分类
商品
![[SLG/中文/PC+安卓] 库拉拉酱逃不掉了 [92MB]](https://pic.songma.com/upload/215908/1750557333-215908/0391944001750557416tp215908-1.jpg)
- 商品
- 店铺
- 资讯
从光纤直连到SD-WAN,全方位解析异地组网技术架构与实施方案
异地组网的核心目标是让位于不同物理位置的网络节点能够像在同一局域网内一样进行通信。从网络分层模型来看,可以分为:
二层组网(Layer 2):
设备在同一广播域支持ARP广播适合工控、虚拟机迁移等场景三层组网(Layer 3):
通过路由实现互通不同网段之间通信大多数企业组网采用此方式
![[ACT/中文/PC+安卓] 扶她山谷/Futaken Valley v0.040 【308M】](https://pic.songma.com/upload/69459/1692094178-69459/0402205001750378602tp69459-1.jpg)
传统方案 现代方案
│ │
├─ 光纤专线 ├─ SD-WAN
├─ MPLS VPN ══> ├─ VPN隧道
└─ 帧中继 └─ Overlay网络
| 指标 | 说明 | 影响 |
|---|---|---|
| 带宽 | 单位时间内传输的数据量 | 大文件传输速度 |
| 延迟 | 数据包往返时间(RTT) | 实时应用体验 |
| 抖动 | 延迟的波动程度 | VoIP、视频质量 |
| 丢包率 | 数据包丢失比例 | 连接稳定性 |
| 可用性 | SLA保障级别 | 业务连续性 |
异地组网方案
│
├── 物理层
│ └── 光纤直连
│
├── 运营商服务层
│ ├── MPLS VPN
│ └── 4G/5G专网
│
├── Overlay层
│ ├── VPN隧道(L2TP/IPSec/GRE)
│ ├── SD-WAN
│ └── EOIP隧道
│
└── 应用层
└── 内网穿透
| 方案 | OSI层级 | 成本 | 延迟 | 带宽 | 配置难度 | 适用场景 |
|---|---|---|---|---|---|---|
| 光纤直连 | L1 | 极高 | <1ms | 10G+ | 低 | 金融、数据中心 |
| MPLS VPN | L2/L3 | 高 | 5-20ms | 100M-1G | 低 | 企业分支 |
| IPSec VPN | L3 | 低 | 20-50ms | 取决于带宽 | 中 | 中小企业 |
| SD-WAN | L3/L4 | 极低 | 20-50ms | 取决于链路 | 低 | 个人/小企业 |
| frp穿透 | L4/L7 | 中 | 30-100ms | 受限于中转 | 中 | 临时访问 |
| EOIP | L2 | 低 | 20-50ms | 取决于链路 | 高 | 工业IoT |
| 4G专网 | L2/L3 | 高 | 30-80ms | 50-200M | 低 | 移动场景 |
光纤直连采用**裸纤(Dark Fiber)**技术,在两地之间铺设物理光缆,通过光信号直接传输。
网络拓扑:
┌─────────┐ ┌─────────┐
│ Router A├───(Optical Fiber)─────────┤ Router B│
└─────────┘ 100-500km └─────────┘
│ │
[LAN A] [LAN B]
传输介质:
单模光纤(SMF):长距离传输,支持10km-100km多模光纤(MMF):短距离传输,支持<2km光模块选型:
距离 模块类型 波长 价格
<2km SFP-SX 850nm 200元
<10km SFP-LX 1310nm 500元
<40km SFP-LR 1550nm 1500元
<80km SFP-ER 1550nm 5000元
<120km SFP-ZR 1550nm 15000元
Router A配置:
interface GigabitEthernet0/0
description Link to Router B via Fiber
ip address 10.0.0.1 255.255.255.252
no shutdown
!
router ospf 1
network 10.0.0.0 0.0.0.3 area 0
network 192.168.1.0 0.0.0.255 area 0
Router B配置:
interface GigabitEthernet0/0
description Link to Router A via Fiber
ip address 10.0.0.2 255.255.255.252
no shutdown
!
