领湾网络许琴：订阅式服务未来会是网络付费模式的必然趋势

“业内普遍的一个看法，企业网下一代网络架构是由云、网、端三个部分来构成。未来，所有的云、网、端将通过统一平台管理，集网络和安全与一个云平台，为企业安全组网的同时，实现数字化最终向智能化IT转变。”

6月10日，在浙江省企业信息化促进会、安徽省首席信息官协会、山东CIO联盟、河南CIO联盟、江苏省企业信息化协会、广东省CIO联盟、福建信息主管 (CIO) 网 、大连市CIO协会及崔牛会联合主办的“2023未来CIO数字峰会”上，浙江领湾网络科技有限公司COO 许琴带来“多云互联时代，企业级网络通信与安全变革”的主题演讲。

许琴在演讲中分享了企业广域网的技术演进，表示企业整体的网络行为可以归纳为上网和组网。网络的本质是连接，而企业网的本质是建立一张自己的网络来维护企业数据的安全。WAN连接的安全问题需要通过各种不同的方法来解决。没有最优的技术，只有最合适的方案。

她指出，多分支、多终端、多应用、混合云是现代企业IT的特点。企业网是一张线上线下统一的网，且越来越以云为中心，而企业也越来越愿意以支付服务费用的形式来维护IT基础设施。因此，未来网络的虚拟化和订阅式服务会是网络交付模式变革的必然趋势。

浙江领湾网络科技有限公司 COO  许琴

以下是许琴演讲全文：

从目前来看，混合云是比较普遍的IT资源的部署模式。

新兴的互联网企业的生产系统一般会直接采用云原生，但是考虑到可用性和数据备份，会进行多云部署；但业务扩大到一定状态时，从成本和数据安全性的考量会把一部分弹性不大的数据或者核心安全数据的部署到数据中心来。

大中型非互联网企业则是上云来减轻数据中心的采购成本，形成数据中心和公有云的混合模式。而在海外有业务的企业通过国外的当地公有云可用区进行部署，与国内公共云做数据互联，也是非常常见。

但是，还有一些问题，需要考虑通过企业广域网组网来解决。比如以下这几种情况：

1.业务战略与技术协同

你的组织的技术战略是什么？如何将技术与业务目标对齐？如何应对新兴技术趋势和变革？

2.基础设施和架构的变化

在多云互联时代，CIO需要考虑如何建立可靠、高效、灵活的技术基础设施和系统架构，以支持组织的业务需求和未来发展？ 特别是云、数据中心、企业总部和分支之间信息交互。

3.信息安全和风险管理

公有云提供了一定程度的安全保护，但CIO们需要系统地考虑如何保护组织的信息资产，管理信息安全风险，并确保合规性，以应对日益复杂和严峻的网络威胁？

4.预算和资源管理

如何优化IT预算，实现成本效益和资源分配？确保资源的合理分配和最大化投资回报？

由此可见，多分支、多终端、多应用、混合云是现代企业IT的特点。

企业网是一张线上线下统一的网，且越来越以云为中心。企业越来越愿意以支付服务费用的形式来维护IT基础设施。既然我们的云资源是按需付费按月付费的，网络为什么不可以？ 我们为什么还要采购大量有可能在2年后就出现性能瓶颈的网络设备安全设备，按照最大的带宽去申请跨省跨境专线？花费巨大的运维精力来进行网络配置管理和保障稳定性？因此，未来网络的虚拟化和订阅式服务会是网络交付模式变革的必然趋势。

我们先来回顾一下企业广域网的技术演进。

最传统常用的是MPLS组网，它的优势是在运营商的物理专线上将数据封装贴上标签，提升转发效率。本身不提供加密，但它是一个虚拟专用网络，跑在专线上，不易被Dos攻击，是一种安全高效的传输方式。所以MPLS相对于物理电路、裸光纤来说是一个非常大的进步。

企业在采购MPLS的时候，需要和运营商打交道。无论是申请、开通还是计费，都缺乏弹性。 售后服务响应方面，各位应该也是有感受的。更重要的是企业一旦过渡到云，需要把流量在分支机构就进行分流到云，MPLS模式就变得低效，带宽也很难弹性扩容。

VPN组网是较为草根的组网模式。 IPSEC VPN是基于网络层进行隧道加密的技术。基于网络层VPN通过身份认证和数据加密、验证来保证安全性；VPN技术在网络安全领域的地位是有目共睹的。对于公司来讲，使用VPN组网，不存在显而易见的采购成本。大部分一次性购买的网络设备都已经使用了7、8年，也不太敢向公司提出采购申请。

