QVM VPN多WAN路由器解決方案介紹
VPN背景及應用
對於現代企業,尤其是運行橫跨不同地理區域的企業,要想有效率而安全地運作網路服務,VPN是一個無法避免的課題。標準的電子郵件、網站、及檔案傳輸服務雖然很方便,但是受限於TCP/IP的結構限制,幾乎對網路稍有常識使用者都可攔截到其他人的封包。更何況有些非標準TCP/IP的應用服務,例如ERP及財務軟體,不能通過網際網路使用。
使用VPN結構,以上的問題就可迎刃而解:兩個辦公室間連線,可通過VPN建立的隧道,經由先進地加密技術安全地互相傳送,不會被惡意第三者截取分析;非標準TCP/IP的應用,也可通過VPN專有隧道連通,就像在同一個局域網一樣;在外移動的行動使用者,只要可以連上網路,即可通過VPN設定連回公司,使用各種辦公室應用;辦公室間的傳輸,例如視訊會議、語音通訊,通過VPN即不受到網路運行商的管制,頻寬不會受到限制。
由於VPN的應用受到網管者的歡迎,因此技術也不斷演進。一般常見的VPN協定有PPTP、IPSec、SSL等。其中PPTP為微軟支援的協定,設定較方便,但保全性不夠;IPSec公認是最安全的協定,但是設定複雜,一般的使用者不容易操作;SSL則需在伺服器端進行介面轉換,並不是所有的應用程式都可支援。
在實際操作上,VPN的架設還面臨其他的問題:例如當網際網路連線掉線時,再安全的VPN也沒有作用;中國由於IP資源有限,因此VPN連線必須基於雙方為動態IP的基礎上建立;由於幅員廣大,網管人員要跑遍各個分公司的成長太高,VPN的設定最好簡單清楚,略有網略知識者即可完成;每個ISP的IP分派方式都不同,IPSec並不一定都能穿透。
新一代的VPN解決方案
俠諾的QVM系列產品,即為解決以上問題的新一代VPN解決方案。它採用強大的Intel IXP425系列網路處理器,配合特有的功能,可讓使用者享用VPN的優點,而不必顧慮技術及管理上的困難處。QVM系列產品所提供的SmartLink設定方式,可說是市面上最容易設定的VPN連線,配合堅固的IPSec保護能力,可說是VPN應用最好的方案。
QVM系列包括QVM1000及QVM330二個產品。當QVM1000與QVM330同時使用時,二者之間可以使用SmartLink方式,輕易地建立IPSec VPN連線,適用於有多分支機搆的應用。QVM1000及QVM330也可各自單獨應用,與其他支援IPSec的終端軟體或VPN閘道互相連接。
QVM1000為企業總部使用的VPN閘道,共有16個10/100Mbps埠,其中WAN口可配置設定支援2-8個WAN口,有一個埠可設定為DMZ埠,作為連接對外伺服器用,其餘的則是10/100Mbps的LAN交換埠,可連接局域網的使用者、伺服器或其他交換器。
而QVM330為分支機搆使用VPN閘道,可支持一個或二個WAN,LAN口則有四個10/100Mbps的交換埠,可連接局域網的使用者、伺服器或其他交換器。QVM330同時可作為中小企業的VPN接入閘道,行動使用者可使用終端VPN軟體連接到QVM330,其他機構也可通過IPSec與QVM330建立連線。
以下,我們來看看QVM系列VPN產品的應用特點:
圖說:QVM1000與QVM330配合時,可使用最容易設定的SmartLink功能完成設定,
節省網管人員的設定時間。
方便的IPSec VPN設定
