SD-WAN与MPLS 组网服务的安全性如何？

关于SD-WAN安全性，有很多观点和观点– SD-WAN安全性通常与以下内容有关。

理解SD-WAN的安全性以及Overlay网络提供的安全性增强功能的最佳方法是将其与MPLS （目前已被接受为专用网络标准）直接进行比较。

‍

技术

要了解“安全和私有” MPLS / 服务的状况以及它们与SD-WAN的比较，我们首先需要了解两种技术的工作原理和实施方式。

MPLS / 服务的工作方式

MPLS / （L2或L3）服务基于MPLS（多协议标签交换）技术，其中PE（提供商边缘）出口路由器为每个数据包分配多个标签，然后在核心之间“交换”它们（ P-Provider路由器），直到它们到达最终目的地为止，即Ingress PE路由器。

PE连接每个客户边缘（CE）路由器，并为每个客户提供一个单独的“专用”路由表，称为VRF（虚拟路由和转发）。

CE和PE之间正在运行路由协议（例如BGP，OSPF等），以将路由更新传递到VRF中。

路由信息的正确“重新分配”是基于路由标记（RT和RD）的。

企业专用网络互联网 DIA 互联网宽带移动服务SD-WAN的工作方式

SD-WAN可跨任何WAN传输服务（包括宽带互联网服务）将用户（即分支机构/站点）安全地连接到任何应用程序（无论托管在数据中心还是云中），并将应用程序感知和应用程序控制带给网络。

SD-WAN网络基于IPSec技术构建“覆盖”网络。覆盖网络基于许多P2P IPSec隧道，这些隧道仅将MPLS / ，互联网和其他连接选项用作传输方式。从一个站点到另一个站点的通信经过完全加密，其中底层传输和传输服务提供商完全不知道传输的IP地址，路由和应用程序数据。

SD-WAN高级架构

加密每条隧道上的密钥交换/旋转定期间隔10-20分钟，可确保非常强的安全性。诸如分组加密报头和分组认证之类的进一步增强选项可以提供增强的安全措施，这意味着可以保证分组的完整性。

使用当前的MPLS专用网络实现所有这些几乎是不可能的。

安全性比较（MPLS / 与SD-WAN）

MPLS 是共享网络，而不是私有网络

MPLS标签在逻辑上对每个客户的流量进行了分段（或标记），但是这些标签仅用于转发决策。来自成千上万不同客户和用户的流量（包括来自其他运营商和互联网的流量）经过一组通用的骨干路由器。实际上，提供商边缘（PE）路由器是一个“共享平台”，可以连接包括互联网客户在内的不同客户。

注意：某些过时的服务提供商网络甚至可以将Full 互联网表作为路由器全局表的一部分运行。

服务提供商的骨干网在私有和互联网客户的流量之间“共享”，而没有任何分离或划分流量的机制。唯一的选择是从传输角度标记流量。

客户边缘（CE）路由器被分配给各个客户，但是提供商边缘（PE）和提供商骨干（P）路由器是共享的。换句话说，只有办公室中的路由器是“专用”的，您的流量所到达的下一个路由器（及其后的所有路由器）都由多个用户共享。

当SD-WAN叠加层使用MPLS / 作为传输时，流量将完全加密，因此使用“共享”的Provide骨干网不会带来任何重大的安全隐患。