router ospf 1
network 10.0.0.0 0.0.0.3 area 0
network 192.168.2.0 0.0.0.255 area 0
带宽测试(iperf3):
# Server端
iperf3 -s
# Client端
iperf3 -c 10.0.0.2 -t 60 -P 4
预期结果:
带宽:9.8 Gbps(10GE光口)延迟:0.8ms(100km距离)抖动:<0.1ms丢包率:0%建设成本:
光纤铺设:5000-10000元/km光模块:1000-20000元/对路由器:50000-200000元/台运营成本:
租用裸纤:5000-200000元/月(取决于距离)维护费用:铺设成本的5-10%/年MPLS(Multi-Protocol Label Switching)通过标签交换实现高效转发,VPN功能通过VRF(Virtual Routing and Forwarding)实现租户隔离。
工作流程:
CE1 ─── PE1 ─── P ─── P ─── PE2 ─── CE2
│ │
└─── MPLS Core ─────┘
CE: Customer Edge (客户边缘)
PE: Provider Edge (运营商边缘)
P: Provider Core (运营商核心)
标签栈结构:
┌────────────────────┐
│ Ethernet Header │
├────────────────────┤
│ Outer Label (VPN)│ ← VPN标签
├────────────────────┤
│ Inner Label (LSP)│ ← 路径标签
├────────────────────┤
│ IP Header │
├────────────────────┤
│ Payload │
└────────────────────┘
PE1配置:
# 创建VRF实例
ip vpn-instance Customer_A
ipv4-family
route-distinguisher 100:1
vpn-target 100:1 export-extcommunity
vpn-target 100:1 import-extcommunity
# 接口绑定VRF
interface GigabitEthernet0/0/1
ip binding vpn-instance Customer_A
ip address 192.168.1.1 255.255.255.0
# MPLS配置
mpls lsr-id 1.1.1.1
mpls
lsp-trigger all
interface GigabitEthernet0/0/0
mpls
mpls ldp
# BGP配置
bgp 100
peer 2.2.2.2 as-number 100
peer 2.2.2.2 connect-interface LoopBack0
ipv4-family vpn-instance Customer_A
peer 192.168.1.254 as-number 65001
import-route direct
1. CE1发送路由到PE1
└─ BGP/OSPF/Static
2. PE1处理
├─ 添加RD(Route Distinguisher)
├─ 添加RT(Route Target)
└─ 通过MP-BGP传递给PE2
3. PE2接收
├─ 匹配RT
├─ 导入到对应VRF
└─ 通告给CE2
4. 数据转发
└─ 通过MPLS标签交换实现
优势:
QoS保障(支持8个CoS级别)流量工程(MPLS-TE)快速重路由(FRR,<50ms切换)延迟分解:
总延迟 = 传输延迟 + 串行延迟 + 处理延迟 + 队列延迟
示例(北京-上海):
传输延迟: 1200km / 200000km/s = 6ms
串行延迟: 1500B / 100Mbps = 0.12ms
处理延迟: 每跳 0.5ms × 4跳 = 2ms
队列延迟: 1-5ms(取决于负载)
总计: 9-13ms
| 协议 | 层级 | 加密 | 性能 | NAT穿透 | 推荐度 |
|---|---|---|---|---|---|
| PPTP | L2 | MPPE | ★★★★★ | ★★★★ | ★(已淘汰) |
| L2TP/IPSec | L2 | IPSec | ★★★ | ★★ | ★★★ |
| OpenVPN | L3 | OpenSSL | ★★★ | ★★★★ | ★★★★ |
| IPSec | L3 | AES | ★★★★ | ★★ | ★★★★ |
| WireGuard | L3 | ChaCha20 | ★★★★★ | ★★★★ | ★★★★★ |
WireGuard是新一代VPN协议,具有以下特点:
代码量极少(4000行 vs OpenVPN的10万行)性能优秀(内核态实现)配置简单(类似SSH密钥对)架构:
Server (公网IP) Client 1 Client 2
10.0.0.1/24 10.0.0.2/24 10.0.0.3/24
│ │ │
└────────── Internet ────┴─────────────────────┘
Server配置(/etc/wireguard/wg0.conf):
[Interface]
Address = 10.0.0.1/24
ListenPort = 51820
PrivateKey = <Server_Private_Key>
