linda

————比VPN、SD-WAN、软路由更好的选择

一、全球互联网可用性现状
        当今全球互联网除了存在网络安全的问题，还存在网络优化的问题。现今绝大多数用户单位出网或服务器入口的网络接入通常只有一个，即使出口接入了多家ISP宽带也只是搞了随机的、基于权重而不是有明确目的IP的出口负载均衡。与此同时，各ISP网间、国际出口及CDN服务提供商都有QoS或带宽限制，更有甚者部分互联网SaaS服务还对访问用户进行地域IP限制（应用墙/地域墙），例如：某一国网站、流媒体不让国外访问，游戏服务器只提供某一地区的服务，国际AI服务屏蔽某一国的用户等等，人为制造的小院高墙堪比各处耸立的信息烟囱。
        因此从全球互联网范围来看，即使在国家防火墙允许的情况下，无论是局域网出网或互联网用户访问服务器都达不到100%令人满意的效果。

二、中神通大地云控vWAN架构介绍
1.1 vWAN架构介绍
        为解决上述问题，武汉中神通信息技术有限公司成功的借鉴了中国空军体系化作战思想的精髓，为中神通大地云控TrustGate提出并实现了vWAN架构，用一句话概括就是：A射B导C收、7层双栈N路并发、一体化体系化、云网合一的智能路由系统，暨下一代路由系统NGROS（Next Generation Route Operating System）。
        中神通大地云控TrustGate vWAN架构如下图1所示。

图1 中神通大地云控TrustGate vWAN架构示意图

        以下依次介绍中神通大地云控TrustGate vWAN架构的理念及组成部分。

1、A射——客户端
        这里的“客户端”可以是直连的物理宽带专线链路（1层）或是间接的VXLAN/GRE（2~3层）、VPN（3层）、代理（4~7层）客户端，当直连网络不理想时，就要用到间接的VXLAN/GRE、VPN、代理服务。
        一个典型的VXLAN/GRE、VPN、代理服务由客户端和服务器组成，“客户端”负责将浏览器等实际应用的请求转发到“服务器”，从1~7层TCP/IP协议栈的角度来看，“客户端”包括：

• 物理网卡（接宽带、专线）
• VXLAN、GRE
• 自带全栈VPN客户端
• WARP客户端、IPv6隧道客户端
• SS、SSR、SSH、V2、Socks客户端

2、B导——策略路由/NAT/DNS
        作为下一代路由系统NGROS的重要组成部分，策略路由/NAT负责将“客户端”发起的连接按照事先规划好的物理及虚拟路线定点输出到“服务器”，策略DNS负责将相关域名的IP解析到用户或域名所属的地域——与路由/NAT策略保持一致，避免绕路，其组成包括：

• 策略路由+IP库（分区路由/Geo-routing、绕过地理墙/Geo-spoofing）
• 策略NAT+IP库（分区NAT、分区重定向）
• 权威DNS+IP库（分区解析/Geo-ADNS，用于公开的服务）
• 递归DNS+域名库（分区解析/Geo-RDNS，用于局域网出网）

        与传统的VPN系统相比，传统VPN客户端要么把VPN服务器当作新的默认路由，将全部网络数据流都转发到VPN服务器（出网），要么设置少量的、有限的内网IP网络作为VPN路由（入网），VXLAN/GRE甚至没有附加的、指定的路由，都无法实现大规模的、上万条目的IP的VPN隧道路由，而这正是中神通大地云控vWAN架构中B导——策略路由/NAT的作用，即VPN/VXLAN/GRE连接只是提供一头一尾两个节点，具体哪个（地域或应用）目的IP集合走哪个物理/虚拟链接由策略路由/NAT决定。
3、 C收——服务器端
        这里的“服务器”是指直连的物理宽带专线线路（1层）或间接的VXLAN/GRE（2~3层）、VPN（3层）、代理（4~7层）服务器，后者作为跳板/客户端访问SaaS、视频、游戏等互联网服务，它们一般放置在离这些应用服务最近的地方（落地机），双栈IP质量好、可以不受IP地域限制访问这些应用服务（解锁机），同时尽量保证内存最大、CPU最好、延时最小、上传下载带宽最大、总流量最大（VPS云服务器自身的要求），从1~7层TCP/IP协议栈的角度来看，“服务器”包括：

