VPN隧道那么多，我该选哪个?

如今，大家对于VPN的使用已是家常便饭，各种类型的VPN的技术也是五花八门。但哪种VPN协议适合我？面对层出不穷的新技术，我该如何进行选择？下面要介绍的这个案例或许可以为我们提供一些思考。

用户背景

用户的网络结构比较简单，Panabit设备用作出口的负载均衡：访问延时要求较高的应用走联通和电信，对重载类应用通过Panabit调度到移动链路，形成各出口链路带宽均衡。

而对于内网的远程访问，则由友商的SSL VPN来实现。对于诸如此类的用户，SSL VPN确实是一个较为合适的选择，选择SSL VPN的原因很简单：

1. 能实现异地员工访问内网的需求；

2. 员工下载客户端即可连接，较为便捷。

新的问题

不过，随着业务的发展，用户在远郊建立了一座新的仓库。新仓库有门禁、监控等安防设备，总部需要对其进行远程运维。同时新仓库的部分数据也需要上传到总部服务器。此时问题出现了，用户如何远程对新仓库进行管理，新仓库与用户内网要如何连接呢？

# 仓库拓扑

# 需求分析

1. 总部与新仓库间互联，内网数据需要交互；

2. 新仓库互联网出口没有公网IP，而异地人员需要访问新仓库的业务；

3. 总部对新仓库需要进行网络统一管理和运维；

4. 日志审计的需求：需要留存用户访问新仓库及总部资源的相关记录

对于总部与仓库的互联而言，此时SSL VPN已经无法满足需求了，目前摆在面前的选择有这么几种：MPLS等专线，以及IPSec等类型的VPN。

合理选择

首先，从成本方面考虑，专线就可以被Pass掉了。对于一般的企业来说，高昂的费用便足以让用户望而却步。

那么IPSec如何呢？答案是OK的。在用户总部搭建IPSec服务，新仓库侧部署支持IPSec客户端的出口网关即可满足互联的需求。用户也确实这么做了，不过在实际的测试过程中，由于IPSec重连速度较慢，导致业务中断的时间较长。另外，IPSec的开销太大，传输的效率相对较低。由于新仓库有很多摄像头，在用IPSec看直播或回放时会有卡顿的现象。

那么，有没有一种隧道技术，既可以实现互联互通，还能够保证数据的传输效率呢？答案是：有的，Panabit推出的私有隧道协议iWAN就具备这些能力。与其他隧道协议相比较，iWAN在隧道的稳定性和传输效率方面的优势较为明显：

最终经过测试，用户采用了Panabit的SD-WAN解决方案。

Panabit的SD-WAN即利用自研隧道协议iWAN，在多台Panabit设备间进行组网的技术。

最后部署的拓扑如下图所示：

1. 新仓库增加一台Panabit，与总部通过SD-WAN互连，实现两边的互访；
2. 异地员工可以先用SSL VPN连接至总部，再通过SD-WAN访问新仓库的内网；
3. 总部部署Panalog日志服务器，对两边的上网流量与服务器的访问流量进行日志留存。

除了优质的隧道外，SD-WAN的解决方案还有如下优势：

01利旧:

总部的出口已经是Panabit设备，无需改变原有网络结构。只需在新仓库增加一台Panabit，即可实现两边的互连。部署与开通便捷，并且成本较低。

02业务质量的优化:

NPM（网络质量监控）

可帮助用户快速定位网络问题的出处，让问题的定位更有针对性，更有效率。

应用级QoS

基于精准的应用识别，保障隧道内关键业务的正常运行。

03其他

统一运维

通过Panabit云平台，可对所有Panabit设备进行统一管理，提升运维效率。

全量日志留存

1:1日志留存，将分支与总部的所有访问记录统一存储。

事实上，绝大多数的选择都是经过多方权衡之后做出的。从上面对隧道的比较中我们也可以看出，并没有哪一种隧道是最好的。在满足用户基本需求的基础之上，选择哪一种还需要对其他的因素进行考察。

在这个案例中我们可以看到，用户的网络建设大多是循序渐进的，并且，多数用户对于成本的考量会占据其选择的大部分因素。因此能够最小化改变网络结构，并且将成本保持在相对较低的水平，对于多数用户的选择来说至关重要。

另一方面，如果说传统VPN只是解决了通不通的问题，那么SD-WAN实际还解决了好不好的问题。我们后面列举的业务质量优化、统一运维等功能，均是传统VPN所缺失的部分。对于用户来说，花差不多的钱，得到的却是更多的服务，何乐而不为呢？

诚然，选择并非简单的加减乘除，客户关系、响应速度、服务态度等等都可能是做出选择的关键因素。作为服务的提供者而言，致力于提供更实在、更优质的服务即是我们的最终目标。

更多精彩：

记一次工具人的逆袭之路

智能应用级弹性遥测，解决网络全量分析的所有痛苦