IT部门内的技术牛人通过自己的高超技术非常热衷于搭建不同协议的VPN，但是对于要KP I考核的运维交付团队来说却是另一种滋味，技术管理的工作量巨大且复杂，可以说是苦不堪言。对 CIO 来说，存在的隐性成本非常高，比如对于部门内少数技术骨干的依赖；运维团队的庞大管理成本；出了网络故障或安全事故只能自己背锅的惶恐等。

企业广域网的进一步演进是SD-WAN组网。它包含了VPN技术的应用，并对底层的MPLS进行了智能选路。在技术选型上会使用不同种的VPN或者自行研发的隧道加密技术。这里面并没有高低之分，更重要的价值在于控制器与硬件设备进行了解藕，使得网络功能可以进行集中式配置策略和可视化运维，并使企业网络性能不再受到终端设备的限制。控制器可以不断强壮和增加功能，包括Qos、DNS等。

企业在选择SDWAN服务时，需要考核厂家对于控制器部署的安全性。是否分布式、双活、异地灾备、防Ddos攻击、防拖库、防安全渗透等等。另一个比较重要的能力就是智能选路，当某一个网络节点出现单点故障时，SDWAN可就近接入其他POP点实现网络的高可靠。

SDWAN接入服务商自建的MPLS的underlay网络，将根据网络质量智能选择路径，流量检测的颗粒度，多元化的流量模型，人工智能算法优化都是SDWAN的核心技术。另外，SDWAN在跨境访问上提供了性价比非常高的方案以替代跨境专线。

SDWAN给企业带来的第一大价值是降本增效。

在降本方面，主要体现在几个方面，1.在满足业务需求的同时，可以替代传统的专线；2.不需要太多的IT运维人员，减少人力成本；3.分支机构、分公司等节点不需要专业的IT出差到当地进行部署，极大的降低上线周期；4. 省去采购一大批硬件设备的预算，降低一次性投入。

在增效方面，主要体现在：1.提供一个可视化运维平台，所有的变更运维操作均可以在平台上进行；2.增强网络的拓展性，提供云网融合架构的能力；3.很多小分支小节点，可以利用SDWAN终端的4G、5G备线能力，做到高可用；4.端到端的加密能力，达到安全互联的目的。

第一代SDWAN相对于VPN来说，优势已经相当明显，但是仍然是承载在公共网络之上的，所有的链路优化也是基于公共网络。这是大部分硬件性能已经非常丰富的硬件厂商所推出的硬件改良版 SDWAN。

第二代SDWAN，基于一个基本事实就是：专用骨干网的服务质量在绝大部分场景下优于公共网络。利用已有的专用骨干网，集中精力解决最后一公里的接入、优化和管理。

第三代SDWAN，继承了SDWAN 1.0和SDWAN 2.0的优势部分，同时解决了两者不足的部分，为企业提供灵活、最佳的按需组网方式。不仅关注流量管理和路由，支持多云和混合云环境，还将网络安全性和云原生架构作为关键要素。

Sase是SDWAN的进阶，将网络安全功能与广域网连接服务相结合，以实现更安全、更高效的网络访问。

首先在安全功能方面：传统的防火墙功能例如安全网关，云访问安全代理，威胁情报，数据丢失防护等安全功能可以在云端进行部署，以提供全球性的安全服务，并在用户接入点处进行弹性和智能的安全检测与防护。

其次是与SDWAN相结合，提供可靠的广域网连接和智能路由功能。通过与全球范围的网络服务商合作，保障客户在任何地点都能获得低延迟、高可靠的网络连接。

接下来是架构，需要考虑到未来的可伸缩性、弹性以及灵活性，要将网络安全功能以软件定义的方式部署在云上，所以采用云原生的架构。

最后是统一的策略管理，SASE架构提供了统一的策略管理功能，使管理员能够集中配置和管理网络安全策略。通过集成的安全策略引擎，可以根据用户、应用程序、数据等多个维度来定义和执行策略，从而实现更精细化的访问控制和安全管理。

企业整体的网络行为可以归纳为上网和组网。网络的本质是连接；而企业网的本质是建立一张自己的网络来维护企业数据的安全。wan连接的安全问题需要通过各种不同的方法来解决。 没有最优的技术，只有最合适的方案。

中小型企业开始放弃MPLS而使用全宽带广域网。VPN、SD-WAN和云托管SASE等技术将逐渐替代传统路由器。但这并不意味着原来传统的网络会被弃用，昂贵的MPLS因为它的超高可靠仍然会继续在大型数据中心和大型办公区域进行远程实时应用连接。

