如何从 MPLS 迁移

文章摘要：

• 通过记录当前网络拓扑和带宽来建立性能基准。然后，选择支持混合环境的提供商，以确保 MPLS 迁移顺利过渡。
• 实施 SD-WAN 或 SASE 以取代固定的、受地点约束的电路。这种现代化提高了可扩展性，降低了运营成本，并为分布式、云优先型员工队伍提供了更快的应用性能。
• 利用宽带上的 Anycast GRE 或 IPsec 隧道，实现分支办公室的转型。逐步将流量转移到云交付的网络服务和 Zero Trust 安全，以逐步停用传统的私有电路。

如何从 MPLS 迁移

多协议标签交换 (MPLS)提供稳定且可预测的服务水平，让企业顺利连接各自的分支机构。然而，它的静态特性使其不适合现代化办公方式、不适合云计算，也特别不适合在工作流中集成人工智能（AI）。

为了提高网络的灵活性、可扩展性和安全性，企业通常会通过从 MPLS 切换到其他联网模型来实现网络现代化转型，这些模型包括 SD-WAN 或 SASE（后者原生集成 Zero Trust 安全 原则）。对许多企业来说，向 SD-WAN 转型是 2010 年代的一个常见步骤，但今天企业发现 SD-WAN 本身具有局限性，并希望通过直接迁移到 SASE 来实现进一步的现代化。

网络现代化可能是一个需要几周或几个月的密集过程，但企业可以在未来多年内从中受益，包括：

• 连接更简便
• 加速应用和网络性能
• 可扩展安全
• 提高敏捷性
• 降低运营成本

如何从 MPLS 迁移到 SD-WAN

1. 评估和记录当前的网络设置

记录带宽需求、业务关键型应用和网络拓扑。记录网络性能基线至关重要，因为这可以在 SD-WAN 迁移首次测试时提供一个比较点。

2. 选择 SD-WAN 提供商

不同的提供商提供的功能和支持程度不尽相同；确保所选择的厂商能够支持业务关键型应用以及其他必备项目。

许多企业拥有无法迁移出 MPLS 的关键系统或基础设施。对 SD-WAN 进行部分迁移仍然有助于优化其网络的大部分。在这种情况下，企业应确保所选供应商支持混合网络环境。

3. 制定迁移计划

定义已迁移网络的未来状态，确定为达到该状态需要采取哪些步骤，然后决定网络组件的迁移优先级。设置迁移计划

4. 执行迁移

根据步骤 3 的计划，开始将部分网络切换到 SD-WAN 提供商；许多企业会先从单个分支网络开始，然后进行性能测试，再迁移其他部分网络。在完全切换到新网络之前，将旧系统作为备份加以维护。

5. 监控迁移后的性能

在彻底关闭旧系统之前，请确保新配置的性能优于步骤 1 中记录的基线。

为何 SASE 从 SD-WAN 演变而来

尽管 SD-WAN 通常被认为是企业在实现网络现代化进程中的下一阶段，但 SD-WAN 本身仍存在许多性能和安全性差距，可能会继续阻碍企业的发展。尤其是，SD-WAN 旨在连接建筑物，而不是人。因此，唯依赖于 SD-WAN 意味着连接能力通常具有地域依赖性。这对于许多现代企业的工作方式来说并不理想。SASE 模型用统一的策略和体验取代了依赖于位置的规则，无论用户身处办公室还是移动办公，其体验都保持一致。

安全访问服务边缘 (SASE) 是网络现代化的下一个合乎逻辑的步骤。除了灵活的软件定义型网络模型，SASE 还内置了安全性。它是一种基于云的架构，将网络连接和全面的零信任安全融合到单个统一的平台中。

如何从 MPLS 迁移到 SASE

1. 现代化用户对应用的访问

通过 Zero Trust 网络访问 (ZTNA) 控制，从使用 VPN 提供的广泛访问切换到只将用户连接到其获得授权使用的特定应用的策略。为了灵活起见，SASE 依赖于多种连接方式，而并非专用线路；因此，无论存储位置或连接方式如何，该解决方案都需要保护内网数据、应用、网络和用户。首先完成以下操作：

• 对关键应用启用 多因素身份验证 (MFA)
• 对关键应用实施 Zero Trust 访问策略
• 对电子邮件流量应用高级网络钓鱼过滤器
• 为应用交付关闭所有对互联网开放的入站端口
• 使用全局 DNS 过滤来阻止高风险请求

