Qno俠諾五招 輕鬆提高VPN穩定性
VPN對於企業資訊化的建設,已經是不可缺少的一環了。隨著進銷存、財務、ERP、CRM等軟體的的普及,很多中小企業為了達到進一步針對遠端存取的目的,開始進行VPN環境的建置。有了VPN,中小企業的分支機搆及移動用戶,可以通過網際網路接入企業局域網的伺服器,既可以達到即時辦公的效果,又不必擔心因此而在資訊安全上有漏洞或折扣,方便實用!
根據Qno俠諾的多年服務經驗,曾接觸了很多中小企業的用戶。中小企業用戶的網管,由於人力有限,對於基本的VPN原理及配置的瞭解,通常較少,也沒有時間一一檢閱產品的使用手冊。所以,經常在初始建置VPN時,只要求能達到接通、聯網的目的即可,但隨著使用經驗的積累,卻不知如何進行VPN配置的優化,進而達到較佳的遠端接入效果。
下麵,我們就針對中小企業用戶進行VPN配置時,將可進行優化的配置加以說明,網管如能注意這些配置,相信VPN的穩定度可有效地提高。
一、要選擇適當的VPN協定
大多數中小企業的網管,通常喜歡使用設定簡單的PPTP,而不喜歡設定較為繁複的IPSec。因此,有時會看到同一個局域網多個用戶同時使用PPTP協定,連回總部的VPN閘道。由於PPTP協定需要的運算量較大,再加上一般VPN閘道支持的PPTP用戶有限,因此如果人數較多,就容易發生由於新的用戶加入,原有用戶掉線的情況;或者是因為用戶人數較多而互相幹擾的情況。沒有經驗的網管,直觀認為是VPN有問題,但是卻疏忽了是因為採用錯誤的VPN協定所致。
簡單地說,PPTP適用遠端用戶較少,移動用戶的安全性要求較低,而IPSec適用遠端的群組用戶或安全度要求較高情況。因此若是分公司需要連接公司總部伺服器人數較多時,就適用IPSec。由於IPSec只要建立一條VPN隧道,就可提供多個用戶使用,因此不管在運算能力使用或是穩定性方面,都比同時建立多條PPTP要好得多。相同的推斷,也適用在SSL上,SSL協定較PPTP安全,配置也方便,但是在同一群用戶同時需要連接公司總部伺服器時,多條SSL所占的系統資源及穩定性都會比IPSec還差。
對於害怕IPSec配置困難的用戶,Qno俠諾產品提供了專有的SmartLink協定,配有像PPTP一般簡化的配置,既能建立起IPSec連線,又能節省系統資源,同時兼顧兩種協定的優點。
二、持續VPN需要可善用Keep-alive功能
一般的VPN連線,具備有偵測的功能,當一段時間沒有在VPN隧道傳送網路包時,就會自動切斷VPN連線。這個做法,既節省系統資源,也可防止沒有必要的網路廣播包通過VPN連線,影響到不同區域網路的運作。例如微軟的網路芳鄰,在開啟NetBIOS Broadcast的情況下,就會不同發出廣播包,以便更新電腦的名稱及位置。當內部碰到廣播風暴攻擊時,也會經過VPN隧道互相影響。
當VPN隧道切斷時,隨時可由存取遠方伺服器的封包而啟動,例如用戶向總部提出連線需要時,路由器可自動偵測而建立連線。建立連線的時間是很短的,用戶只會感到稍有延滯,並不會有明顯感覺。但是在有些應用情況下,例如辨認雙方IP或是要有更高穩定性時,可啟動“Keep-Alive”的選項,即可持續保持VPN的連線,不會因為沒有用到而斷線。用戶在需要相關功能時,立即就可進行存取,不會有任何不同。
三、有效利用DPD VPN通知偵測功能