# 启用IP转发
PostUp = iptables -A FORWARD -i wg0 -j ACCEPT
PostUp = iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
PostDown = iptables -D FORWARD -i wg0 -j ACCEPT
PostDown = iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE
[Peer]
# Client 1
PublicKey = <Client1_Public_Key>
AllowedIPs = 10.0.0.2/32
[Peer]
# Client 2
PublicKey = <Client2_Public_Key>
AllowedIPs = 10.0.0.3/32
Client配置(/etc/wireguard/wg0.conf):
[Interface]
Address = 10.0.0.2/24
PrivateKey = <Client_Private_Key>
DNS = 8.8.8.8
[Peer]
PublicKey = <Server_Public_Key>
Endpoint = <Server_Public_IP>:51820
AllowedIPs = 0.0.0.0/0 # 全局代理
# AllowedIPs = 10.0.0.0/24 # 仅VPN网段
PersistentKeepalive = 25
启动服务:
# 生成密钥对
wg genkey | tee privatekey | wg pubkey > publickey
# 启动WireGuard
systemctl start wg-quick@wg0
systemctl enable wg-quick@wg0
# 查看状态
wg show
测试环境:
Server: 阿里云ECS(2C4G)Client: 本地电脑带宽: 100Mbps测试结果对比:
协议 吞吐量 CPU占用 延迟增加
WireGuard 95 Mbps 8% +2ms
OpenVPN 65 Mbps 35% +5ms
IPSec 80 Mbps 20% +3ms
问题: UDP打洞失败,VPN无法建立连接
解决方案:
方案1:使用UPnP自动映射
# 安装miniupnpc
apt-get install miniupnpc
# 添加端口映射
upnpc -a $(hostname -I | awk '{print $1}') 51820 51820 UDP
方案2:手动端口转发
# 路由器配置
外网端口: 51820
内网IP: 192.168.1.100
内网端口: 51820
协议: UDP
方案3:使用中继服务器
# 两端都连接到有公网IP的中继
Client1 ─── Relay Server ─── Client2
SD-WAN(Software-Defined WAN)的核心是通过软件控制器实现网络的集中管理和智能选路。
架构层次:
┌─────────────────────────────────────┐
│ Management Plane │ ← 管理平面
│ (Web Console / API) │
├─────────────────────────────────────┤
│ Control Plane │ ← 控制平面
│ (路由计算、策略下发、健康检测) │
├─────────────────────────────────────┤
│ Data Plane │ ← 数据平面
│ (流量转发、加密、QoS) │
└─────────────────────────────────────┘
工作流程:
1. 设备注册
Client → Controller: 发送注册请求(包含设备ID、位置等)
Controller → Client: 下发配置(虚拟IP、路由策略等)
2. 路径探测
Client A ↔ Client B: 尝试P2P直连(STUN/TURN)
│
├─ 成功 → 建立P2P隧道
└─ 失败 → 使用中继服务器
3. 智能选路
├─ 根据延迟、丢包率选择最优路径
├─ 支持多链路负载均衡
└─ 链路故障自动切换
NAT类型判断:
import socket
import stun
def get_nat_type():
nat_type, external_ip, external_port = stun.get_ip_info()
return {
'NAT 1': '完全锥形(Full Cone)',
'NAT 2': '受限锥形(Restricted Cone)',
'NAT 3': '端口受限锥形(Port Restricted Cone)',
'NAT 4': '对称型(Symmetric)'
}.get(nat_type, '未知')
print(f"NAT类型: {get_nat_type()}")
打洞流程:
Client A (NAT1) Server Client B (NAT2)
│ │ │
├─1. Register ───────────→ │ │
│ (内网IP: 192.168.1.10) │ │
│ │ ←─2. Register ───────┤
│ │ (内网IP: 192.168.2.20)
│ │ │
│ ←─3. Peer Info ──────────┤ │
│ (B的公网IP:Port) │ │
│ ├─4. Peer Info ───────→│
