详解SD-WAN与传统VPN的区别、是否需要公网IP、设备选购指南,以及开源/虚拟化部署方案
前言
“SD-WAN是什么?和传统VPN有什么区别?”
“部署SD-WAN需要公网IP吗?”
“企业需要买什么设备?能不能用虚拟化?”
“有没有免费的开源方案?”
这些问题是很多企业在网络改造时经常遇到的。今天我们就来全面解答这些问题。
一、传统VPN vs SD-WAN:核心区别
1.1 一句话总结
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
|
┌─────────────────────────────────────────────────────────────────┐
│ 传统VPN vs SD-WAN 一句话总结 │
├─────────────────────────────────────────────────────────────────┤
│ │
│ 传统VPN = 隧道 + 路由 │
│ │ 把两个网络连起来,通过隧道传输数据 │
│ │
│ SD-WAN = 智能选路 + 隧道 + 集中管理 │
│ 自动选择最优线路,多隧道并行,保障体验 │
│ │
│ 简单说: │
│ ├── VPN:告诉你"必须走这条路" │
│ └── SD-WAN:智能告诉你"这条路堵了,换一条" │
│ │
└─────────────────────────────────────────────────────────────────┘
|
1.2 架构对比
传统VPN架构
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
|
┌─────────────────────────────────────────────────────────────────┐
│ 传统VPN架构 │
├─────────────────────────────────────────────────────────────────┤
│ │
│ ┌─────────┐ ┌─────────┐ │
│ │ 总部 │◄────────────────────►│ 分支1 │ │
│ │ VPN │ 专线/MPLS │ VPN │ │
│ │ Server │ │ Client │ │
│ └─────────┘ └─────────┘ │
│ │
│ 问题: │
│ ├── 单一隧道,带宽受限 │
│ ├── 主链路故障需要手动切换 │
│ ├── 配置复杂,难以统一管理 │
│ └── 无法感知应用体验 │
│ │
└─────────────────────────────────────────────────────────────────┘
|
SD-WAN架构
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
|
┌─────────────────────────────────────────────────────────────────┐
│ SD-WAN架构 │
├─────────────────────────────────────────────────────────────────┤
│ │
│ ┌─────────────────────────────────────────────────────────┐ │
│ │ 控制器 (Controller) │ │
│ │ 集中管理与策略下发 │ │
│ └─────────────────────────────────────────────────────────┘ │
│ │ │ │ │
│ ▼ ▼ ▼ │
│ ┌─────────┐ ┌─────────┐ ┌─────────┐ │
│ │ 总部 │ │ 分支1 │ │ 分支2 │ │
│ │ SD-WAN │ │ SD-WAN │ │ SD-WAN │ │
│ │ Edge │ │ Edge │ │ Edge │ │
│ └────┬────┘ └────┬────┘ └────┬────┘ │
│ │ │ │ │
│ │ │ │ │
│ ┌────┴────┐ ┌────┴────┐ ┌────┴────┐ │
│ │ 专线 │ │ 宽带1 │ │ 4G/5G │ │
│ │ MPLS │ │ 宽带2 │ │ 专线 │ │
│ └─────────┘ └─────────┘ └─────────┘ │
│ │
│ 特点: │
│ ├── 多链路并行,自动选优 │
│ ├── 故障自动切换 │
│ ├── 集中配置,批量下发 │
│ ├── 应用级智能选路 │
│ └── 实时监控,可视化 │
│ │
└─────────────────────────────────────────────────────────────────┘
|
1.3 功能对比表
| 功能特性 |
传统VPN |
SD-WAN |
说明 |
| 基础连接 |
✅ |
✅ |
建立隧道连接 |
| 多链路支持 |
❌ |
✅ |
VPN通常只有单一隧道 |
| 智能选路 |
❌ |
✅ |
SD-WAN按策略/应用选路 |
| 链路备份 |
需手动 |
自动 |
SD-WAN秒级切换 |
| 带宽叠加 |
❌ |
✅ |
多链路带宽聚合 |
| 集中管理 |
❌ |
✅ |
控制器统一配置 |
| 应用识别 |
❌ |
✅ |
识别应用,差异化保障 |
| 可视化 |
基础 |
丰富 |
实时监控,链路质量 |
| 零接触部署 |
❌ |
✅ |
分支设备即插即用 |
| 策略路由 |
基础 |
丰富 |
基于应用/用户/时间 |
| 安全集成 |
VPN加密 |
防火墙+加密+IPS |
SD-WAN更全面 |
1.4 选路机制对比
传统VPN选路
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
|
┌─────────────────────────────────────────────────────────────────┐
│ 传统VPN选路机制 │
├─────────────────────────────────────────────────────────────────┤
│ │
│ 只支持单一隧道 │
│ │
│ ┌─────────┐ │
│ │ 路由表 │ │
│ ├─────────┤ │
│ │ 0.0.0.0 │ ──→ 主隧道 ──→ 专线 │
│ │ via 10.1│ │
│ └─────────┘ │
│ │
│ 如果主隧道故障: │
│ ├── 需要人工干预 │
│ ├── 配置备份隧道 │
│ └── 切换时间长,业务中断 │
│ │
└─────────────────────────────────────────────────────────────────┘
|
SD-WAN智能选路
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
|
┌─────────────────────────────────────────────────────────────────┐
│ SD-WAN智能选路机制 │
├─────────────────────────────────────────────────────────────────┤
│ │
│ 支持多链路并行 + 智能选路 │
│ │
│ ┌─────────────────────────────────────────────────────────┐ │
│ │ 智能选路引擎 │ │
│ ├─────────────────────────────────────────────────────────┤ │
│ │ │ │
│ │ 业务A (邮件) ──→ 选链路1 (低优先级) │ │
│ │ 业务B (视频) ──→ 选链路2 (低延迟) │ │
│ │ 业务C (ERP) ──→ 选链路3 (高质量) │ │
│ │ 业务D (备份) ──→ 选链路4 (大带宽) │ │
│ │ │ │
│ └─────────────────────────────────────────────────────────┘ │
│ │
│ 选路策略: │
│ ├── 基于应用类型 │
│ ├── 基于链路质量(延迟、丢包、抖动) │
│ ├── 基于用户/用户组 │
│ ├── 基于时间段 │
│ └── 基于成本优化 │
│ │
│ 故障切换: │
│ ├── 检测到故障 → 自动切换到备用链路 │
│ ├── 切换时间:秒级 │
│ └── 业务无感知 │
│ │
└─────────────────────────────────────────────────────────────────┘
|
1.5 成本对比
| 对比项 |
传统VPN/MPLS专线 |
SD-WAN |
| 设备成本 |
较高 |
中等 |
| 线路成本 |
昂贵(MPLS/专线) |
低(宽带+4G/5G) |
| 运维成本 |
高(专业人力) |
低(自动化) |
| 扩展成本 |
高(每条线路单独申请) |
低(加设备即可) |
| 总成本 |
5-10万/年/节点 |
1-3万/年/节点 |
二、是否需要公网IP?