2. 用宽带互联网取代专用线路作为分支机构的连接

其目标是从专用线路转向云交付的网络服务，使用 ZTNA 来保护网络流量和应用，而非依靠 VPN 和分支网络中的本地端点解决方案。步骤包括：

1. 选择两个以 MPLS 连接的地点作为开始，并确保它们具备互联网连接。
2. 测量这些地方的网络性能，以便建立基线。
3. 选择基于云的 WAN 或网络即服务 (NaaS) 提供商。
4. 通过互联网电路建立一对冗余 Anycast GRE 或 IPsec 隧道，连接到云 WAN 提供商的网络。(Anycast 通过将流量路由到最近的健康数据中心而非固定节点，专门解决可靠性问题。）
5. 测试这些隧道的性能（吞吐量、延迟、丢包率、抖动）。
6. 更改路由策略，将生产流量从 MPLS 迁移到互联网隧道。
7. 在下一个以 MPLS 连接的地点重复该步骤。
8. 根据需要退役 MPLS 线路。

3. 保护云环境

此时，多云环境应采用类似过程连接：

1. 选择一个云环境作为起点，并衡量应用性能以建立基线。
2. 建立到基于云的 WAN 或 NaaS 提供商的连接。
3. 通过该连接测试性能。
4. 更改路由策略，将云生产流量通过 WAN/网络即服务提供商迁移。
5. 对所有云部署重复执行。
6. 然后，使用 多云网络 之类的服务可以发现、管理和保护云中的所有数据和工作负载。

4. 淘汰硬件设备和专用线路

并非所有企业都能够甚至希望彻底关闭所有本地基础设施和基于硬件的网络与安全。但是，迁移到 SASE 确实为企业提供了这样做的机会，以在低延迟的情况下实现更高的灵活性和可扩展性。

如何通过 Cloudflare 现代化 MPLS 网络

Cloudflare 全球连通云为全球任何地点提供安全、快速、可靠的服务，并轻松适配新的业务需求。方法如下：

• Cloudflare 通过允许客户边缘路由器 (客户终端设备) 与 Cloudflare 网络直接对等互连的方式，处理 BGP 流量。这不再需要静态路由，并允许动态故障转移。
• 客户通过现有连接（例如 GRE 隧道、IPsec 隧道或 Cloudflare Network Interconnect (CNI)）建立 BGP 会话。
• 客户路由器将其内部前缀（例如分支机构子网）公告给 Cloudflare。
• 然后，Cloudflare 会更新其分布在全球 335+ 地点的所有数据中心的虚拟网络路由表。

使用 Cloudflare 的网络和安全服务，增强业务连续性、改善用户体验并降低运营成本。了解如何开始通过 Cloudflare 实现网络现代化。

 

常见问题解答

为什么传统多协议标签交换（MPLS）网络对现代企业的效用有所下降？

虽然 MPLS 为分支机构提供了可靠的连接，但其僵化设计难以满足云计算和人工智能（AI）融入日常运营的需求。现代化办公环境对灵活性的要求，此类静态网络远远无法达到。

升级到更现代的网络架构有什么主要优势？

无论是基础设施迁移、内部部署环境现代化，还是应用云服务，企业都能体验到出色的应用性能、更简单的连通性和更高的敏捷性。此外，这些更新可以降低整体运营成本，同时确保安全性与业务发展同步扩展。

安全访问服务边缘 (SASE) 与软件定义广域网络 (SD-WAN) 模型有和区别？

SD-WAN 主要是为了连接实体建筑物而打造的，这可能会将用户限制在特定位置。相比之下，SASE 是一个云原生框架，它将网络与 Zero Trust 安全结合在一起。这确保员工无论是在分公司、居家办公还是出差，都能获得一致且安全的体验。

企业在开始向 SD-WAN 迁移时应采取哪些初步步骤？

首先，收集当前的网络拓扑、带宽需求和最重要的应用，建立性能基线。然后，企业必须选择一个与其具体技术需求相匹配的供应商，尤其是如果他们需要混合设置来维护某些旧有系统。

将分支机构过渡到基于 SASE 的模型，推荐的流程是什么？

企业应首先在少数几个位置建立互联网连接，并测量其性能基线。选择基于云的供应商后，用户即可创建安全的 Anycast GRE 或 IPsec 隧道来路由流量。一旦这些隧道经过测试且业务流量成功迁移到新的基于互联网的路径，旧的专用电路即可退役。