│ │ (A的公网IP:Port) │
│ │ │
├─5. Send UDP to B ────────────────────────────────→│
│ (尝试打洞) │ │
│ ←─6. Send UDP to A ───────────────────────────────┤
│ (尝试打洞) │ │
│ │ │
├─7. P2P Connection Established ─────────────────→│
│ │ │
环境准备:
Server: 群晖NAS(Docker部署)Client: Ubuntu 20.04NAS端部署(Docker):
# 1. 下载镜像
docker pull bingbailove/xinkongunion
# 2. 启动容器
docker run -d
--name xingkong
--restart=always
--net=host
--cap-add=NET_ADMIN
--device=/dev/net/tun
-v /etc/xingkong:/etc/xingkong
bingbailove/xinkongunion
# 3. 访问Web界面
http://NAS_IP:7725
Linux客户端:
# 1. 下载客户端
wget https://download.xingkong.us/linux/xk-linux-amd64.tar.gz
tar -zxvf xk-linux-amd64.tar.gz
# 2. 配置
./xk-client --account=your_sub_account --password=your_password
# 3. 查看状态
ip addr show xingkong0
# 预期输出: inet 192.168.188.x/24
测试连通性:
# 测试虚拟IP互通
ping 192.168.188.2
# 测试带宽
iperf3 -s # Server端
iperf3 -c 192.168.188.2 -t 30 # Client端
# 查看路由
ip route | grep xingkong
优化1:提高P2P成功率
# 光猫改桥接(最有效)
# 需要获取超级管理员密码
# 路由器开启UPnP
# Web界面: 高级设置 → NAT设置 → UPnP → 启用
# 设置DMZ主机
# Web界面: 高级设置 → NAT设置 → DMZ → 启用
优化2:MTU调整
# 检测最佳MTU
ping -M do -s 1472 192.168.188.2
# 调整接口MTU
ip link set xingkong0 mtu 1420
# 永久生效(systemd-networkd)
cat > /etc/systemd/network/xingkong0.network <<EOF
[Match]
Name=xingkong0
[Network]
MTU=1420
EOF
优化3:TCP参数调优
# /etc/sysctl.conf
net.core.rmem_max = 134217728
net.core.wmem_max = 134217728
net.ipv4.tcp_rmem = 4096 87380 67108864
net.ipv4.tcp_wmem = 4096 65536 67108864
net.ipv4.tcp_congestion_control = bbr
# 应用配置
sysctl -p
frp(Fast Reverse Proxy)基于C/S架构,通过在有公网IP的服务器上部署frps,客户端运行frpc连接到服务器,实现内网服务的外网访问。
架构图:
Internet User
│
├─ HTTPS Request: https://example.com
│
↓
frps (Cloud Server)
Public IP: x.x.x.x:443
│
├─ 加密隧道
│
↓
frpc (Local Machine)
Private IP: 192.168.1.100
│
↓
Local Service (Port 80)
服务端配置(frps.ini):
[common]
# 监听端口
bind_port = 7000
# Dashboard配置
dashboard_port = 7500
dashboard_user = admin
dashboard_pwd = your_password
# Token认证(必须与客户端一致)
token = your_secret_token
# 虚拟主机配置
vhost_http_port = 80
vhost_https_port = 443
# 日志配置
log_file = /var/log/frps.log
log_level = info
log_max_days = 7
# TCP复用
tcp_mux = true
# 最大连接池
max_pool_count = 5
# 心跳配置
heartbeat_timeout = 90
启动服务端:
# 使用systemd管理
cat > /etc/systemd/system/frps.service <<EOF
[Unit]
Description=Frp Server Service
After=network.target
[Service]
Type=simple
User=nobody
Restart=on-failure
RestartSec=5s