2.1 传统VPN对公网IP的依赖
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
|
┌─────────────────────────────────────────────────────────────────┐
│ 传统VPN公网IP需求 │
├─────────────────────────────────────────────────────────────────┤
│ │
│ 站点到站点VPN(Site-to-Site): │
│ ├── 必须:总部必须有公网IP │
│ ├── 必须:每个分支必须有公网IP │
│ └── 每增加一个分支,需要新申请IP │
│ │
│ ┌─────────┐ 公网IP ┌─────────┐ │
│ │ 总部 │◄──────────────►│ 分支1 │ │
│ │ 58.1.1.1│ │ 58.1.1.2│ │
│ └─────────┘ └─────────┘ │
│ │
│ 问题: │
│ ├── 公网IP资源紧张,费用高 │
│ ├── 分支多时IP管理复杂 │
│ └── 静态IP配置麻烦 │
│ │
└─────────────────────────────────────────────────────────────────┘
|
2.2 SD-WAN的IP需求
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
|
┌─────────────────────────────────────────────────────────────────┐
│ SD-WAN公网IP需求 │
├─────────────────────────────────────────────────────────────────┤
│ │
│ 方案1:完全不需要公网IP │
│ ┌─────────────────────────────────────────────────────────┐ │
│ │ │ │
│ │ SD-WAN Edge ←─── 内网 ───→ SD-WAN Edge │ │
│ │ │ │ │ │
│ │ │ │ │ │
│ │ 只要能上网即可(NAT后面也行) │ │
│ │ │ │
│ └─────────────────────────────────────────────────────────┘ │
│ │
│ 方案2:只需要一端有公网IP │
│ ┌─────────────────────────────────────────────────────────┐ │
│ │ │ │
│ │ ┌─────────┐ 公网IP ┌─────────┐ │ │
│ │ │ 总部 │◄──────────────►│ 分支 │ │ │
│ │ │ 58.1.1.1│ │ (NAT后) │ │ │
│ │ └─────────┘ └─────────┘ │ │
│ │ │ │
│ │ 总部有公网IP即可,分支可以没有 │ │
│ │ │ │
│ └─────────────────────────────────────────────────────────┘ │
│ │
│ 方案3:控制器模式(推荐) │
│ ┌─────────────────────────────────────────────────────────┐ │
│ │ │ │
│ │ 控制器 ←─── 公网 ───→ SD-WAN Edge (分支) │ │
│ │ (云端) │ │ │
│ │ │ │ │
│ │ ▼ │ │
│ │ SD-WAN Edge (分支) │ │
│ │ │ │
│ │ 分支设备通过控制器发现并建立隧道 │ │
│ │ 完全不需要分支有公网IP │ │
│ │ │ │
│ └─────────────────────────────────────────────────────────┘ │
│ │
└─────────────────────────────────────────────────────────────────┘
|
2.3 对比总结
| 方案 |
公网IP需求 |
适用场景 |
| 传统VPN |
每端都需要 |
简单场景 |
| SD-WAN云控制器 |
只有控制器需要 |
分布式企业 |
| SD-WAN Hub-Spoke |
总部需要 |
分支较多的企业 |
| SD-WAN Full-Mesh |
可不需要 |
中小型企业 |
| SD-WAN-overlay |
不需要 |
互联网环境 |
2.4 特殊情况
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
|
┌─────────────────────────────────────────────────────────────────┐
│ 特殊情况说明 │
├─────────────────────────────────────────────────────────────────┤
│ │
│ 需要公网IP的场景: │
│ ├── 总部作为VPN集中器(Hub) │
│ ├── 访问公网服务(如云服务) │
│ ├── 与其他VPN网络对接 │
│ └── 安全合规要求 │
│ │
│ 不需要公网IP的场景: │
│ ├── 纯SD-WAN组网(通过控制器发现) │
│ ├── 分支通过4G/5G接入 │
│ ├── 使用SD-WAN云服务 │
│ └── 全内网Overlay隧道 │
│ │
│ 推荐做法: │
│ ├── 总部/数据中心:申请固定公网IP(1-2个) │
│ ├── 分支机构:使用动态IP或4G/5G │
│ └── 云端控制器:使用云服务(如AWS/Azure) │
│ │
└─────────────────────────────────────────────────────────────────┘
|
三、设备选购指南
3.1 主流厂商设备
思科(Cisco)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
|
┌─────────────────────────────────────────────────────────────────┐
│ 思科SD-WAN设备 │
├─────────────────────────────────────────────────────────────────┤
│ │
│ vEdge系列: │
│ ├── vEdge 100-B (分支 ≤ 50用户) │
│ ├── vEdge 1000 (分支 50-500用户) │
│ ├── vEdge 2000 (分支 500-2000用户) │
│ └── vEdge Cloud (虚拟/云端) │
│ │
│ Cat8000V (ISR集成SD-WAN): │
│ ├── ISR 800 (小型分支) │
│ ├── ISR 1100 (小型分支) │
│ └── ISR 4000 (中型分支/总部) │
│ │
│ 特点: │
│ ├── 完整SD-WAN解决方案 │
│ ├── vBond/vManage/vSmart/vEdge全组件 │
│ ├── 全球最成熟的市场占有率 │
│ └── 价格较高 │
│ │
│ 价格参考: │
│ ├── 小型:1-3万 │
│ ├── 中型:3-8万 │
