資深專家教您如何選購企業VPN產品
過去,由於專線費用太高,使得企業資訊化的速度無法快速增長。由於資訊傳遞、運輸不易等阻礙,成功的企業只能在有限的區域範圍內把規模擴大,因此大大降低了企業的競爭力。現在,為了滿足整體經濟規模持續擴張的需求,隨著網路技術的大步邁進、企業VPN級產品的成熟發展,成就了企業可以將總部外的分支外點、辦事處等點,根據企業市場擴展需要,佈局到各個省份、整個中國、甚至是世界各地。
然而,當企業規模轉變成總部、分支外點、移動客戶等多點架構的同時,新的問題又出現了。如何增強企業各點間更快速、穩定、安全的資訊流通,如:ERP資料存取、VoIP數位電話溝通、E-mail及時傳輸等應用,這就是VPN最大的優勢與特色。
在面對市場上眾多的VPN產品,網路專業知識略顯不足的企業常常顯得很茫然,不知如何選擇適合自己企業的VPN產品。若是是任由系統集成商推廣不恰當的產品組合,那麼,不但花費了高額的費用,還達不到最佳效果。如今大多數中小企業主們,在企業資訊化升級的需求下,都希望能夠選購到真正適合其企業的VPN產品和解決方案。
究竟企業該如何選購適合自己的企業級VPN產品呢?俠諾科技技術總監張博洋先生,根據俠諾技術中心多年服務經驗,歸納出以下幾步選購步驟,幫助廣大企業用戶輕鬆選購出最適合自己企業應用的VPN產品及解決方案。
第一步:你的企業需要VPN嗎?
根據各行各業的經驗累積,對於企業資訊而言,我們可以說企業級VPN產品應用主要表現為即時資訊傳遞與高安全性兩方面,具有很大的優勢與價值。
由於企業級VPN是在互聯網上使用加密隧道,將所有分支外點與總部中心端之間,建立一個私有且安全的多點互聯網路,具有安全、簡單、方便、省成本的特性。通過VPN網路可讓企業各分支外點、移動用戶達到如同置身在中心端內網的效果,達到遠端存取ERP、存取公司內部資料,快速、即時又方便。此外,VPN另外一項特色是具有加密的功能,因此企業的所有資訊通過VPN網路即可達到安全保密的效果。整體而言,如果您的企業需要讓各地外點遠端達到即時同步共用中心端資源,增加企業對外競爭力,同時保證機密資料安全保密,那麼您的企業就需要建構適合的VPN網路。
通過以下VPN導入評估表,企業用戶可以簡單判斷是否需要VPN,或是進一步瞭解適合採用何種VPN協議。
|
圖一:Qno俠諾VPN導入評估表 |
第二步:找出企業最適合的VPN協議
張總監介紹,目前市面上企業級VPN產品有高、中、低三級產品,但幾乎都是由三個最主要的協議所組成,包含IPSec、SSL、PPTP等協議類型。而要找出企業最適合的VPN產品之前,必須對這三種主要協議的應用特性有所瞭解。
一般而言,IPSec是運用在閘道對閘道的設備,也就是中心端對規模較大的外點所採用的設備,同時也是目前運用最普及的VPN協議。但在設定上,多達20幾個設定步驟,對於不太具備閘道知識的企業用戶而言,弊端是略顯繁複;對網管而言,也是一大門檻。針對這點,Qno俠諾已推出了SmartLink VPN的IPSec改良技術,有效地簡化了IPSec繁複設定,只需3個參數即可完成聯機設定,因此已不是太大的問題。但IPSec協定設定一旦聯機後,所有資訊也跟著開放了,每個人可使用的資訊均相同,無法設定不同人可有不同的存取許可權,這對於企業只想開放有限的許可權給合作夥伴的考慮而言,是一個比較大的瓶頸。