ExecStart=/usr/local/bin/frps -c /etc/frp/frps.ini
[Install]
WantedBy=multi-user.target
EOF
systemctl start frps
systemctl enable frps
客户端配置(frpc.ini):
[common]
server_addr = x.x.x.x
server_port = 7000
token = your_secret_token
# HTTP穿透(Web服务)
[web]
type = http
local_ip = 127.0.0.1
local_port = 80
custom_domains = example.com
# HTTPS穿透
[web-https]
type = https
local_ip = 127.0.0.1
local_port = 443
custom_domains = example.com
# TCP穿透(SSH)
[ssh]
type = tcp
local_ip = 127.0.0.1
local_port = 22
remote_port = 2222
# TCP穿透(RDP)
[rdp]
type = tcp
local_ip = 127.0.0.1
local_port = 3389
remote_port = 3389
# STCP加密穿透(点对点)
[secret_ssh]
type = stcp
sk = secret_key
local_ip = 127.0.0.1
local_port = 22
# UDP穿透(游戏服务器)
[game]
type = udp
local_ip = 127.0.0.1
local_port = 27015
remote_port = 27015
# 自动重连
login_fail_exit = false
功能1:带宽限制
[web]
type = http
local_ip = 127.0.0.1
local_port = 80
custom_domains = example.com
bandwidth_limit = 10MB # 限制带宽10MB/s
功能2:负载均衡
# 服务端frps.ini不变
# 客户端1
[web]
type = http
local_ip = 127.0.0.1
local_port = 80
custom_domains = example.com
group = web_group
group_key = 123456
# 客户端2
[web]
type = http
local_ip = 127.0.0.1
local_port = 80
custom_domains = example.com
group = web_group
group_key = 123456
功能3:健康检查
[web]
type = http
local_ip = 127.0.0.1
local_port = 80
custom_domains = example.com
health_check_type = http
health_check_url = /health
health_check_interval_s = 10
health_check_max_failed = 3
1. 启用TLS加密:
# frps.ini
[common]
tls_enable = true
# frpc.ini
[common]
tls_enable = true
2. 客户端认证:
# frps.ini
[common]
authentication_method = token
token = complex_random_token_here
# 或使用OIDC认证
authentication_method = oidc
oidc_issuer = https://your-oidc-provider.com
oidc_audience = frp
3. 端口保护(iptables):
# 只允许特定IP访问frps
iptables -A INPUT -p tcp --dport 7000 -s trusted_ip -j ACCEPT
iptables -A INPUT -p tcp --dport 7000 -j DROP
# 限制连接频率
iptables -A INPUT -p tcp --dport 7000 -m state --state NEW -m recent --set
iptables -A INPUT -p tcp --dport 7000 -m state --state NEW -m recent --update --seconds 60 --hitcount 10 -j DROP
EOIP(Ethernet over IP)是MikroTik开发的二层隧道协议,将以太网帧封装在IP数据包中传输,实现跨三层网络的二层互联。
报文封装结构:
┌──────────────────────────────┐
│ Outer IP Header │ ← 隧道外层IP(路由用)
├──────────────────────────────┤
│ GRE Header (Protocol 47) │ ← EOIP使用GRE封装
├──────────────────────────────┤
│ Inner Ethernet Frame │ ← 原始以太网帧
│ ┌────────────────────────┐ │
│ │ Dest MAC │ │