│ └── 大型:10万+ │
│ │
└─────────────────────────────────────────────────────────────────┘
|
华为(Huawei)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
|
┌─────────────────────────────────────────────────────────────────┐
│ 华为SD-WAN设备 │
├─────────────────────────────────────────────────────────────────┤
│ │
│ AR系列(AR接入路由器): │
│ ├── AR 1220C (小型分支 ≤ 100用户) │
│ ├── AR 3220 (中型分支 100-500用户) │
│ └── AR 5260 (大型分支/总部) │
│ │
│ 华为SD-WAN组件: │
│ ├── Agile Controller (控制器) │
│ ├── iMaster NCE (管理平台) │
│ └── AR/NE系列路由器 (Edge) │
│ │
│ 特点: │
│ ├── 国内市场占有率最高 │
│ ├── 运营商/政府项目常选 │
│ ├── 配置简单,本地化服务好 │
│ └── 支持与其他厂商对接 │
│ │
│ 价格参考: │
│ ├── 小型:0.5-2万 │
│ ├── 中型:2-5万 │
│ └── 大型:5-15万 │
│ │
└─────────────────────────────────────────────────────────────────┘
|
新华三(H3C)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
|
┌─────────────────────────────────────────────────────────────────┐
│ H3C SD-WAN设备 │
├─────────────────────────────────────────────────────────────────┤
│ │
│ WX系列: │
│ ├── WX 3010 (小型分支 ≤ 100用户) │
│ ├── WX 3024 (中型分支) │
│ └── WX 5510 (大型分支/总部) │
│ │
│ H3C AD-Campus(园区网解决方案): │
│ ├── 控制器集群 │
│ └── 接入交换机 │
│ │
│ 特点: │
│ ├── 国内政务/教育市场占有率高 │
│ ├── 性价比高 │
│ └── 配置灵活 │
│ │
└─────────────────────────────────────────────────────────────────┘
|
VMware SD-WAN(Velocloud)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
|
┌─────────────────────────────────────────────────────────────────┐
│ VMware SD-WAN (Velocloud) │
├─────────────────────────────────────────────────────────────────┤
│ │
│ 型号: │
│ ├── SD-WAN Edge 340 (小型分支) │
│ ├── SD-WAN Edge 540 (中型分支) │
│ └── SD-WAN Edge 640 (大型分支/总部) │
│ │
│ 特点: │
│ ├── 云原生架构 │
│ ├── 全球云节点覆盖 │
│ ├── SASE集成 │
│ └── 易于部署 │
│ │
│ 价格参考: │
│ ├── 按带宽/用户订阅 │
│ └── 10-50元/用户/月 │
│ │
└─────────────────────────────────────────────────────────────────┘
|
3.2 设备选型对照表
| 分支规模 |
推荐设备 |
带宽能力 |
价格范围 |
| 微型 (≤20用户) |
华为AR 1220C / H3C WX 3010 |
100Mbps |
0.3-1万 |
| 小型 (20-100用户) |
思科vEdge 100 / 华为AR 2220 |
300Mbps |
1-3万 |
| 中型 (100-500用户) |
思科vEdge 1000 / 华为AR 3260 |
1Gbps |
3-8万 |
| 大型 (500-2000用户) |
思科vEdge 2000 / 华为NE路由器 |
5Gbps |
8-15万 |
| 总部/数据中心 |
思科ISR 4000 / 华为NE路由器 |
10Gbps+ |
15万+ |
3.3 选购建议
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
|
┌─────────────────────────────────────────────────────────────────┐
│ 设备选购建议 │
├─────────────────────────────────────────────────────────────────┤
│ │
│ 根据企业类型选择: │
│ │
│ ┌─────────────────────────────────────────────────────────┐ │
│ │ 外企/跨国公司 │ │
│ │ 推荐:思科 / VMware Velocloud │ │
│ │ 理由:全球支持好,标准协议 │ │
│ └─────────────────────────────────────────────────────────┘ │
│ │
│ ┌─────────────────────────────────────────────────────────┐ │
│ │ 国内企业(运营商/政府) │ │
│ │ 推荐:华为 / H3C │ │
│ │ 理由:国产化要求,本地服务好 │ │
│ └─────────────────────────────────────────────────────────┘ │
│ │
│ ┌─────────────────────────────────────────────────────────┐ │
│ │ 中小企业(预算有限) │ │
│ │ 推荐:开源方案 / 虚拟化部署 │ │
│ │ 理由:成本低,功能足够 │ │
│ └─────────────────────────────────────────────────────────┘ │
│ │
│ 关键参数检查清单: │
│ ├── ✓ 最大隧道数 │
│ ├── ✓ 加密吞吐量 │
│ ├── ✓ 并发会话数 │
│ ├── ✓ 支持的链路类型(宽带/4G/专线) │
│ ├── ✓ SD-WAN功能(选路/备份/应用识别) │
│ ├── ✓ 管理方式(本地/云) │
│ └── ✓ 扩展性和兼容性 │
│ │
└─────────────────────────────────────────────────────────────────┘
|
四、不用设备:虚拟化部署方案
4.1 为什么选择虚拟化?
