今就来聊聊SD-WAN与虚拟私人网络 到底有何不同

　　[PConline 杂谈]当谈到是选择SD-WAN还是虚拟私人网络时，企业往往都要考虑两者之间的成本、云使用和应用程序等差异和因素。一方面，也是由于近些年来业界对SD-WAN的热度颇高。因此，不少企业想知道，选择SD-WAN与虚拟私人网络的根本区别和相似之处到底在哪。如果你也有同样的困惑，不妨看完今天的文章内容。

　　 先来说说虚拟私人网络。虚拟私人网络的定义是通过不太安全的网络传输(例如互联网)创建安全网络。长久以来，虚拟私人网络的基本任务一直是删除来自已验证端点的数据包。端点之间的所有通信都会进行最高级别的加密，这构成了Internet上虚拟私人网络的基础，可以说它是简单且具有成本效益的，但在保证网络性能方面可能存有问题。

　　 最基本的，虚拟私人网络可以在对应用程序和通信进行加密之前对它们进行优先级排序。但是，这样做的价值是有限的，因为一旦通信在加密通道中传输，就不能从网络提供商的角度对其进行优先级排序，因为消息头是加密的不能查看；其次是一个在合理的性能水平上，建立一个支持通信的最佳网络。

　　 其中，远程访问是虚拟私人网络最常见的类型，能够让用户在没有直接连接到公司网络的情况下访问公司资源。远程访问通常都是临时连接，并且用户完成工作之后就会关闭。为确保隐私，在用户端点(如笔记本电脑、移动设备或家庭计算机)之间建立安全通道，建立呼叫并进行某种认证，如密码、令牌、生物识别。有时用户名和密码会被嵌入用户端的虚拟私人网络软件中，以方便用户连接，但总是需要经过某种形式的认证

　　 远程访问的优势在于，企业内的所有职员不管身在何方都可以连接到公司的资源，且不需要专用的物理链路。这样做不但可以降低成本，还能够实现之前无法实现的连接。但与此同时，其缺点也是显而易见的。通过虚拟私人网络进行远程访问，性能可能会因多种因素而有很大差异。这些因素包括正在使用的互联网服务，加密方法和用户连接的端点。这些问题远远超出了公司IT部门的控制范围，因此很难做到提高绩效。

　　 任何企业服务都可以通过远程访问虚拟私人网络进行访问，且大多数的企业服务都可以运行，但消耗大量带宽或具有低延迟要求的应用程序可能会受到很大的影响。

　　 一个典型的虚拟私人网络在单个IP主干上运行一些操作，对于小型企业来说是合适的。然而，对于具有多个位置的大型企业而言，由于网络上的高延迟或拥塞，采用IPsec协议实现远程接入的虚拟私人网络常常会导致语音和视频应用程序出现问题。

　　 尽管广域网可以作为这些大型网络的救星，但企业仍面临着端对端通信问题，特别是那些有跨国业务的企业在国际间的通信。此时，比较SD-WAN与虚拟私人网络的企业应该根据商业流程、应用程序和策略的合理结合来作出决定。具体而言，应考虑一个是公司的业务是否需要保证应用程序的性能，或者说各方面都要达到最佳的效果？再者，就是企业使用云并支持远程的、不安全的网络吗？最后，就是企业是否想管理自己的广域网？

　　 我们说，对于希望实现具有成本效益、性能最佳的虚拟私人网络服务的企业，使用传统的虚拟私人网络设备和简化的功能集，简单的路由器或具有IPsec功能的客户机是可以接受的，部署这样一个服务的成本通常是最低的，有些公司使用宽带部署虚拟私人网络服务，每月的费用不到100美元。

　　 当谈到SD-WAN时，一旦企业采用并依赖云服务，或者需要应用程序感知、远程访问和细粒度安全，SD-WAN技术就开始凸显了。虽然SD-WAN不像第三层MPLS VPN那样具有端到端服务质量（QoS），但SD-WAN通过提供感知网络条件和本地优先应用的能力来应对挑战。SD-WAN的本地QoS比基本的Internet vpn服务要先进很多，因为它提供了细粒度的支持，及缓存或应用程序加速等技术。

　　 SD-WAN的承诺是支持任何类型的网络连接，从MPLS到虚拟私有LAN服务（VPLS），当然还有Internet VPN。目前，用SD-WAN部署简单的IPsec设备来创建标准虚拟私人网络连接的成本仍然较低。此外，SD-WAN最是要在每台设备或客户机只需要一个快速通道就能通向集中管理服务器的愿景开始成为现实。换言之，企业可以选择最基本的SD-WAN服务或更复杂的元素，这取决于它们的总体需要或分支站点的需求，基本上使用云网络功能虚拟化能力。

　　 那么，SD-WAN和虚拟私人网络要如何选择？

　　 尽管我们无法准确的预测未来，但企业希望寻找相对低成本的最佳网络性能、安全性和灵活性，却是显而易见的。SD-WAN的目标是利用业务元素并将它们映射到业务支持中。有了SD-WAN，网络变得更加细粒度，安全性更高。与标准的Internet VPN不同，SD-WAN可以感知网络条件，以确保可预测的性能水平，而不管客户机在哪里连接。

　　 比较SD-WAN与Internet上的虚拟私人网络，SD-WAN要全面得，且技术有可能支持基本的Internet VPN并结束全局MPLS和VPLS网络。随着企业IT团队的发展，技术加速发展和产品特性继续多元化，这种趋势将最终导致简单的虚拟私人网络成为过去。未来的企业，需要使用一种更集中的方法来保护和处理应用程序通信，避免黑客威胁或糟糕的业务性能影响到业务的实现。