网络实测 办公区至泰国100Mbps组网 IPSEC对比SDWAN

今天测试办公区至泰国的组网方案。

很多企业都在使用IPsec和其他地区工厂办公室进行组网。

这次主要对比，传统的IPSec组网和走骨干专线的组网（俗称SD-WAN），有什么性能区别，更适合用哪种方式。

设备使用iKuai和Mikrotik路由器来搭建IPSec隧道。这两个路由器在企业环境非常常见。

所谓SD-WAN方案，其底层就是IPsec+接入骨干网，严格意义上并不等同于真正的SD-WAN，但市场上有人带节奏大家都这么称呼，我也就沿用这个叫法了。

测试资源

为符合企业真实环境，测试更严谨：

广东使用电信骨干网资源AS4134的IP地址；

泰国使用本地原生运营商的IP进行测试，IP地址是119.46.0.0/1，运营商是www.trueinternet.co.th。

由于泰国的 iKuai 不支持 IPSec。

最终部署结构改为：

广东使用iKuai作为IPsec客户端；

泰国使用Mkirotik作为IPsec服务器。

测试数据过程

今天主要测试三种方式：公网直连（不加密），公网 IPSec组网 （加密）

骨干通道（SD-WAN）组网，最后进行测试结果总结对比。

1、公网直连（不加密）

1.1 延时：371ms,这个延时有点让我震惊，实在太高了。

1.2 路径：因为延时太高所以进行了路径跟踪，发现居然泰国原生地址绕路到了美国。

1.3 100M带宽测速：极度不稳定，数值都不知道写什么，测试10次10个结果，只能写区间结果。

电信发往泰国的数据单线程30M，电信接收泰国的数据单线程只有2Mbps.

电信发往泰国发数据5个线程30M-70M之间，电信接收泰国发来的数据5线程是20-60Mbps.非常不稳定，有时候还是0速率。

1.4 1000个包丢包测试：丢包率13%，小企业可以凑合用。

2、公网IPsec（加密）

先把电信和泰国的IPsec,iKuai和Mikrotik调通，这一步是真花了些时间才弄通：

2.1 延时：381ms,比不加密增加了10ms,依然很高。

2.2 100M带宽测速:仍然很不稳定。

电信发往泰国的数据单线程17M，电信接收泰国的数据单线程几乎为0 Mbps.

电信发往泰国的数据5线程30M-83M，忽高忽低的状态，电信接收泰国的数据5线程为0.5 Mbps.

2.3 1000个包丢包测试：丢包率10%。

3、骨干通道（SD-WAN）组网

3.1延时:骨干是54ms，本次跨泰国本地互联网延时是58ms。

3.2 100M带宽测速:稳定在90Mbs左右。

SDWAN发往泰国工厂的数据单线程28M，SDWAN接收泰国的数据单线程80Mbps.

SDWAN发往泰国工厂的数据5线程83M，SDWAN接收泰国的数据5线程94Mbps.

3.3 1000个数据丢包测试：丢包率0%。

测试结果

测试汇总

公网IPSec 的网络性能不稳定,即使是运营商骨干网，尤其是回程方向问题，对 ERP、文件同步、视频会议、远程桌面等业务影响明显;只是轻量远程办公或偶尔传文件，公网能凑合用。

当网络质量影响到你办公，老板又只看结果、不讲原因地说你效率低的时候，那么这个时候就可以考虑专线或者SDWAN了。

企业没有专业技术，不建议使用IPSEC太难调试了。

Vecloud作为国内的云网服务商，Vecloud在全球的数据中心节点50个，POP节点超过200个，可以为出海企业提供MPLS、SD-WAN、海外IDC、全球服务器等产品服务，全面助力企业网络升级转型和国际化发展。