公司总部与办事处，如何实现专线互连？

这种情况建议开通SD-WAN专线，实现专线组网，多分支统一可视化管理，此方案需要在互联的总部和分支各安装一台SD-WAN CE设备，两端建立加密隧道与SD-WAN骨干线路接通，帮助分支机构与企业的总部网络建立好高效、安全的链路，并保证数据安全快速的传输。在全公司建立一张统一的SD-WAN骨干网络来承载公司所有内部业务，不同的业务系统通过划分来实现互访与隔离。在分公司和总公司都部署相应的PE设备，分公司的PE设备用来连接分公司的各业务系统网络，总公司的PE设备用来连接各业务系统的服务器，CE设备则是由原来总公司及分公司各业务系统的汇聚路由器来担任改造后的网络。在总公司部署两套P设备和PE设备，在每个分公司分别部署两套PE设备，整个骨干网络实现了双平面主、备份。

方案1：IPSEC 方式

简单来说，IPSEC是一种协议，或者说是一个框架。基于该安全协议实现远程接入，即为IPSEC 。

优势：IPSEC 的应用历时悠久，技术和相应的设备也都很成熟同时，其利用对称、非对称密钥和摘要算法，再配合身份认证、加密、完整性校验等手段，能够在较大程度上保障安全性。

劣势：由于IPSEC 需要在互联网环境中创建加密虚拟隧道，因此其网络质量和稳定性不可控同时也由于其穿越了互联网，因此存在被旁路监听的风险。

方案2：SDH专线

SDH即Synchronous Digital Hierarchy(同步数字体系)专线，也叫数字专线，目前各大运营商针对企业组网所提供的主要业务产品。

SDH基本等同于利用光纤直连两个分支机构(当然在实际应用中，中间链路多为运营商提供，且存在复用的情况)。示意图如下：

优势：网络质量稳定、部署简单、技术成熟、维护成本低、安全性高

劣势：如中心点出现问题，将影响分支间的互访而如果希望增加冗余度，可选择在分支机构之间也部署专线，但势必会增加成本。

方案3：MPLS

技术原理：MPLS 采纳了ATM(Asynchronous Transfer Mode，异步传输模式)的VPI(Virtual Path Identifier，虚路径标识符)/VCI(Virtual Channel Identifier，虚通道标识符)交换思想，综合了IP路由技术和二层交换的两种优点。IP网络本是面向无连接的网络，但在MPLS 网络中，路由信息由IGP(Interior Gateway Protocol，内部网关协议)、BGP(Border Gateway Protocol，边界网关协议)等路由协议进行收集并生成路由表，而后为特定的路由表项添加标签，这就增加了面向连接的属性，在某种程度上提供了QoS保证，满足不同类型服务的QoS要求。

架构组成：典型的MPLS 网络中包含以下3种类型的网元

(1)PE：服务提供商边缘路由器，与用户的CE设备直连。PE负责管理用户，建立LSP连接，创建和管理VRF(Virtual Routing Forwarding，路由转发表)。

(2)P：服务提供商网络中的骨干路由器，不与CE直连，只需具备MPLS标签数据包转发能力，根据外层标签进行报文转发，不参与用户的添加删除和VRF表项的创建维护工作。

(3)CE：用户网络边缘设备，与服务提供商的PE设备直连，负责将本地路由发布到PE设备上，但CE无须支持MPLS，也感知不到的存在。

从图中可以看出来，MPLS-模式下，各分支见并非直连，也没有所谓的中心分支节点，而是全部就近接入到POP节点，从而打通到MPLS骨干网的链路。

优点：

分支节点就近接入，节约本地专线费用，避免因跨地区、跨运营商等网络不稳定因素

地址隔离和路由隔离能够抵抗黑客攻击及标记欺骗

设备接入方面相对便捷，客户只需将CE设备连接到运营商的网络边缘设备即可

---