• 运营商宽带、MPLS/IPLC/IEPL专线
• VXLAN、GRE
• 自带全栈VPN服务器
• 第三方代理及VPN服务提供商、机场、SD-WAN PoP、CloudFlare WARP、HE IPv6 Tunnel Broker
• SS、SSR、SSH、V2、Socks、WEB代理服务器

4、7层双栈N路并发
        与传统的SD-WAN/VPN机场系统相比，传统的SD-WAN/VPN机场只能用于局域网出网，不能用于服务器接入，虽然有N个分布在不同地域的PoP/VPN服务器，但CPE/边界路由器/VPN客户端同时只能连接其中一个远程的PoP/VPN服务器（N选1），最多再做一个双机热备提升高可用性，无法同时连接全部的PoP/VPN服务器及多个物理宽带专线线路，更无法连接第三方VXLAN/VPN代理服务器资源，比较封闭而且费效比低下。
        相比之下，中神通大地云控vWAN架构是TCP/IP 1~7层、IPv4&IPv6双栈、N路并发、兼容并蓄、统一管理，既能用于局域网出网，也能用于服务器接入——不仅仅是B/S架构的WEB服务器（代替CDN），还可以是C/S架构的其它服务器；既可连接多个物理宽带专线线路，也可连接双栈自有的VXLAN/VPN代理服务器，还可连接双栈第三方VXLAN/VPN代理服务器，而且是N路并发在线，策略路由/NAT也是IPv4&IPv6双栈的，包含双栈大规模IP地址集，每台“服务器”对应一个（地域或应用）目的IP地址集的虚拟出口，具体由B导——策略路由/NAT决定哪个（地域或应用）目的IP集合走哪个物理/虚拟链接。
        对于物理/虚拟出口方式的选择，原则上是越底层越好，具体分析如下：

• 1层物理宽带专线接入最好，但价格贵，而且不可能每个地区都牵专线
• 2~3层VXLAN/GRE接入方便快捷，适用于原汁原味互联网上网，内核级应用，稳定且成熟度高，网络应用安全由https协议保证
• 3层VPN有加密和用户认证的安全措施，适用于访问企业内部的Intranet应用，IKEv2、WireGuard VPN等是内核级应用
• 4~7层SS/SSR/SSH/V2/Socks/WEB代理，公共资源最多，但也容易被封；是用户态不是内核级应用，开销比较大，不适用于高并发用户

5、一体化、体系化架构
        与中国空军战机、飞弹（A射）和预警机（B导）通过数据链连接的体系化作战系统相比，传统VPN C（A射）/S（C收）架构不是体系化路由系统，而中神通大地云控vWAN架构才是一体化、体系化路由系统，A射和B导既可以放在不同的物理设备中，例如：多家ISP的光猫（A射）由边界路由器的策略路由/NAT（B导）分配目的明确的去向；也可以放在同一台设备中（无需旁路由），例如：对于只有一个宽带接入的局域网，边界路由器先启用多个VXLAN/VPN连接（A射），再由策略路由/NAT（B导）决定哪个（地域或应用）目的IP集合走哪个VXLAN/VPN链接。
        中神通大地云控的一体化、体系化具体体现在：

• 策略路由/NAT和策略DNS在一起，实现全过程数据分区流动
• 策略路由/NAT和物理网卡/VXLAN/GRE/VPN代理客户端在一起，体系化精准远程上网
• VPN代理和DNS服务器在一起，实现全过程安全绿色上网
• VXLAN/VPN客户端和服务器在一起，实现全路由模式的链式VPN/分段路由SR及去中心化的网状Mesh VXLAN/VPN
• 拨号VPN服务器和本地用户管理、本地用户日志在一起，提供一站式合规远程接入服务
• 双栈IPv4和IPv6网络在一起，适应各种复杂的网络环境
• 网络接入和网络存储在一起，提供一站式网络接入和网络存储服务
• 大地云控TrustGate和第三方应用共享同一个Linux OS，大地云控作为数字安全底座，为第三方应用保驾护航、铺路架桥