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
|
┌─────────────────────────────────────────────────────────────────┐
│ 虚拟化部署的优势 │
├─────────────────────────────────────────────────────────────────┤
│ │
│ ✅ 成本优势: │
│ ├── 无需购买专用硬件 │
│ ├── 复用现有服务器资源 │
│ └── 按需扩展 │
│ │
│ ✅ 灵活性: │
│ ├── 部署快速(分钟级) │
│ ├── 迁移方便 │
│ └── 环境一致 │
│ │
│ ✅ 适用场景: │
│ ├── 云端数据中心 │
│ ├── 分支已有服务器 │
│ ├── 测试/PoC环境 │
│ └── MSP服务提供商 │
│ │
│ ⚠️ 注意事项: │
│ ├── 需要稳定的物理链路 │
│ ├── 性能受宿主服务器影响 │
│ └── 不适合极小分支(专用设备更省心) │
│ │
└─────────────────────────────────────────────────────────────────┘
|
4.2 主流虚拟化平台
VMware ESXi
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
|
┌─────────────────────────────────────────────────────────────────┐
│ VMware SD-WAN虚拟化 │
├─────────────────────────────────────────────────────────────────┤
│ │
│ vCenter + ESXi 虚拟化: │
│ ├── Cisco vEdge Cloud (OVA格式) │
│ ├── VMware SD-WAN (Velocloud) Cloud Edition │
│ └── 支持vSphere HA/DRS │
│ │
│ 部署步骤: │
│ ├── 1. 部署vCenter管理服务器 │
│ ├── 2. 准备ESXi主机 │
│ ├── 3. 导入SD-WAN OVA/OVF模板 │
│ ├── 4. 配置vCPU/内存/存储 │
│ └── 5. 通过控制器激活 │
│ │
│ 配置推荐: │
│ ├── vCPU: 4-8核 │
│ ├── 内存: 8-16GB │
│ └── 磁盘: 100GB+ │
│ │
└─────────────────────────────────────────────────────────────────┘
|
KVM/QEMU
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
|
┌─────────────────────────────────────────────────────────────────┐
│ KVM虚拟化SD-WAN │
├─────────────────────────────────────────────────────────────────┤
│ │
│ 开源虚拟化方案: │
│ ├── Proxmox VE (推荐) │
│ ├── oVirt │
│ └── libvirt + KVM │
│ │
│ 支持的SD-WAN虚拟设备: │
│ ├── Open vWAN (开源) │
│ ├── Vyos (开源路由) │
│ └── 商业方案虚拟版 │
│ │
│ Proxmox VE部署示例: │
│ ```bash │
│ # 下载SD-WAN OVA/镜像 │
│ qemu-img convert -O qcow2 sdwan.img sdwan.qcow2 │
│ │
│ # 创建KVM虚拟机 │
│ qm create 100 --name sdwan-branch1 \ │
│ --memory 4096 --cores 4 \ │
│ --net0 virtio,bridge=vmbr0 \ │
│ --net1 virtio,bridge=vmbr1 \ │
│ --disk sdwan.qcow2 │
│ ``` │
│ │
└─────────────────────────────────────────────────────────────────┘
|
容器化部署
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
|
┌─────────────────────────────────────────────────────────────────┐
│ 容器化SD-WAN方案 │
├─────────────────────────────────────────────────────────────────┤
│ │
│ 适用场景: │
│ ├── Kubernetes集群 │
│ ├── Docker Swarm │
│ └── 边缘计算节点 │
│ │
│ ┌─────────────────────────────────────────────────────────┐ │
│ │ Kubernetes集群 │ │
│ │ │ │
│ │ ┌─────────────┐ │ │
│ │ │ Pod: SD-WAN │ ← 企业内网 │ │
│ │ └─────────────┘ │ │
│ │ │ │ │
│ │ ▼ │ │
│ │ ┌─────────────┐ │ │
│ │ │ Pod: 业务 │ ← 应用服务 │ │
│ │ └─────────────┘ │ │
│ │ │ │
│ └─────────────────────────────────────────────────────────┘ │
│ │
│ 优势: │
│ ├── 弹性伸缩 │
│ ├── 声明式配置 │
│ └── 与微服务集成 │
│ │
└─────────────────────────────────────────────────────────────────┘
|
4.3 各大厂商虚拟化支持
| 厂商 |
虚拟化格式 |
支持平台 |
说明 |
| 思科 |
OVA/OVF |
ESXi, KVM |
vEdge Cloud Edition |
| 华为 |
VHD/KVM |
FusionCompute, KVM |
FusionAccess |
| VMware |
原生 |
ESXi |
Velocloud Cloud |
| Versa |
OVA/KVM |
ESXi, KVM |
支持多平台 |
| Silver Peak |
OVA |
ESXi, Hyper-V |
Vueance Cloud |
五、开源SD-WAN方案
5.1 开源方案总览
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
|
┌─────────────────────────────────────────────────────────────────┐
│ 开源SD-WAN方案总览 │
├─────────────────────────────────────────────────────────────────┤
│ │
│ ┌─────────────────────────────────────────────────────────┐ │
