效率。
应用级QoS
基于精准的应用识别，保障隧道内关键业务的正常运行。
03其他
统一运维
通过Panabit云平台，可对所有Panabit设备进行统一管理，提升运维效率。
全量日志留存
1:1日志留存，将分支与总部的所有访问记录统一存储。

事实上，绝大多数的选择都是经过多方权衡之后做出的。从上面对隧道的比较中我们也可以看出，并没有哪一种隧道是最好的。在满足用户基本需求的基础之上，选择哪一种还需要对其他的因素进行考察。
在这个案例中我们可以看到，用户的网络建设大多是循序渐进的，并且，多数用户对于成本的考量会占据其选择的大部分因素。因此能够最小化改变网络结构，并且将成本保持在相对较低的水平，对于多数用户的选择来说至关重要。