WAN 设计问题

考虑查看来自各个国家供应商（QWest、AT&T 等）的 MPLS 产品。您可以在每个远程办公室获得互联网连接，并在供应商的“云”上获得站点之间的“私人”连接。从概念上讲，这有点像在站点之间建立 VPN，只是供应商的设备负责处理 VPN 连接。

您可能会发现每月的费用并不像您想象的那么高。如果您将语音电话纳入考虑范围，您实际上可能会节省成本。

编辑（现在我有更多的时间）：

MPLS 提供商通常会随解决方案“免费”提供一些“好”东西，包括：

• 云中的 NAT 和防火墙。将 MPLS 引入尚未安装防火墙的站点可以节省成本，但通常不如在现场安装自己的防火墙那么灵活（并且审计或获取计数器也不那么容易）。我有一个客户，他有一个 MPLS 提供商，允许我们在没有托管面向 Internet 的服务器的站点上使用他们的防火墙功能，但会将托管面向 Internet 的服务器的站点的所有流量传递到防火墙，而无需过滤器或 NAT。这实际上相当不错。

• 跨 MPLS 云的流量的 QoS。如果您知道在云上的站点之间会有需要优先处理的特定流量，您通常可以在云中（以及在每个站点的 CPE 上）配置此项。

• 如果您需要，可以采用集中出口到互联网。以使用云带宽为代价，您通常可以请求一种配置，使远程站点对互联网的所有访问都穿过云并从“中心”站点出口。

在使用多个 ISP 时，您可以获得一定的灵活性。我有一个客户，他使用 MPLS 连接“重要”的远程站点，使用 Cisco ASA 设备和商用 DSL 或有线互联网连接连接“不太重要”的站点。（他们在“中心”站点运行 VPN 集中器设备，该设备通过 MPLS 提供商在互联网上公开。）

理论上，如果 MPLS 云“瘫痪”，您还可以使用动态路由协议或浮动静态路由跨次级商用互联网连接“故障转移”到 VPN 隧道。如果您的正常运行时间需求证明花费是合理的，请考虑这一点。MPLS 网络的典型问题发生在“最后一英里”（典型的愚蠢的电信问题——智能插孔故障、光纤被 BIFF 等），而不是在“云”中。

我赞同 Evan Anderson 提出的 MPLS 建议。这是我为自己的网络考虑的解决方案。

从逻辑上讲，这是指向云的，所有复杂的路由都由提供商完成。这就要求您在整个基础设施中拥有一个统一的提供商*。这并不像听起来那么糟糕，因为您和您的提供商之间需要进行一些配置协作。我不想多次这样做。

此外，请注意，对于不比 T1 大太多的带宽，您可以采用城域以太网类型的解决方案。这非常好，即使您从 5Mb/s 之类的带宽开始，因为您可以在将来扩展而无需添加更多线路。这在您的分支机构中可能并不重要，但听起来您的“中心”位置肯定可以使用不止 T1。请务必向您正在货比三家的提供商提及这一点。其中一些提供商不会（至少在 2 年前不会）混合他们的 T1 和以太网 MPLS 云。现在可能是也可能不是这种情况。

如果我处于你的情况，我会选择一家非常大的提供商，这样你就可以选择将你的欧洲节点连接到 MPLS 网络。这样的提供商并不多（或者至少在我寻找的时候没有）。

-* 有第三方提供商可以弥补运营商之间的差距。本质上，他们连接两家运营商并管理您在两家运营商上的连接。Blargh。

我认为你走在正确的轨道上。绝对只用实际的分支机构流量加载你的 VPN/分支机构连接。除非你出于某些更高安全性或集中过滤/审计原因而将其通过主数据中心，否则请将互联网流量单独留给每个站点的本地提供商。

你也可以这样做IPSEC VPN 隧道使用商务级连接通过互联网传输。如果您的上传速度很快，您可能会获得更多带宽。但是，由于它通过互联网传输，因此您将无法享受 QoS，并且理论T1 可能更可靠。

您还可以考虑使用多协议标签交换 (MPLS)提供商连接您的所有办公室。提供商将能够为您实施一些 QoS，然后您可以使用单独的互联网连接。提供商将隔离您的流量，因此它就像您在两者之间有一个 VPN 一样。基本上，使用 MPLS，提供商可以为您做更多的事情，这可能是一个缺点，也可能是一个优势。