│ │ OpenWrt/LEDE │ │
│ │ 轻量级,适合小型分支,OpenVPN/IPSec集成 │ │
│ └─────────────────────────────────────────────────────────┘ │
│ │
│ ┌─────────────────────────────────────────────────────────┐ │
│ │ Vyos │ │
│ │ 专用路由发行版,支持IPSec/OpenVPN/WireGuard │ │
│ └─────────────────────────────────────────────────────────┘ │
│ │
│ ┌─────────────────────────────────────────────────────────┐ │
│ │ Open vSwitch + OVS │ │
│ │ SDN交换机组,配合FRR实现SD-WAN功能 │ │
│ └─────────────────────────────────────────────────────────┘ │
│ │
│ ┌─────────────────────────────────────────────────────────┐ │
│ │ WireGuard │ │
│ │ 现代轻量VPN协议,可配合脚本实现选路 │ │
│ └─────────────────────────────────────────────────────────┘ │
│ │
│ ┌─────────────────────────────────────────────────────────┐ │
│ │ OpenNDS/Coova │ │
│ │ 认证和网关功能,配合SD-WAN使用 │ │
│ └─────────────────────────────────────────────────────────┘ │
│ │
│ ┌─────────────────────────────────────────────────────────┐ │
│ │ OpenSDWAN项目 │ │
│ │ 真正的开源SD-WAN实现 │ │
│ └─────────────────────────────────────────────────────────┘ │
│ │
└─────────────────────────────────────────────────────────────────┘
|
5.2 Vyos - 最完整的开源路由平台
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
|
┌─────────────────────────────────────────────────────────────────┐
│ Vyos开源路由平台 │
├─────────────────────────────────────────────────────────────────┤
│ │
│ 特点: │
│ ├── 基于Vyatta开源项目 │
│ ├── 完整路由功能(OSPF, BGP, RIP) │
│ ├── VPN支持(IPSec, OpenVPN, WireGuard) │
│ ├── 防火墙/NAT/QoS │
│ └── Web界面 + CLI │
│ │
│ SD-WAN功能模拟: │
│ ├── 多WAN口负载均衡 │
│ ├── 链路健康检查 │
│ ├── 基于策略的路由 │
│ └── 故障切换 │
│ │
│ 部署方式: │
│ ├── 物理服务器 │
│ ├── VMware ESXi / KVM / Hyper-V │
│ ├── 云端(AWS/Azure/GCP) │
│ └── 树莓派(仅适合极小分支) │
│ │
│ 安装: │
│ ```bash │
│ # 下载ISO镜像 │
│ wget https://downloads.vyos.io/rolling/current/vyos.iso │
│ │
│ # 虚拟机安装(推荐配置) │
│ vCPU: 2核 │
│ 内存: 2GB │
│ 磁盘: 8GB │
│ 网卡: 根据需求(至少2个) │
│ ``` │
│ │
│ 配置示例 - 多链路负载均衡: │
│ ```bash │
│ set load-balance group interface eth0 │
│ set load-balance group interface eth1 │
│ set system static-mapping syncer interface-group interface │
│ ``` │
│ │
└─────────────────────────────────────────────────────────────────┘
|
5.3 WireGuard + 脚本 - 轻量级方案
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
|
┌─────────────────────────────────────────────────────────────────┐
│ WireGuard + 脚本实现SD-WAN │
├─────────────────────────────────────────────────────────────────┤
│ │
│ WireGuard优势: │
│ ├── 现代、高效、安全(仅4000行代码) │
│ ├── 隧道建立快速 │
│ ├── 移动端友好(支持漫游) │
│ └── 内核级性能 │
│ │
│ 架构图: │
│ ┌─────────────────────────────────────────────────────────┐ │
│ │ │ │
│ │ 分支A ──→ 控制器(健康检查+策略) ──→ 分支B │ │
│ │ │ │ │ │ │
│ │ │ ▼ │ │ │
│ │ │ ┌────────────────┐ │ │ │
│ │ │ │ 选路策略 │ │ │ │
│ │ │ │ - 链路检测 │ │ │ │
│ │ │ │ - 带宽分配 │ │ │ │
│ │ │ │ - 故障切换 │ │ │ │
│ │ │ └────────────────┘ │ │ │
│ │ │ │ │ │ │
│ │ │ ▼ │ │ │
│ │ └────── WireGuard隧道1 ─────────────┘ │ │
│ │ WireGuard隧道2 (备份) │ │
│ │ │ │
│ └─────────────────────────────────────────────────────────┘ │
│ │
│ 核心脚本示例(健康检查+选路): │
│ ```bash │
│ #!/bin/bash │
│ │
│ # 检测链路状态 │
│ check_link() { │
│ ping -c 1 -W 1 $1 > /dev/null 2>&1 │
│ return $? │
│ } │
│ │
│ # 选路逻辑 │
│ if check_link "8.8.8.8"; then │
│ echo "主链路正常" │
│ ip route add default via $GW1 dev eth0 │
│ else │
│ echo "切换到备用链路" │
│ ip route replace default via $GW2 dev eth1 │
