SD-WAN与 服务的安全性如何？

       有关SD-WAN安全性有很多观点和言论，SD-WAN安全性一般 与以下内容有关。

　　了解SD-WAN的安全性及其Overlay络的安全性增强功能的佳方法是将其与SD-WAN 应用加速 (目前已被接受为专用络规范)直接进行比较。

　　要了解“安全和私有”/服务的情况及其它们与SD-WAN的比较，我们首先需要了解二种技术的工作原理和实施方式。

　　/服务的工作方式

　　/(L2或L3)服务基于(多协议标签交换)技术，在其中PE(商边缘)出口路由器为每个数据包分配多个标签，然后在核心之间“交换”它们，直到它们到达终目的地为止，即IngressPE路由器。

　　PE连接每个客户边缘(CE)路由器，并为每个客户一个独立的“专用”路由表，称为VRF(虚拟路由和转发)。

　　CE和PE之间已经运行路由协议(比如BGP，OSPF等)，以将路由更新传递到VRF中。

　　路由信息的恰当“重新分配”是基于路由标记(RT和RD)的。

　　公司专用络宽带移动服务SD-WAN的工作方式

　　SD-WAN可跨任何WAN传输服务(包含宽带Internet服务)将用户(即分支机构/站点)安全地连接到任何应用程序(不管托管在数据中心还是云中)，并将应用程序认知和运用程序控制带给络。

　　SD-WAN络基于IPSec技术搭建“覆盖”络。覆盖络基于许多P2PIPSec隧道，这些隧道仅将/，Internet和别的连接选项作为传输方式。从一个站点到另一个站点的通信经过完全加密，在其中底层传输和传输服务商完全不知道传输的IP地址，路由和应用程序数据。

　　SD-WAN高级架构

　　加密每条隧道上的密匙交换/旋转定期间隔10-20分钟，可保证非常强的安全性。例如分组加密报头和分组认证这类的进一步增强选项可以增强的安全措施，这意味着可以保证分组的完整性。

　　使用当今的专用络完成所有这些几乎是不可能的。

　　安全性比较(/与SD-WAN)

　　是共享络，而不是私有络标签在逻辑上对每个客户的流量进行了按段(或标记)，可是这些标签仅用以转发决策。来自成千上万不同客户和用户的流量(包含来自别的运营商和Internet的流量)经过一组通用性的骨干路由器。事实上，商边缘(PE)路由器是一个“共享平台”，可以连接包含Internet客户以内的不同客户。

　　注意：一些过时的服务商络乃至可以将表做为路由器全局表的一部分运行。

　　服务商的骨干在私有和Internet客户的流量之间“共享”，而沒有任何分离或划分流量的机制。唯一的选择是以传输视角标记流量。

　　客户边缘(CE)路由器被分配给每个客户，可是商边缘(PE)和商骨干(P)路由器是共享的。也就是说，仅有办公室中的路由器是“专用”的，您的流量所到达的下一个路由器(以及后的所有路由器)都由多个用户共享。

　　当SD-WAN累加层使用/做为传输时，流量将完全加密，因而使用“共享”的Provide骨干不容易产生任何重大的安全隐患。