VPN的建立是由雙方VPN閘道進行,任一方閘道有問題,都可能導致無法建立連線。由於兩方的網路環境不同,加上中國的網路環境變化較大,因此在實際的用戶使用中,常常發生分公司路由器,由於電源供應不穩定、ISP網路不穩定,而突然斷線的情況,在這種情況下,分公司VPN閘道所建立的VPN隧道自然也斷線了,但是此時總公司的VPN閘道並不知道,經常發生分公司閘道要重建VPN時,總公司VPN閘道反而認為是不正常的連線要求,而加以拒絕。這樣就會造成完全無法建立連線,或需要重啟總部路由器,重建所有VPN隧道的不合理情況。
在IPSec VPN協定中,即規範了一個解決這個問題的機制,叫作DPD(Dead peer detection),顧名思義,就是偵測VPN另一端VPN閘道是否正常的機制。DPD機制可以規範每過一段時間,例如10秒,就偵測連線另一端VPN閘道是否運作正常。如若發生沒有回應的情況,就認為遠方VPN閘道器斷線,而進行VPN隧道的參數清除,以利VPN隧道的重建。有了DPD機制,即使發生斷線,也能重建無礙。
|
圖一:本文中所提到的一些功能,都能在Qno俠諾VPN路由器產品中VPN專案功能表內的進階作業模式中看到。其中Keep-Alive可以保持IPSec VPN永續連線;NetBIOS broadcast是讓微軟的網路芳鄰廣播包可以發送到VPN遠端,方便用戶透過網路芳鄰分享文檔;DPD功能是遠方VPN閘道的斷線偵測機制,對於VPN隧道的重建,有著重要的角色。 |
四、適當採用DDNS備份增加穩定度。
由於固定IP位址的費用較高,因此大部份的中小企業建立VPN是通過動態IP來進行。DDNS動態功能變數名稱扮演了重要的角色,它可以幫助兩個動態IP的VPN閘道找到對方,進行相關的程式。不過,由於常見的動態功能變數名稱穩定性不高,因此常常會發生因為動態功能變數名稱系統工作不正常,而完全無法建立VPN連線的情況。
Qno俠諾的QVM系列VPN產品,提供了多套DDNS備份的設計。中小企業的網管可以為每個WAN口指定最多四家不同DDNS服務,互相進行備份。當某一個DDNS運作不正常時,就可以其他的DDNS替換上,不致發生無法建立連線的情況。
同時,Qno俠諾也建置自有的DDNS系統,將提供給購買Qno俠諾VPN產品的用戶使用。
|
圖二:每個Qno路由器的廣域埠,均可提供多個DDNS服務,啟用的DDNS服務還互為備份,可提高連線穩定度,減少因DDNS不穩定而產生無法建立VPN情況。同時Qno俠諾將推出自有的DDNS服務,提供給用戶使用,再次提高穩定度。 |
五、發揮多WAN VPN特色增加穩定度
Qno俠諾VPN產品均採用多WAN設計,也可針對常見的跨網不穩定及斷線備份加以應對。有些中小企業分公司遍佈不同地區,採用電信或網通不同的線路,因此或是網部採用電信線路,採用網通線路的分公司建置的VPN就很卡或斷線。這種情況,總部可以同時使用電信及網通的線路,電信線路的分公司從電信線路接入,而網通線路的分公司從網通線路接入,這樣可避開跨網帶寬不足,既解決了穩定性問題,又可達到快速存取的目的。
同時,Qno俠諾的SmartLink VPN支援VPN備份的功能,當VPN斷線時,可從另外的廣域網埠重新建立VPN。例如對於較重要的分公司,可以雙方都同時接入電信及網通的線路,一般時間VPN是通過電信的線路建立,並進行傳輸,但是當電信線路因故中斷時,即可由網通線路重建,避免因此對運營造成的影響。
六、小結
穩定是VPN連線必需要有的基礎。但是,穩定並不是會從天上掉下來,網管必須在整體配置、細節功能、備份措施等方面都要有對應的準備,才能達到穩定的目的。中小企業也許在VPN的經驗及瞭解都較為不足,但是如果選用產品得宜,建立穩定而快速的VPN連線,並不是太困難的!
※ PDF 文件下載 |