最近我突然发现，有的安全厂家开始把IPsec和SD-WAN进行对比。不过，基本上千篇一律，看个标题就猜到了结尾。无非是在夸自己公司的SD-WAN有多牛，传统的IPsec有多垃圾。

本人其实对SD-WAN一直持有怀疑的态度，作为一名老网工，IPsec VPN可以说再熟悉不过了。

IPsec VPN：
IPSec VPN 简单来说就是采用IPSec协议来实现远程登录的一种VPN技术。IPSec是IETF(Internet Engineer Task Force)制定的安全标准，IPSec协议是一个范围广泛、开放的虚拟专用网安全协议,它提供所有在网络层上的数据保护，提供透明的安全通信。需要指出的是 IPSec是基于网络层的，不能穿越通常的NAT、防火墙。
一句话概括为指采用IPSec协议来实现远程接入的一种VPN技术，在公网上为两个私有网络提供安全通信通道，通过加密通道保证连接的安全。

SD-WAN应该是最近几年才开始炒作的概念吧，貌似也是换汤不换药，网上也没有什么相关的技术标准出台。

不过最近实在是闲的没有事情做，刚好看到有人又在说SD-WAN多好多好，我于是决定亲自尝试一下，这个SD-WAN究竟能有什么独到之处？

在尝试之前，我出于工作习惯，还是先上网搜集一些SD-WAN相关的资料进行学习，正所谓知己知彼。不过看了几天发现好像每个厂家的SD-WAN都不一样，原来这玩意没有固定的标准。

下面是我在百度上看到的SD-WAN 的定义：

原来SD-WAN的定义是这样的，但是看各个厂家的宣传，感觉和百度的这个解释完全不一样。

比如华为的SD-WAN ：企业业务智能化和云化加速

比如太一星辰的SD-WAN ：云、网络、安全的融合之路

比如深信服的SD-WAN：立体安全，极致体验

比如大河云联的SD-WAN：改变云数据广域互联体验

本指望着看完可以明白，结果越看越懵了。不过，好在我天资聪颖，凭借我20多年的网络运维经验和超越常人的毅力以及天赋凛然的头脑，我终于搞明白了SD-WAN究竟是啥。

在大多数情况下，企业拥有大型MPLS网络，连接着所有分支机构。在所有分支机构增加专线带宽意味着要花费更多钱。而互联网带宽的成本比专线更便宜，所以我们可以使用SD-WAN来降低成本。

SD-WAN使得在分支机构增加带宽变得更加容易，并可在数天内部署完成，而不需要数周来安装MPLS，同时还可以降低成本。

SD-WAN的厂商分类，可以参考这篇文章：

https://www.sdnlab.com/22540.html

不过以上这些厂家的SD-WAN，我都需要花钱才能体验，长期混迹于知乎和B站，我深知白嫖的快乐，花钱是不可能花钱的。于是我开始在网上找免费的SD-WAN。

经过自己不懈的努力，终于在网上找到了几家做免费版SD-WAN的公司，不过让我大跌眼镜的是，大部分厂商的SD-WAN居然用的是IPsec VPN，这还有啥可比性。这让我对SD-WAN的能力更加的怀疑。

选择用哪个免费的SD-WAN测试，消耗了我整整半个月的时间。最后选择了一家国外的厂商和一家国内的厂商（防止被投诉，我不就不说具体是哪个厂商了）。选择它们的主要原因，有三个;

1） 免费；

2） 我用过；

3） 一个是标准的IPsecVPN，另一个应该是自己的私有协议

紧接着我马不停蹄地进行了测试，实际上我就想证明一下SD-WAN应该没有网上吹的那么神，整个的测试过程被我一一记录了下来，如下所示：

1. 测试前准备

测试工具采用常见网络性能测试工具Iperf

Iperf可以测试最大TCP和UDP带宽性能，可以根据需要调整，可以报告带宽、延迟抖动和数据包丢失

工具下载：

https://iperf.fr/iperf-download.php

下载的Iperf3.exe丢入文件夹C:\Windows\System32，控制台cmd就可以直接使用了

-s创建服务端 -c创建客户端

2. 国内SD-WAN厂商隧道（私有隧道协议）测试

拓扑图：

1、首先设置SD-WAN隧道服务端承载线路

2、设置拨号账号以及分配地址，这一步后续对应客户端需要输入的账号密码来连接服务端

3、设置SD-WAN服务端：

服务器名称“服务端”，映射服务需要用到认证方式选本地认证，地址池选择之前设置好的地址池

4、映射服务端：

选择服务器——“服务端”设置SD-WAN客户端连接SD-WAN服务端需要的端口号

5、到这里SD-WAN服务端就准备好了，接下来设置SD-WAN客户端

①设置客户端承载线路,IP参数对应SD-WAN服务端

②创建SD-WAN客户端拨号线路（认证账号密码）服务端设置的可供拨号的账号

客户端的设置相对来说比较简单

两端准备完毕，开始用Iperf来测试下

DHCP千兆互联线路测试5分钟:

SD-WAN客户端到服务端测试5分钟：

SD-WAN服务端到客户端测试5分钟：

最终结果显示450Mbits/秒左右

3. 国外SD-WAN厂商隧道（IPSecVPN）测试

测试拓扑

· 先是配置IPsec服务端

1、首先开启L2TP服务L2TP Server Enabled

2、设置拨号分配地址（这一步一定不要忘记）

3、设置L2TP模板，选择地址池设置网关（对应地址池配置）

4、设置拨号账号密码

服务类型选择l2tp类型

5、设置IPSec加密模板（复杂了，通常只要对的上Windows支持的就可以）

认证sha1

加密选默认的3des、aes-128、aes-256

策略配置default

安全性模指数也是默认modp1024

配置预共享密钥

注意对端Name相同

策略模板之前设置的default

· 配置好服务端，开始客户端连接

进入Win10系统的VPN设置

填写与服务端设置相同的参数

使用Iperf测试

物理机测试5分钟的结果：

虚拟机测试5分钟的结果：

物理机的测试结果在150Mbits/秒左右，虚拟机35Mbits/秒

4. 测试结果对比

这个测试结果，让我感觉比较奇怪，IPsec的性能低我倒是有预期，但是国内的这家公司用的私有隧道协议，居然可以跑出450Mbits/秒左右着实让我感到差异，我后来又把IPsec的加密模式关闭后，测试结果没有太大的变化。不过这次测试倒是提起了我对SD-WAN的一些兴趣，后面有时间再深入研究下。

发布于 2021-08-26 09:58

继续阅读：软件   网络   VPN

此文由 我的网站 编辑，未经允许不得转载！：首页 > 美·奇迹 » SD-WAN究竟比IPsec强多少？