│ fi │
│ ``` │
│ │
└─────────────────────────────────────────────────────────────────┘
|
5.4 OpenWrt - 小型分支首选
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
|
┌─────────────────────────────────────────────────────────────────┐
│ OpenWrt实现SD-WAN功能 │
├─────────────────────────────────────────────────────────────────┤
│ │
│ 适用场景: │
│ ├── 家庭办公室 │
│ ├── 小型分支(≤50用户) │
│ ├── 物联网关 │
│ └── 零售门店 │
│ │
│ 支持的硬件: │
│ ├── 树莓派 (Raspberry Pi) │
│ ├── x86通用服务器 │
│ ├── 商用路由器(TP-Link, Netgear等) │
│ └── 虚拟化平台 │
│ │
│ LuCI Web界面功能: │
│ ├── 网络接口配置 │
│ ├── 防火墙规则 │
│ ├── QoS带宽管理 │
│ ├── VPN隧道(OpenVPN, WireGuard) │
│ └── 负载均衡 │
│ │
│ 安装OpenWrt: │
│ ```bash │
│ # 树莓派安装示例 │
│ wget https://downloads.openwrt.org/releases/23.05.0/... │
│ unzip openwrt-*.img.gz │
│ sudo dd if=openwrt.img of=/dev/sdX bs=4M │
│ ``` │
│ │
│ 负载均衡配置(mwan3): │
│ ```bash │
│ # 安装mwan3 │
│ opkg update && opkg install mwan3 luci-app-mwan3 │
│ │
│ # 配置多WAN │
│ uci set mwan3.wan1=member │
│ uci set mwan3.wan1.interface=wan │
│ uci set mwan3.wan1.weight=3 │
│ uci set mwan3.wan1.timeout=10 │
│ ``` │
│ │
└─────────────────────────────────────────────────────────────────┘
|
5.5 Open vSwitch + FRR - 软SD-WAN方案
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
|
┌─────────────────────────────────────────────────────────────────┐
│ OVS + FRR 软SD-WAN方案 │
├─────────────────────────────────────────────────────────────────┤
│ │
│ 组件: │
│ ├── Open vSwitch (OVS) - 软件交换机 │
│ ├── FRRouting (FRR) - 开源路由栈 │
│ ├── GoBGP - BGP路由控制器 │
│ └── 自定义SD-WAN控制器 │
│ │
│ 架构: │
│ ┌─────────────────────────────────────────────────────────┐ │
│ │ │ │
│ │ ┌─────────────────────────────────────────────────┐ │ │
│ │ │ SD-WAN控制器 │ │ │
│ │ │ (自研/开源方案) │ │ │
│ │ └─────────────────────────────────────────────────┘ │ │
│ │ │ │ │
│ │ ▼ │ │
│ │ ┌─────────────────────────────────────────────────┐ │ │
│ │ │ Open vSwitch (OVS) │ │ │
│ │ │ │ │ │
│ │ │ ┌─────────┐ ┌─────────┐ ┌─────────┐ │ │ │
│ │ │ │ Tunnel1 │ │ Tunnel2 │ │ Tunnel3 │ │ │ │
│ │ │ │ (宽带1) │ │ (宽带2) │ │ (4G) │ │ │ │
│ │ │ └─────────┘ └─────────┘ └─────────┘ │ │ │
│ │ └─────────────────────────────────────────────────┘ │ │
│ │ │ │ │
│ │ ▼ │ │
│ │ ┌─────────────────────────────────────────────────┐ │ │
│ │ │ FRRouting (FRR) │ │ │
│ │ │ OSPF/BGP/Zebra 路由协议栈 │ │ │
│ │ └─────────────────────────────────────────────────┘ │ │
│ │ │ │
│ └─────────────────────────────────────────────────────────┘ │
│ │ │ │
│ │ 物理/虚拟服务器 │ │
│ └─────────────────────────────────────────────────────────┘ │
│ │
│ 部署示例(CentOS/Debian): │
│ ```bash │
│ # 安装OVS │
│ yum install openvswitch -y │
│ │
│ # 安装FRR │
│ yum install frr -y │
│ │
│ # 启动OVS │
│ systemctl start openvswitch │
│ ovs-vsctl add-br br-sdwan │
│ │
│ # 配置隧道 │
│ ovs-vsctl add-port br-sdwan tun0 │
│ ``` │
│ │
└─────────────────────────────────────────────────────────────────┘
|
5.6 开源方案对比
| 方案 |
复杂度 |
功能完整度 |
性能 |
适用场景 |
推荐指数 |
| Vyos |
中 |
⭐⭐⭐⭐ |
中 |
中小企业 |
⭐⭐⭐⭐⭐ |
| WireGuard+脚本 |
低 |
⭐⭐⭐ |
高 |
极简需求 |
⭐⭐⭐⭐ |
| OpenWrt |
低 |
⭐⭐⭐ |
中 |
小型分支 |
⭐⭐⭐ |
| OVS+FRR |
高 |
⭐⭐⭐⭐⭐ |
高 |
大型企业 |
⭐⭐⭐⭐ |
| Kubernetes |
高 |
⭐⭐⭐⭐ |
高 |
云原生环境 |
⭐⭐⭐ |
六、实战部署方案
6.1 小型企业方案(≤10分支)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
|
┌─────────────────────────────────────────────────────────────────┐
│ 小型企业SD-WAN方案 │