│ │ Src MAC │ │
│ │ EtherType │ │
│ │ Payload │ │
│ └────────────────────────┘ │
└──────────────────────────────┘
环境:
Site A: 192.168.1.0/24, Public IP: 1.1.1.1Site B: 192.168.1.0/24, Public IP: 2.2.2.2目标:两地同一网段设备二层互通Site A配置:
# 创建EOIP隧道
/interface eoip
add name=eoip-to-siteB local-address=1.1.1.1 remote-address=2.2.2.2 tunnel-id=1
# 创建网桥
/interface bridge
add name=bridge1
# 添加接口到网桥
/interface bridge port
add bridge=bridge1 interface=ether1
add bridge=bridge1 interface=eoip-to-siteB
# 配置IP地址
/ip address
add address=192.168.1.1/24 interface=bridge1
# 防火墙允许GRE
/ip firewall filter
add chain=input protocol=gre action=accept comment="Allow EOIP"
Site B配置:
# 创建EOIP隧道
/interface eoip
add name=eoip-to-siteA local-address=2.2.2.2 remote-address=1.1.1.1 tunnel-id=1
# 创建网桥
/interface bridge
add name=bridge1
# 添加接口到网桥
/interface bridge port
add bridge=bridge1 interface=ether1
add bridge=bridge1 interface=eoip-to-siteA
# 配置IP地址
/ip address
add address=192.168.1.2/24 interface=bridge1
# 防火墙允许GRE
/ip firewall filter
add chain=input protocol=gre action=accept comment="Allow EOIP"
问题1:隧道无法建立
# 检查接口状态
/interface eoip print detail
# 检查路由可达性
/tool ping 2.2.2.2
# 检查防火墙
/ip firewall filter print
# 抓包分析
/tool sniffer quick ip-protocol=gre
问题2:广播风暴
# 启用STP防止环路
/interface bridge set bridge1 protocol-mode=rstp
# 限制广播
/interface bridge port
set [find interface=eoip-to-siteB] broadcast-flood=no unknown-multicast-flood=no
优化1:MTU调整
# EOIP开销:8字节GRE + 20字节IP = 28字节
# 如果外网MTU是1500,EOIP的MTU应设为1472
/interface eoip set eoip-to-siteB mtu=1472
优化2:QoS保障
# 对EOIP流量进行标记
/ip firewall mangle
add chain=prerouting protocol=gre action=mark-packet new-packet-mark=eoip-traffic
# 设置队列优先级
/queue simple
add name=eoip-queue target=bridge1 max-limit=100M/100M priority=1/1
网络架构:
┌──────────────┐
│ 物联网终端 │
│ (4G Module) │
└──────┬───────┘
│
↓
┌──────────────┐
│ 4G基站 │
│ (eNodeB) │
└──────┬───────┘
│
↓
┌──────────────┐ ┌──────────────┐
│ SGSN │←─────→│ GGSN │
│ (信令处理) │ │ (网关) │
└──────────────┘ └──────┬───────┘
│
↓
┌──────────────┐
│ APN专网 │
│ (企业内网) │
└──────────────┘
APN配置:
普通APN: cmnet / cmwap
专用APN: customer.mnc000.mcc460.gprs
(需运营商开通)
IP地址分配:
- 公网IP(固定/动态)
- 专网IP(10.x.x.x)
- 支持VPN回企业
方案选型:
| 方案 | 成本 | 速度 | 延迟 | 适用场景 |
|---|---|---|---|---|
| 公网APN + IPSec | 低 | 中 | 50ms | 小规模部署 |
| 专用APN | 高 | 高 | 30ms | 大规模物联网 |
| 5G切片 | 极高 | 极高 | 10ms | 关键业务 |
配置示例(华为4G工业路由器):
# 1. APN配置
system-view