相對IPSec而言,SSL是近年來在VPN設備市場中,異軍突起流行的通訊協定。它除了擁有即時分享與資訊安全兩大基本優勢之外,還可針對不同的用戶屬性,設定不同的使用權限。比如只允許合作夥伴使用FTP服務、允許出差在外的業務人員使用ERP資料存取、允許分支外點擁有使用全部服務的許可權等等……。只需要標準流覽器登入中心端應用、存取內網資源,解放外部員工VPN聯機的地點限制。對於VPN產品而言,SSL VPN的加入,等於更加強化了企業資訊安全的全面性。然而,目前SSL VPN雖然已從高價的規格到中小企業可以接受的範圍,但對於某些企業來說,還是必須考慮相對IPSec較高的建置成本,因此若企業不需要管控人員許可權,IPSec倒是不錯的選擇。
至於PPTP多半運用在資訊流量不大、不需要即時資訊的小分點機構或移動用戶。PPTP雖然使用較為簡單,但在安全性上並沒有完整的加密機制,所以對於企業機密安全考慮上,會有比較高的風險存在。因此,在企業各點,包括小分點或是移動用戶,我們還是建議採用SSL VPN或是IPSec VPN協定,在資訊安全性上會比較適合。但IPSec VPN在外點的運用上,必須另外建置一台VPN設備,對於只有單機或移動用戶而言,有種殺雞焉用牛刀之感。為了解決這個問題,Qno俠諾也特別針對企業單機外點與移動用戶推出QnoKey IPSec用戶端密鑰,使用一把U盤大小的Key即可取代路由器設備,實現簡便、安全聯機總部,並可省去網管人員維護設備的負擔,大在降低了VPN聯網建置的總體成本。
因此如何找出最適合企業的VPN協定,必須根據企業自身不同的需求屬性,進行有效地選擇。為了更好地讓用戶瞭解並放心使用,Qno俠諾提供一份VPN全網解決方案,可較全面包含一般企業建置VPN時的拓樸參考,如圖二。
|
圖二:俠諾VPN全網方案拓樸 |
第三步:提高VPN品質的五個項機制
企業除了選擇最適當的協議之外,張總監還特別進一步指出:VPN產品本身,還必須具備五項機制,才能幫助企業達成穩定、快速、安全的VPN聯機境界。
- DPD(Dead Peer Detection)偵測VPN斷線機制
大陸地區的網路環境,絕大部分都是使用PPPoE撥號機制,由於運營商時常更換IP,經常會造成VPN某種程度的不穩定。而當此種狀況發生時,尤其是在只有一條線路沒有備援的情況下,若VPN設備無法在第一時間內得知聯機是否存在,常會造成VPN已斷線了一段時間卻不知情,有時甚至要等到外點人員反應才得知VPN已斷線,而等到此時此刻才開始做相關的處理,多半企業已經產生一定的困惱及損失了。為了避免此種情形發生,必須檢視VPN產品是否有DPD機制。DPD是一種自動偵測VPN斷線機制的標準協定,可自動判別VPN另一方聯機是否存在,再配合VPN狀態查詢,即可清楚明白的看到目前是否聯機,以確保VPN斷線時,可做出第一時間的反應與處理。
|
圖三:俠諾IPSec VPN進階設置介面 |
- Keep-Alive持續保持VPN聯機機制
剛才有提到DPD自動偵測VPN斷線功能,可讓網管在第一時間做出反應與處理。但如果在某些特定的企業中,VPN服務需要有更高的穩定性,必須持續保持連線,這時,就必須進一步再配合Keep-Alive的自動撥號機制。Keep-Alive是在斷線後,可進行自動撥號的機制,因此當DPD偵測出VPN線路出現中斷,會立即自動進行撥號,幫助企業自動達成第一時間的VPN嘗試聯機工作,進一步確保VPN服務不掉線的穩定品質。
- NATT(NAT Traversal)確保VPN設備相容機制