├─────────────────────────────────────────────────────────────────┤
│ │
│ 推荐方案:Vyos / OpenWrt + WireGuard │
│ │
│ 成本估算: │
│ ├── 设备:迷你PC / 树莓派4B × 10 ≈ 5000元 │
│ ├── 线路:利用现有宽带(无需额外费用) │
│ ├── 软件:免费 │
│ └── 总成本:约5000-10000元 │
│ │
│ 架构: │
│ ┌─────────────────────────────────────────────────────────┐ │
│ │ │ │
│ │ 分支1 ─┐ │ │
│ │ 分支2 ─┼──→ 控制器(VPS) ──→ 总部 │ │
│ │ 分支3 ─┘ │ │ │ │
│ │ ... ▼ ▼ │ │
│ │ WireGuard隧道 WireGuard隧道 │ │
│ │ │ │
│ └─────────────────────────────────────────────────────────┘ │
│ │
│ 配置要点: │
│ ├── 控制器:云VPS(月费50-100元) │
│ ├── 每个分支:OpenWrt/Vyos + WireGuard │
│ ├── 负载均衡:mwan3或Vyos LB │
│ └── 备份:4G模块或备用宽带 │
│ │
└─────────────────────────────────────────────────────────────────┘
|
6.2 中型企业方案(10-100分支)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
|
┌─────────────────────────────────────────────────────────────────┐
│ 中型企业SD-WAN方案 │
├─────────────────────────────────────────────────────────────────┤
│ │
│ 推荐方案:开源OVS+FRR / 商业虚拟化方案 │
│ │
│ 成本估算: │
│ ├── 控制器服务器:1-2台 × 10000元 = 10000-20000元 │
│ ├── 分支设备:迷你PC × 30 ≈ 30000元 │
│ ├── 云服务:1000-2000元/月 │
│ └── 总成本:约5-10万(首年) │
│ │
│ 架构: │
│ ┌─────────────────────────────────────────────────────────┐ │
│ │ │ │
│ │ ┌─────────────────────────────────────────────────┐ │ │
│ │ │ SD-WAN控制器集群 │ │ │
│ │ │ (主备 + 负载均衡) │ │ │
│ │ └─────────────────────────────────────────────────┘ │ │
│ │ │ │ │
│ │ ┌──────────────┼──────────────┐ │ │
│ │ ▼ ▼ ▼ │ │
│ │ ┌──────────┐ ┌──────────┐ ┌──────────┐ │ │
│ │ │ 分支1 │ │ 分支2 │ │ 分支N │ │ │
│ │ │ SD-WAN │ │ SD-WAN │ │ SD-WAN │ │ │
│ │ └──────────┘ └──────────┘ └──────────┘ │ │
│ │ │ │
│ │ 分支1 ── 专线 ──┐ │ │
│ │ 分支1 ── 宽带 ──┼──→ 自动选路 │ │
│ │ 分支2 ── 4G ────┘ │ │
│ │ │ │
│ └─────────────────────────────────────────────────────────┘ │
│ │
└─────────────────────────────────────────────────────────────────┘
|
6.3 大型企业方案(100+分支)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
|
┌─────────────────────────────────────────────────────────────────┐
│ 大型企业SD-WAN方案 │
├─────────────────────────────────────────────────────────────────┤
│ │
│ 推荐方案:商业SD-WAN(思科/华为/VMware) │
│ │
│ 架构: │
│ ┌─────────────────────────────────────────────────────────┐ │
│ │ │ │
│ │ ┌─────────────────────────────────────────────────┐ │ │
│ │ │ vBond / 控制器集群 │ │ │
│ │ │ (多可用区部署) │ │ │
│ │ └─────────────────────────────────────────────────┘ │ │
│ │ │ │ │
│ │ ▼ │ │
│ │ ┌─────────────────────────────────────────────────┐ │ │
│ │ │ vSmart (编排) │ │ │
│ │ └─────────────────────────────────────────────────┘ │ │
│ │ │ │ │
│ │ ┌──────────┐ ┌──────────┐ ┌──────────┐ │ │
│ │ │ 总部 │ │ 数据中心 │ │ 云节点 │ │ │
│ │ │ vEdge │ │ vEdge │ │ vEdge │ │ │
│ │ └──────────┘ └──────────┘ └──────────┘ │ │
│ │ │ │ │ │ │
│ │ └──────────────┴──────────────┘ │ │
│ │ │ │ │
│ │ ▼ │ │
│ │ ┌──────────┐ ┌──────────┐ ┌──────────┐ │ │
│ │ │ 分支1 │ │ 分支2 │ │ 分支N │ │ │
│ │ │ vEdge │ │ vEdge │ │ vEdge │ │ │
│ │ └──────────┘ └──────────┘ └──────────┘ │ │
│ │ │ │
│ └─────────────────────────────────────────────────────────┘ │
│ │
│ 关键组件: │
│ ├── vBond: 引导vEdge发现控制器 │
│ ├── vManage: 统一管理平台 │
│ ├── vSmart: 控制平面,策略下发 │
│ └── vEdge: 分支/总部设备 │
│ │
└─────────────────────────────────────────────────────────────────┘
|
七、常见问题
7.1 公网IP相关
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
|
┌─────────────────────────────────────────────────────────────────┐