interface Cellular 0/0
dialer-rule 1 ip permit
ip address ppp-negotiate
dialer-group 1
ppp chap user apn_username
ppp chap password cipher apn_password
quit
# 2. IPSec VPN配置(回总部)
ike proposal 1
encryption-algorithm aes-256
dh group14
authentication-algorithm sha2-256
quit
ike peer headquarters
exchange-mode main
pre-shared-key cipher your_psk
ike-proposal 1
remote-address x.x.x.x
quit
ipsec proposal ipsec_prop
transform esp
esp authentication-algorithm sha2-256
esp encryption-algorithm aes-256
quit
ipsec policy headquarters 10 isakmp
security acl 3001
ike-peer headquarters
proposal ipsec_prop
quit
# 3. 路由配置
ip route-static 0.0.0.0 0.0.0.0 Cellular 0/0
# 4. NAT配置(如果需要)
acl number 3001
rule 5 permit ip source 192.168.1.0 0.0.0.255 destination 10.0.0.0 0.255.255.255
quit
interface Cellular 0/0
ipsec policy headquarters
quit
优化1:信号增强
# 查看信号质量
AT+CSQ
# 返回: +CSQ: 25,99
# RSSI: 25 → -87dBm (可用但不佳)
# 建议: RSSI > 20 (-90dBm以上)
# 锁定频段(避免频繁切换)
AT+QCFG="band",0x8000080,0x8000080
优化2:流量控制
# 设置流量告警
traffic-alarm threshold 1000 # 单位MB
traffic-alarm action shutdown # 超限动作
# 流量统计
display cellular 0/0 statistics
优化3:连接保活
# TCP Keepalive
tcp timer keep-alive 60
# ICMP心跳到总部
ip route-static 10.0.0.1 255.255.255.255 Cellular 0/0
ipsec policy headquarters
ike keepalive interval 30
传统GEO卫星(同步轨道):
特性:
- 轨道高度: 36000km
- 覆盖范围: 1/3地球
- 延迟: 250-300ms (物理极限)
- 带宽: 1-10Mbps
- 成本: 极高
应用: 海事、航空、军事
新型LEO卫星(低轨):
代表: Starlink, Kuiper, 国内星网
特性:
- 轨道高度: 500-2000km
- 需要卫星数量: 数千颗
- 延迟: 20-40ms
- 带宽: 50-200Mbps
- 成本: 逐步下降
技术优势:
- 激光星间链路
- 相控阵天线
- 频谱复用
系统架构:
用户终端(Dishy)
│
├─ Ka频段上行 (14-14.5 GHz)
↓
LEO卫星星座 (550km轨道)
│
├─ 星间激光链路
↓
地面网关站 (POP)
│
↓
Internet骨干网
性能指标(实测数据):
# 下载速度
Min: 50 Mbps
Max: 200 Mbps
Avg: 120 Mbps
# 上传速度
Min: 10 Mbps
Max: 30 Mbps
Avg: 18 Mbps
# 延迟
Min: 18ms
Max: 80ms
Avg: 35ms
# 丢包率
Avg: 2-5% (卫星切换时)
部署要求:
终端需要无遮挡的天空视野(仰角>25°)功耗: 50-75W工作温度: -30°C ~ 50°C自动指向,无需手动调整中国星网(国家队):
计划发射12,992颗卫星预计2027年初步组网2030年完成部署吉利未来出行星座:
计划发射72颗卫星已发射9颗(截至2024年)定位于车联网场景带宽测试结果:
方案 下载速度 上传速度 延迟 抖动
光纤直连 9.8 Gbps 9.8 Gbps 0.8ms 0.05ms
MPLS VPN 800 Mbps 800 Mbps 12ms 0.5ms
WireGuard 95 Mbps 48 Mbps 25ms 2ms
星空组网(P2P) 95 Mbps 48 Mbps 28ms 3ms
星空组网(转发) 8 Mbps 8 Mbps 55ms 8ms
frp穿透 15 Mbps 10 Mbps 45ms 10ms
4G专网 80 Mbps 30 Mbps 35ms 15ms
Starlink 120 Mbps 18 Mbps 35ms 20ms
方案 初期投入 月运营成本 3年TCO
光纤直连 500万 10万 4100万
MPLS VPN 20万 5万 200万
WireGuard 2000元 200元 9200元
星空组网 0元 0元 0元
frp穿透 0元 150元 5400元