大陸地區有多數需要VPN聯機的企業均集中在各大寫字樓中,多半再由寫字樓管理中心提供網路服務作共用上網,各家企業再通過寫字樓的線路接入到企業自家的VPN路由器上,實現與遠端分支外點建立VPN網路。然而,我們發現有許多用戶提出質疑,為何在使用VPN聯機的時候,明明顯示為VPN聯機狀態,資訊卻無法傳輸或VPN隧道根本無法成功建立。究查原因在於,寫字樓對外主要的核心路由器水準技術高低不一。有些設備只能針對UDP/TCP封包格式進行轉換,因此當企業應用IPSec發出非一般UDP/TCP的ESP封包格式時,ESP封包在經過寫字樓管理中心核心路由器時,就會被認為是錯誤封包而被阻擋下來,因而造成VPN雖然顯示為聯機狀態,但VPN的資訊卻不能夠傳輸,或是連通後過一段時間沒使用VPN又發生無法使用的不穩定現象。這是因為寫字樓管理中心與企業局端兩方設備不相容問題。為了避免這個問題,企業在建置VPN設備同時,必須注意是否內含NATT功能。NATT是轉換封包格式的機制,可將企業IPSec所發出的ESP封包格式轉換成UDP的格式,進而通過寫字樓管理中心的核心路由器,達成VPN資訊可流通的目的。
|
圖四:各大寫字樓基本網路拓樸 |
A企業路由器發出ESP封包,被寫字樓核心路由器判斷為錯誤封包而阻擋,VPN資訊無法傳輸。B企業採用具NATT功能的路由器,ESP封包通過NATT轉換為UDP封包格式,VPN資訊格式可被辨識,即可通過寫字樓核心路由器進行傳輸。
- VPN保證帶寬機制
我們另外也常收到許多企業抱怨VPN速度很慢的問題,經過調查後發現,通常是由於企業內部網路本身的內網不當使用帶寬造成,比如員工進行BT、迅雷等下載佔用掉大量的帶寬,間接造成VPN資訊無法即時傳輸的問題。因此,VPN產品必須要有VPN帶寬保證的機制設計,也就是說,VPN的服務必須有一定的使用帶寬保證。例如可以設定VPN ESP服務必須最少擁有50K bite到150K bite 的帶寬使用保證,才不會當有內網用戶不當使用時,影響VPN即時傳輸的效率。
當然,如果企業本身VPN的資訊流量十分龐大,可進一步選擇多WAN的VPN產品,借助多條線路接入,再配合協定綁定的功能,將所有VPN應用綁定在特定的WAN口線路上,即可建立VPN專用通道,讓VPN走VPN專用WAN口,其他內部上網走另一個WAN口,彼此互不相干擾,進一步實現真正的VPN保障帶寬。另一方面,還可實現電信網通線路方流,即VPN另一方若采電信線路,則以電信線路聯機;若采網通線路,則以網通線路聯機,解決不同運營商線路聯機的瓶頸問題,實現VPN穩定聯機。
- DDNS備援增加VPN穩定度機制
由於固定IP位址的費用較高,因此大部份的企業建立VPN是通過動態IP來進行。DDNS動態功能變數名稱扮演了重要的角色,它可以幫助兩個動態IP的VPN閘道找到對方,進行相關的程式。不過,由於常見的動態功能變數名稱穩定性不高,因此常常會發生因為動態功能變數名稱系統工作不正常,而完全無法建立VPN聯機的情況。
Qno俠諾全系列VPN產品,提供了多套DDNS備援的設計。企業網管人員可以為每個WAN口指定最多四家不同DDNS服務,互相進行備援。當某一個DDNS運作不正常時,立即有其他的DDNS替換上,不致發生無法建立聯機的情況。同時,Qno俠諾也建置自有的DDNS系統,提供給購買Qno俠諾VPN產品的用戶使用。
|
圖五:Qno俠諾DDNS動態功能變數名稱解析服務設置介面 |
總結:
如何選購最適合企業的VPN產品,除了應該瞭解本身企業架構的商業特性之外,還必須針對整體網路環境有所瞭解,才不致錯買了不適用的VPN產品,既沒達到VPN的功效,又徒然浪費金錢。張博洋總監介紹,俠諾科技擁有多元完整的VPN產品選擇,用戶可依照企業的整體網路環境與企業特性,打造出最適合企業的VPN架構,而Qno俠諾產品功能一切以“化繁為簡”為主要宗旨,期望能提供企業最方便有效率的網路服務。 |