6、云网合一
        云网合一即云网融合，是指对线上、线下网络资源统一管理、综合利用。
        中神通大地云控TrustGate从一开始就以通用Linux软件包（非ISO、img文件，上云无需dd）的形式出现，既能安装在线下物理机里，也能安装在线下虚拟机和线上云服务器里，既是VXLAN/VPN/代理客户端、服务器，也是策略路由/NAT/DNS/防火墙网关，只要是主流的X86 Linux就可以安装（十几种Linux，其它平台可以移植），将Linux瞬间武装成全能的数字化底座和下一代路由系统NGROS（非Docker模式，可与既有应用系统共存），具备硬路由/软路由/云路由/防火墙、VPN网关、加速器、SD-WAN服务、SDN服务等的功能，可代替昂贵的公有云安全及接入服务，实现From Zero to Hero的效果。
        同时，中神通大地云控TrustGate可以对本地物理宽带专线/5G/WIFI及VXLAN/VPN代理等远程虚拟资源做统一管理，不同的Underlay，统一的Overlay，可以通过策略路由/NAT将本机或局域网的网络流量合理的安排到各个物理宽带专线/5G/WIFI及虚拟出口，不需要旁路由分流（也可作为物理出口之一），比只能连接远程虚拟资源、手工切换其一的SD-WAN/VPN网关/VPN代理机场更全面、更统一、更方便，比只能管理本地物理网络的硬路由/安全网关/防火墙更云化融合，比需要旁路由分流或需要安装客户端VPN代理软件的软路由更省心。
        中神通大地云控TrustGate实现的全绿、全通、秒开效果，可以进一步为“云网算”融合提供坚实的运营基础，构建层次化、低时延算力覆盖圈，打造端到端时延最优化。

1.2目的效果
        中神通大地云控vWAN架构暨下一代路由系统NGROS的宗旨是在合规的前提下（目的、方法和翻墙/科学上网无关），最大程度的利用现有互联网资源——VPS优先、ISP宽带专线其次，既针对对外服务的应用服务器（入网），也针对边界路由器/宽带专线/5G/WIFI（直连出网）、远程VPN代理服务器（中转出网），实现以下优化目标：
1、全绿——降低延时

• 去往世界各地的延时降到最小
• 测速网站全绿

2、全通——去除IP限制

• 一台设备并发解锁全部地理限制
• SaaS、视频、游戏解锁加速

3、秒开——增大带宽

• N个并发虚拟出入口避免QoS、增加带宽
• 用VPS优化运营商宽带网间、国际出口

二、总结


        VXLAN/VPN客户端 + 策略路由/NAT/DNS + VXLAN/VPN服务器 = 7层双栈N路并发、一体化体系化、云网合一、智能路由系统

        中神通大地云控TrustGate vWAN架构中，多WAN接入可以合理编排，VXLAN/GRE方便快捷，VPN代理有加密及用户认证的安全保障，策略路由/NAT是调度中心，策略DNS是辅助手段，最终构成了A射B导C收、7层双栈N路并发、一体化体系化、云网合一的下一代智能路由系统NGROS，为应用服务器、边界路由器、远程VPN代理服务器等实现全绿、全通、秒开的优化效果，优于（可取代）第三方的路由器/软路由/云路由/防火墙、VPN网关、加速器、SD-WAN服务、SDN服务。

Word文档：
https://www.trustcomputing.com.cn/help/trustgate_ngros.docx


中神通大地云控——多WAN路由解析功能介绍
https://www.trustcomputing.com.cn/bbs/viewthread.php?tid=2125

自建SD-WAN攻略——中神通大地云控篇
https://www.trustcomputing.com.cn/bbs/viewthread.php?tid=2129

更多介绍：http://www.trustcomputing.com.cn/cn/index.php/product/dns-url
下载地址：http://www.trustcomputing.com.cn/bbs/viewthread.php?tid=1174

[ 本帖最后由 linda 于 2025-9-17 17:28 编辑 ]