两地三地IPSEC完全够用,见过不少上市公司也差不多就这样,多点的话SDWAN也不错,就是最好找专业的网络公司出方案,不要都自己来,正经的SDWAN维护难度其实不大,上线也快,还能顺便解决移动接入问题。
我家的做法跟楼主的问题是差不多的,但是我就是不想把自己网络的控制面暴露在外面,所以我的方案:
主站点,联通电信双线接入,两个固定ipv4,开DSVxN或者DMVxN,其实都依赖NHRP协议,两个厂家名字不一样而已。
在主墙的后面加一个RouterOS的路由做Wireguard,在主墙的两条线路上分别透传UDP端口。
分支站点有动态公网ip的:配置成DSVxN客户端,中间链路实际上是GRE,如果有加密需求可以叠加一层ipsec。分支站点开shortcut,便于站点自动建立直连关系。
分支站点只有私网ip的:wireguard穿过主站点主墙连到RouterOS。
分支站点到主站点的路由通过ebgp打通,主站和主墙通过ibgp打通。
部分分支站点可以两套接入方式都打通,通过bfd检测和切换路由,保证一定程度上的高可用。
实测,上面这一套搞下来,数据不出国的情况下运营商似乎是不管的,速度基本上能跑满。 wireguard udp会被isp qos,不是同城同isp的话都不用考虑了 既然已经有路由器了,全网点对点L2TP隧道打通,然后跑个OSPF,不增加任何成本 loveme_52099 发表于 2023-7-1 16:14
那是没钱的公司才用,高可靠性可用延迟 有要求的基本上都是MPLS-V-P-N
有钱的公司用专线 WG,L2TP都可以啊,节点多只是配置多点,不是不能用。 阿里云sd-wan sdwan,运营商可以提供
wireguard ,主端有公网固定IP即可,站点无所谓
ipsec,或者open** gringrin 发表于 2023-7-1 16:17
没钱的ipsec,日常维护烦的要死
花点小钱,SDWAN
最费钱的是专线,专线还需要有自己的运维。
如果走MPLS **,那么基本运营商给你弄好,不需要自己维护了。 我用的3个点的IPSec非常稳,其中的一个点是跨省的,剩下两个点同在一个城市,一个在市区一个在郊区,但是每个点都是同一个营运商的固定IP的专线。我们这里家宽的500端口被间歇性封,家宽无法使用IPSec。 本帖最后由 星小宇 于 2023-7-3 15:45 编辑
楼上所有人聊的这么多,不先问问异地组网的业务需求,带宽需求什么的么?上来就一堆SSL,MPLS,专线,L2TP,IPSEC啥的。
如果只是简单的ERP,办公文件互访或者网页浏览,而且敏感性不高且设备数量不多,在中心节点布置服务器,Internet线路进最外层的防火墙,然后所有服务器不能访问Internet,每个用户通过SSL **拨号进来访问服务器。这是在费用和安全性之间一个比较平衡的考虑,架构最简单。
如果需求比较复杂,需要团队间的文件共享,我其实建议不要考虑通过网络打通,而是通过软件的方式来实现,anyshare文档云我们一直在内网使用,使用感受还是不错的,这样可以沿用上面的网络架构,只是增加一台anyshare文档服务器而已。
如果还有更进一步的需求,比如说安全性,实时性和大流量的考虑,还是老老实实上专线吧,现在跨省专线的费用其实还可以,10M MSTP线路的价格大约在3000-4000左右。既然需求这么高,就应该有相应的费用和人力去支持这样的需求,不能又要既要还要的。
-----------------------
大约在10年前帮德邦物流规划过网点到总部的联网规划,采用的是核心两台Fortinet防火墙,高带宽外网线路,一条电信一条联通,均为固定IP,电信服务南方站点,联通服务北方站点,两者相互备份。网点采购最低端的Fortinet防火墙,采用类似DM**的动态多点**方案。当时德邦要求各个网点之间不能互访,而且只有网点访问总部的需求,所以在网点的防火墙上还会再执行一次NAT操作,这样可以避免总部还需要为网点规划IP地址。算是一个比较偷懒又好用的方案。
页:
1
[2]