异地办公室组局域网，用什么协议比较好？

星空小琛

找电信客户经理问问SD-WAN？

TWSzzz

其实考虑到线路成本的话SDWAN确实是比较不错的，ADSL跟专线的费用一年能差一二台设备了，自建的话只要一端有固定地址就行，租用人家的SDWAN服务器的话，两端都是动态地址也没问题。
两地三地IPSEC完全够用，见过不少上市公司也差不多就这样，多点的话SDWAN也不错，就是最好找专业的网络公司出方案，不要都自己来，正经的SDWAN维护难度其实不大，上线也快，还能顺便解决移动接入问题。

tkdm

我家的做法跟楼主的问题是差不多的，但是我就是不想把自己网络的控制面暴露在外面，所以我的方案：
主站点，联通电信双线接入，两个固定ipv4，开DSVxN或者DMVxN，其实都依赖NHRP协议，两个厂家名字不一样而已。
在主墙的后面加一个RouterOS的路由做Wireguard，在主墙的两条线路上分别透传UDP端口。
分支站点有动态公网ip的：配置成DSVxN客户端，中间链路实际上是GRE，如果有加密需求可以叠加一层ipsec。分支站点开shortcut，便于站点自动建立直连关系。
分支站点只有私网ip的：wireguard穿过主站点主墙连到RouterOS。
分支站点到主站点的路由通过ebgp打通，主站和主墙通过ibgp打通。

部分分支站点可以两套接入方式都打通，通过bfd检测和切换路由，保证一定程度上的高可用。

实测，上面这一套搞下来，数据不出国的情况下运营商似乎是不管的，速度基本上能跑满。

MoonDigi

wireguard udp会被isp qos，不是同城同isp的话都不用考虑了

uufaelaef01

既然已经有路由器了，全网点对点L2TP隧道打通，然后跑个OSPF，不增加任何成本

klxyy

loveme_52099 发表于 2023-7-1 16:14
那是没钱的公司才用，高可靠性可用延迟 有要求的基本上都是MPLS-V-P-N

有钱的公司用专线

jop

WG,L2TP都可以啊，节点多只是配置多点，不是不能用。

wwj3528

阿里云sd-wan

蓝色星芒

sdwan，运营商可以提供
wireguard ，主端有公网固定IP即可，站点无所谓
ipsec，或者open**

xiaojacky

gringrin 发表于 2023-7-1 16:17
没钱的ipsec，日常维护烦的要死

花点小钱，SDWAN

最费钱的是专线，专线还需要有自己的运维。
如果走MPLS **，那么基本运营商给你弄好，不需要自己维护了。

highchh

我用的3个点的IPSec非常稳，其中的一个点是跨省的，剩下两个点同在一个城市，一个在市区一个在郊区，但是每个点都是同一个营运商的固定IP的专线。我们这里家宽的500端口被间歇性封，家宽无法使用IPSec。

星小宇

楼上所有人聊的这么多，不先问问异地组网的业务需求，带宽需求什么的么？上来就一堆SSL，MPLS，专线，L2TP，IPSEC啥的。

如果只是简单的ERP，办公文件互访或者网页浏览，而且敏感性不高且设备数量不多，在中心节点布置服务器，Internet线路进最外层的防火墙，然后所有服务器不能访问Internet，每个用户通过SSL **拨号进来访问服务器。这是在费用和安全性之间一个比较平衡的考虑，架构最简单。

如果需求比较复杂，需要团队间的文件共享，我其实建议不要考虑通过网络打通，而是通过软件的方式来实现，anyshare文档云我们一直在内网使用，使用感受还是不错的，这样可以沿用上面的网络架构，只是增加一台anyshare文档服务器而已。

如果还有更进一步的需求，比如说安全性，实时性和大流量的考虑，还是老老实实上专线吧，现在跨省专线的费用其实还可以，10M MSTP线路的价格大约在3000-4000左右。既然需求这么高，就应该有相应的费用和人力去支持这样的需求，不能又要既要还要的。

-----------------------
大约在10年前帮德邦物流规划过网点到总部的联网规划，采用的是核心两台Fortinet防火墙，高带宽外网线路，一条电信一条联通，均为固定IP，电信服务南方站点，联通服务北方站点，两者相互备份。网点采购最低端的Fortinet防火墙，采用类似DM**的动态多点**方案。当时德邦要求各个网点之间不能互访，而且只有网点访问总部的需求，所以在网点的防火墙上还会再执行一次NAT操作，这样可以避免总部还需要为网点规划IP地址。算是一个比较偷懒又好用的方案。