SD-WAN vs MPLS_北京源点思博科技有限公司

SD-WAN vs MPLS：2019年为何SD-WAN越来越受青睐

在考虑WAN架构时，网络安全工程师和首席信息安全官们常问的一个问题是：“我是不是应该选择SD-WAN，而非MPLS？”

事实的确如此，选择部署SD-WAN解决方案的决定对企业来说有重大影响。简而言之，SD-WAN具有更好的可见性、可用性、性能以及更多自由操作的空间。这就是SD-WAN近些年来在业内蓬勃发展的原因。

另一个影响重大而愈发受到人们关注的问题就是灵活性。MPLS的连接方式较为僵硬和固定，难以适应当今动态网络要求的分支部门间的互联作业模式。它也无法提供某些支持，例如对网络延迟较为敏感的领域所需要的应用识别和精细化带宽管理功能。

SD-WAN相比MPLS的优势

相比MPLS，SD-WAN的关键优势在于三个重要的领域：成本、安全性和性能。它的有些优势不太为大家所熟知，而在极其特定的情况下，甚至会出现劣势，下面我们将详述这一点：

SD-WAN比MPLS更具成本效率

在过去，许多企业是通过Hub&Spoke WAN的模式来将分支部门或零售网点连接到总部数据中心，依赖的就是各个独立的MPLS连接。那么，所有的数据、工作流、交易和业务，包括对云服务或互联网的访问，都需要将流量发回数据中心，以处理和重新分配。这也同时凸显出了相比SD-WAN解决方案的优势，MPLS的成本效率低。

SD-WAN采用分布式的、私有数据流量交换与控制点的方式，能提供优化的多点连接功能，从而为用户带来从本地安全地访问所需服务的能力——无论是访问云服务还是互联网——同时还能实现对云服务和互联网资源的直接访问。

安全的SD-WAN能带来比MPLS更多保护

MPLS能够通过网络服务供应商的内部骨干网络，在分支部门和数据中心之间建立安全而可管控的连接，这似乎是它在安全性方面的一个优势。但是，公共互联网连接自身无法提供相同等级的防护。

但这种对比是有欺骗性的。MPLS无法对其传输的数据进行任何种类的分析，而这个责任依然归咎于MPLS边缘设备。即使在遍历MPLS连接时，也需要对流量进行检查，以防恶意软件和其它恶意利用，这就需要在连接的至少一个端点部署防火墙和其它安全功能。

公平来说，很多SD-WAN解决方案也有着同样的问题。除了基本的安全功能外，大部分SD-WAN方案仍然需要添加附加方案，以提升安全性。对于想要事后在复杂无比的SD-WAN连接中再添加安全功能的企业来说，遭遇的挑战往往超乎预料。

Fortinet所提供的集成安全 SD-WAN解决方案则与上述不同，因为SD-WAN功能是作为NGFW防火墙应用中的一项集成功能被部署，所以每个连接都自动包含动态网状VPN功能以确保数据中转时的安全，同时结合对流量的深度检查功能——这要用到一系列安全工具，包括IPS、防火墙、WAF、网页过滤、反病毒、反恶意软件等，而这些都是支持SD-WAN的FortiGate防火墙解决方案的一部分。它包括对SSL和IPsec VPN连接的高速检查——这项功能尤为重要，因为如今近70%的互联网流量都是加密的，许多地区会将高达85%的被访问网页都加密。

SD-WAN的性能优于MPLS

从性能角度来看，MPLS具有可靠而固定的带宽。虽然这看起来似乎是个优点，但如今的流量所要求的性能非常不确定。往往结果是，企业在租赁MPLS连接时需要考虑最糟糕的流量负载情况，而这意味着在大部分时间里，昂贵的带宽将被闲置。在另一些情况中，由于现代网络和设备产生的数据量不断增加，MPLS可能会让连接性能遭到限制。

当然，有些MPLS能提供可调节的连接性能，但即使这样，它无法分析当前流量并做出相应动态调整的本质也会使它的运用受到限制。

除了这个问题，由于所有流量都需要带宽才能发挥作用，某些应用（例如：语音和视频应用）会对网络延迟有所要求，因此需要持续监控延迟情况。在多个应用通过同一个连接通道运行时，就需要优先处理对延迟敏感的流量，而这就对应用识别、流量整形、负载均衡和多连接优先级选择等功能提出了要求，但这些都是MPLS所无法提供的。

SD-WAN能够识别应用，并相应地分配带宽和其它服务。它能够创建多个并行连接，然后提供细粒度的动态负载均衡。如果可用带宽减少，它甚至将故障转移到新的连接或不限速应用，以确保对延迟敏感的应用能获得必需的所有资源——Fortinet集成安全的SD-WAN因此配备了业界首款专门设计的SD-WAN ASIC，旨在为5000多款常见应用提供更快速的应用导流服务。

MPLS可能优于单独SD-WAN的场景

不过，在少数情况下，MPLS有可能优于单独的SD-WAN。例如，MPLS能提供无冗余而安全的连接，这对特定类型的数据、应用和事务来说格外重要——尤其是对诚信和私密有极高要求的场合。然而，由于MPLS对任何SD-WAN解决方案来说都是一个可选的附加项目，所以两者完全可以兼得。关键事务仍然可以通过MPLS来进行。

大多数情况下，品质好的MPLS相当昂贵。所以在这些地区，将MPLS替换为公共互联网连接是一项颇为节省的做法。不过，即使在某些情况下，MPLS变得并不昂贵，或者安全性与可靠性比成本问题重要得多，SD-WAN也能够通过MPLS连接来运行，从而提供更多防护和功能，这是单独的MPLS解决方案所欠缺的。其原因就是SD-WAN具有更大的灵活性、更好的细粒度流量控制、集成安全功能，以及利用多种连接策略（MPLS、公共互联网、IPSec、SSL等）的能力，而这一切只需部署SD-WAN即可实现。

SD-WAN的安全性几乎完胜MPLS

Fortinet的经验表明，SD-WAN解决方案的优点几乎完胜单独的MPLS。这是因为如今的流量包含了先进的网页应用和复杂的工作流，这就需要有一个更加灵活而动态的连接环境，而这是传统的静态MPLS所无法提供的。

在安全性方面，传统SD-WAN解决方案不尽人意。但是，Fortinet集成安全的SD-WAN解决方案不仅能为遥远的分支部门提供MPLS不具有的管理功能和灵活连接选择，还能够提供深度强化及整合的安全功能，从而减少管理支出，提升网络的可见性，提升集中IT管理控制台或SOC解决方案对分布式网络等方方面面的控制。

只有您最了解自己的企业，并有办法依据这些信息来判断SD-WAN和MPLS哪个更符合需求。

Fortinet集成安全的SD-WAN解决方案

在比较Fortinet集成安全的SD-WAN和MPLS的成本、安全性、性能等方面时，SD-WAN明显优于对手。Fortinet集成安全的SD-WAN解决方案让企业能够获得其所需的互联能力，以及深度整合的先进安全功能和管理功能，从而帮助其树立信心，发挥强项。

不同于市场上的大多数其它SD-WAN解决方案，Fortinet集成安全的SD-WAN解决方案的功能结合了先进的网络和流量管理技术，以及原生整合的先进安全功能。更棒的是，网络连接和安全这两个关键功能是通过同一个管理界面来进行统一配置和管理的，从而显著减少管理成本，同时提醒管理员他们并未注意到的问题。

分享到：微信 QQ好友新浪微博 QQ空间腾讯微博人人网