│ 公网IP常见问题Q&A │
├─────────────────────────────────────────────────────────────────┤
│ │
│ Q: SD-WAN一定要公网IP吗? │
│ A: 不一定。云控制器模式下,分支设备可以在NAT后面。 │
│ │
│ Q: 分支没有公网IP如何被管理? │
│ A: 分支设备主动向控制器注册,控制器在公网,分支主动连接。 │
│ │
│ Q: 使用4G/5G可以不用公网IP吗? │
│ A: 是的,4G/5G模块通常工作在NAT环境,SD-WAN天然支持。 │
│ │
│ Q: IPv6可以不用公网IP吗? │
│ A: 是的,IPv6地址足够的情况下,可以直接端到端。 │
│ │
└─────────────────────────────────────────────────────────────────┘
|
7.2 设备选型相关
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
|
┌─────────────────────────────────────────────────────────────────┐
│ 设备选型常见问题Q&A │
├─────────────────────────────────────────────────────────────────┤
│ │
│ Q: 虚拟机能完全替代物理设备吗? │
│ A: 云端/数据中心可以,分支建议物理设备。 │
│ │
│ Q: 树莓派能用于生产环境吗? │
│ A: 不推荐。适合PoC测试、小型分支(≤20用户)。 │
│ │
│ Q: 需要多少带宽? │
│ A: 粗略估算:每用户2-5Mbps,总带宽×30%利用率。 │
│ │
│ Q: 分支需要专业运维吗? │
│ A: SD-WAN支持零接触部署,不需要分支专业运维。 │
│ │
└─────────────────────────────────────────────────────────────────┘
|
7.3 开源方案相关
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
|
┌─────────────────────────────────────────────────────────────────┐
│ 开源方案常见问题Q&A │
├─────────────────────────────────────────────────────────────────┤
│ │
│ Q: 开源SD-WAN稳定吗? │
│ A: 取决于方案。Vyos较稳定,DIY方案需要测试。 │
│ │
│ Q: 开源方案有技术支持吗? │
│ A: 社区支持为主,付费技术支持需找集成商。 │
│ │
│ Q: 开源vs商业,差距在哪里? │
│ A: 应用识别、自动化运维、SLA保障、云集成。 │
│ │
│ Q: 如何从开源方案迁移到商业方案? │
│ A: 建议分层:分支开源,核心用商业方案。 │
│ │
└─────────────────────────────────────────────────────────────────┘
|
八、总结
8.1 核心对比总结
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
|
┌─────────────────────────────────────────────────────────────────┐
│ 传统VPN vs SD-WAN 核心对比 │
├─────────────────────────────────────────────────────────────────┤
│ │
│ ┌─────────────────────────────────────────────────────────┐ │
│ │ 传统VPN │ │
│ │ │ │
│ │ 优点: │ │
│ │ ├── 成熟稳定 │ │
│ │ ├── 配置简单 │ │
│ │ └── 技术成熟 │ │
│ │ │ │
│ │ 缺点: │ │
│ │ ├── 单一隧道 │ │
│ │ ├── 手动切换 │ │
│ │ ├── 带宽有限 │ │
│ │ └── 难以管理 │ │
│ └─────────────────────────────────────────────────────────┘ │
│ │
│ ┌─────────────────────────────────────────────────────────┐ │
│ │ SD-WAN │ │
│ │ │ │
│ │ 优点: │ │
│ │ ├── 智能选路 │ │
│ │ ├── 多链路备份 │ │
│ │ ├── 集中管理 │ │
│ │ ├── 带宽聚合 │ │
│ │ └── 应用感知 │ │
│ │ │ │
│ │ 缺点: │ │
│ │ ├── 需要学习 │ │
│ │ └── 部分方案成本较高 │ │
│ └─────────────────────────────────────────────────────────┘ │
│ │
└─────────────────────────────────────────────────────────────────┘
|
8.2 公网IP需求总结
| 场景 |
传统VPN |
SD-WAN |
说明 |
| 总部 |
必须公网IP |
建议公网IP |
SD-WAN也可以全内网 |
| 分支 |
必须公网IP |
不需要 |
SD-WAN可NAT穿透 |
| 云端 |
必须公网IP |
必须公网IP |
控制器必须可达 |
8.3 选型建议
| 企业规模 |
推荐方案 |
预算范围 |
| 微型企业(1-5分支) |
OpenWrt + WireGuard |
<1万 |
| 小型企业(5-20分支) |
Vyos + WireGuard |
1-5万 |
| 中型企业(20-100分支) |
开源OVS+FRR / 商业虚拟化 |
5-20万 |
| 大型企业(100+分支) |
商业SD-WAN(思科/华为/VMware) |
20万+ |
8.4 最终建议
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
|
┌─────────────────────────────────────────────────────────────────┐
│ 选型决策树 │
├─────────────────────────────────────────────────────────────────┤
│ │
│ 开始 │
│ │ │
│ ▼ │
│ 分支数量 ≤ 5? ──是──→ OpenWrt/Vyos + WireGuard │
│ │ │
│ 否 │
│ │ │
│ ▼ │
│ 分支数量 ≤ 50? ──是──→ Vyos / 商业虚拟化 │
│ │ │
│ 否 │
│ │ │
│ ▼ │
│ 预算充足? ──是──→ 商业SD-WAN(思科/华为) │
│ │ │
│ 否 │
│ │ │
│ ▼ │
│ OVS+FRR开源方案 + 专业技术支持 │
│ │
└─────────────────────────────────────────────────────────────────┘
|
希望这篇文章能帮你选择合适的SD-WAN方案!如果有问题,欢迎在评论区交流。