EOIP 3000元 0元 3000元
4G专网 10万 3000元 21.8万
#!/bin/bash
echo "异地组网方案选型向导"
echo "===================="
# 预算判断
read -p "月预算是否>1万元? (y/n): " budget
if [ "$budget" = "y" ]; then
read -p "需要SLA保障? (y/n): " sla
if [ "$sla" = "y" ]; then
echo "推荐: MPLS VPN"
else
echo "推荐: 混合组网(MPLS + SD-WAN)"
fi
exit 0
fi
# 公网IP判断
read -p "有公网IP? (y/n): " public_ip
if [ "$public_ip" = "y" ]; then
read -p "有技术能力? (y/n): " tech
if [ "$tech" = "y" ]; then
echo "推荐: 自建WireGuard VPN"
else
echo "推荐: SD-WAN(星空组网等)"
fi
else
read -p "主要用途? (1:NAS访问 2:游戏联机 3:远程办公): " usage
case $usage in
1) echo "推荐: SD-WAN(星空组网/Tailscale)" ;;
2) echo "推荐: SD-WAN(需P2P成功) + 优化NAT类型" ;;
3) echo "推荐: SD-WAN专业版 或 云桌面" ;;
*) echo "推荐: SD-WAN(通用方案)" ;;
esac
fi
场景1:个人NAS远程访问
需求: 外出访问家里NAS,下载电影、照片
预算: 0-100元/月
方案: 星空组网免费版
理由:
- 20设备够用
- P2P直连速度快
- 配置简单
场景2:10人小团队远程办公
需求: 访问公司内网文件服务器、OA系统
预算: 100-500元/月
方案: 星空组网专业版 或 自建WireGuard
理由:
- 100人设备授权
- 成本可控
- 支持ACL访问控制
场景3:连锁门店组网
需求: 20家门店与总部互联,同步营业数据
预算: 3000-10000元/月
方案: SD-WAN企业版 或 MPLS VPN(核心) + SD-WAN(备份)
理由:
- 稳定性要求高
- 需要统一管理
- 支持故障切换
场景4:工业物联网
需求: 200台PLC设备远程监控,不能断网
预算: 3-5万/月
方案: 4G/5G专网 + EOIP隧道
理由:
- 设备无法布线
- 需要二层互通
- 运营商SLA保障
场景5:金融双活数据中心
需求: 两地数据中心实时同步,延迟<5ms
预算: 10万+/月
方案: 光纤直连 + DWDM
理由:
- 超低延迟
- 超高带宽
- 物理隔离安全
从专用硬件到软件定义:
传统方案依赖专用硬件(路由器、防火墙)现代方案基于软件实现(SD-WAN、Overlay)未来方向:云原生、容器化从中心化到分布式:
传统方案:星型拓扑,依赖中心节点现代方案:Mesh网络,P2P直连降低延迟,提高可用性从高成本到平民化:
传统企业级方案:MPLS VPN,月成本数万现代方案:SD-WAN免费版,成本为零技术下沉,个人可用| 用户类型 | 首选方案 | 备选方案 | 月预算 |
|---|---|---|---|
| 个人用户 | SD-WAN | 自建VPN | 0-100元 |
| 小微企业 | SD-WAN专业版 | 自建VPN | 100-500元 |
| 中型企业 | MPLS VPN | SD-WAN混合 | 1-5万 |
| 大型企业 | MPLS + 光纤 | SD-WAN备份 | 5-20万 |
| 工业IoT | 4G专网 | EOIP | 3-5万 |
阶段1:需求分析
明确组网规模(设备数量、地理分布)确定性能需求(带宽、延迟、可用性)评估预算范围阶段2:方案设计
选择合适的技术方案设计网络拓扑规划IP地址和路由阶段3:测试验证
小规模POC测试性能压测故障模拟阶段4:逐步部署
先上非关键业务灰度切换监控调优阶段5:运维优化
建立监控告警体系定期性能评估持续优化调整参考资料:
RFC 4364 - BGP/MPLS IP Virtual Private Networks (VPNs)RFC 6080 - A Framework for Session Initiation Protocol User Agent Profile DeliveryWireGuard White Paper: https://www.wireguard.com/papers/wireguard.pdfStarlink技术文档: https://api.starlink.com/public-files/SpaceX_Starlink_Gen2_Technical_Appendix.pdf开源项目:
frp: https://github.com/fatedier/frpWireGuard: https://github.com/WireGuardTailscale: https://github.com/tailscaleZeroTier: https://github.com/zerotier本文涵盖内容:
✅ 8种异地组网方案的技术原理
✅ 详细的配置实战教程
✅ 性能测试与优化技巧
✅ 实际场景选型建议
如果对您有帮助,欢迎点赞、收藏、关注!有技术问题欢迎评论区交流讨论。
送码官方微信
手机访问领取大礼包