业内普遍的一个看法，企业网下一代网络架构是由云、网、端三个部分来构成。

在终端侧，主要指的就是底层的接入，接入大概分为两种类型，硬件和软件。例如硬件，将会根据不同的行业定制不同规格的设备，譬如零售，将会根据门店的特点，提供带4G能力和WiFi能力的设备，一台设备当多台使用，减少门店的网络硬件投入。再譬如制造业，对高可用有较高的要求，就会部署高性能高可用的双设备，增强冗余型，再到软件层面，根据不同的场景，移动办公可以通过客户端登录，云上服务可以通过虚拟机安装等等。总之，不论什么样的行业或者环境，总有一种最适合的接入方式，来满足企业的需求。

在网络侧，分成物理资源和逻辑资源。物理资源层面，通过整合不同运营商的底层专线网络，结合全球各地的数据中心和云节点，组建一张高性价比、高可用的全球专线网络，同时跟全球主流的公有云平台完成对接；逻辑层上面，采用SDN的技术，将这个物理的线路资源，通过软件的方式，进行租户隔离，流量的调度，形成一个按需、灵活、高可靠的专线网络。

在云端：在网络打通的基础之上，结合多种多样的接入侧，实现互联互通的同时，通过多种软件技术，实现更灵活的组网和安全，更好的保护企业网络状况。

云端应用主要分为两个类型：一是网络方面的应用，如SDWAN、SAAS加速、移动办公、应用识别、流量控制等；二是安全方面的应用，结合多种的安全技术，如零信任、防攻击、安全审计、云访问安全代理、云防火墙等保障企业的应用的安全。

所有的云、网、端通过统一平台管理，集网络和安全与一个云平台，为企业安全组网的同时，实现数字化最终向智能化IT转变。随着互联网技术越来越成熟，IT架构也在不断的更新迭代，在未来，我们认为主要是四个特征：

首先是云原生架构，基于成熟的云计算技术，高效的帮助我们构建更灵活、更伸缩、更易管理的应用程序；

第二是SDN+NFV技术，通过将网络功能虚拟化和集中化控制，提供更高级别的网络自动化管理；

第三是 AI OPS，就是人工智能的自动化运维技术，通过机器学习和数据分析，以智能化的方式去管理IT系统和应用，减少人为干预，提高运维效率；

最后，是不断更新迭代的SASE，随着公司业务的变化，以及人员身份的变化，选择性的配置不同的安全策略，使颗粒度更加精细。

分享一个经典的集团公司网络数字化升级案例：

这是我们的一个客户，它是一家国企，在全国以及全球有非常多的分支机构，针对他的需求及现有问题我们的方案是：

首先，我们与客户信息IT部门进行了多次线上与线下沟通，了解到了客户目前真实存在的网络通信痛点。客户总部在北京，国内外都有很多的分公司和办事处，海外办公人员和出差人员经常因为网络问题，无法登陆总部内网系统，影响办公的时效性，网络优化迫在眉睫。

同时客户也提出了很多新的要求，包括需要提供统一的管理平台、集中下发统一的安全策略、针对于长期出差的员工，需要基于身份进行认证访问内网系统，除此之外，公司的外贸部门还需要定期与海外客户开视频会议，以及使用国际版O365等等，未来还需要与主流的公有云进行互联互通，达到云上云下混合组网的网络架构。

针对上述客户的痛点以及提出的要求，我们基于SDWAN结合零信任的方式，为客户提供了一整套网络解决方案。

首先解决的是分公司/办事处与总部高质量访问的问题，在各地部署SDWAN设备，利用SDWAN的高可靠全球专线骨干网络，解决了丢包率高和延时高的问题。

是国内员工访问海外SAAS软件以及公有云链接的问题，因为SDWAN骨干pop节点与海外主流的SAAS与公有云应用已完成对接互联，所以基于已部署的SDWAN设备，即可完成加速访问。

针对于出差员工或远程办公的同事，安装基于身份认证的零信任客户端，具备上网行为管控能力，同时可以达到敏感数据防泄漏的目的，这样就可以保证不论在公司内外，在安全管控方面，都可以达到基本相同的安全水位线。

通过SDWAN加零信任的混合部署之后，客户的企业网络在拓展性、安全性和稳定性方面都有了质的提升，主要体现在以下几方面：一是架构清晰，可实现云网融合的混合云架构，不存在复杂的技术变更，新增节点按需接入SDWAN即可；二是通过基于身份认证的客户端部署后，实现了网络安全可控到每一位员工；三是，所有节点的配置部署都可提前完成，即插即用，全局可视化运维；四是，组网稳定性得到了极大改善；五是，安全云化，减少了安全设备的投入，但安全性并未减少，颗粒度更细；六是核心节点设备都采用双机双设备双线路保障高可用，实现了真正的高可用。