IPSec雖然公認是最值得信賴的VPN協議,但同時也是出名的難以設定。網管人員要設定都很困難,更何況一般的使用者。尤其對於分支機搆遍佈不同區域網管人員或是集成業者而言,結構VPN網路可能就需要跑遍大中國,一一到各個分支機搆設定。有些網管人員會先將相關設定設好,再將分支機搆閘道寄到分支機搆架設。但是在實際操作上,往往發生分支機搆IP給定情況複雜,例如使用虛擬IP,原本設定無法穿透,而必須到現場修改的情況。
為了克服設定的問題,QVM系列產品提供SmartLink設定功能,將大部份的設定參數交由VPN閘道自動完成,只要進行簡單的輸入就能建立IPSec設定,也能輕易穿透不同的IP環境。一般的IPSec設定參數,包括Preshare key及…等參數,其中部份是二邊使用者必須事先約定,有些參數則是必須依連線情況設定,最基本的參數就超過23個,只要有一個設錯即無法建立連線。QVM產品提供的SmartLink設定將參數簡化到三個:總部伺服器IP、使用者名、及密碼。
使用SmartLink的VPN設定將是很簡單地。總部的網管必須先將分支機搆的使用者名及密碼輸入於QVM1000中。接下來就可直接將分支機搆使用的QVM330寄到分支機搆去,再以檔或電子郵件告知分支機搆人員總部閘道IP、用戶名及密碼。分支機搆只要將QVM330連上網際網路,輸入對應的三個參數即可,雙方的閘道會自動完成所有的設定。
為了完成SmartLink的自動設定,QVM系列產品研發時也針對虛擬IP穿透作了因應設計。由於部份ISP分配的IP不足,所以分配虛擬IP給使用者。再加上有些辦公室通過分享連連線網際網路,所以常常發生分支機搆是通過二層虛擬IP連到總部的情況。 俠諾的QVM SmartLink設定,可輕易在複雜的IP設定下建立VPN隧道。網管人員或集成業者不用再為了設定分支機搆的VPN而四處奔波了。 以上數點均為採用單埠分享路由器所衍生的問題。另外由於單埠路由器採用低階處理器,運算速度最高為100-200MHz,帶機量越過50個以上時,就無法因應,也間接造成上網很卡的情況。
圖說:SmartLink快速IPSec設定功能,只要三個參數,就可取代
傳統IPSec設定的二十餘個參數,可節省建置VPN的時間及管理。
多WAN網路接入
企業的關鍵性應用往往使用VPN互連,這時接入頻寬就是一個現實的問題。當企業的連線要負責對外連線需求及VPN連線需求時,往往發生互相影響的情況。例如因為使用者下載大量檔案,而影響VPN可使用的頻寬。這時,一個可行的方法,是通過增加WAN口數量,增加連網頻寬。
因此,增加WAN口數量可讓企業對外連線因應業務或運行而成長,不致成為長長的阻礙。由於ADSL的價格已下跌甚多,因此多條ADSL成本對於企業仍是可以接受的。QVM1000系列設定為總部使用,最多可支援八個WAN口數,帶機量可超過上千人。而QVM330為分支機搆使用,最多可支援二個WAN口數。
QVM1000及QVM330的多WAN口連網都提供負載平衡的功能。該VPN閘道可自動將內部使用者連線要求,自動分配於不同WAN口,以保證每個使用者上網連線的流暢度。網管人員也可設定不同WAN口的連線政策,讓內部使用者依IP/MAC或通訊協,分配於不同WAN口,以提高保證連線的順暢。
VPN線路備援
VPN是建立于網際網路建立的,一旦網際網路連線掉線,VPN隧道也隨之破壞,也失去連線的穩定性。這個情況在依賴網路連線的企業可說是讓運行中斷,影響企業正常運作。然而由於國內連網環境不好,運行商斷線並不是少見的事,因此企業可說曝露在運行中斷的風險。這個風險隨著連線的支點越多,影響層面越大。
掉線的風險可以從二方面來看:VPN連線的總部及分支機搆。
VPN連線總部的閘道負有重責大任,因為往往同時有數個分支機搆或行動使用者建立VPN隧道,使用內部服務。一旦頻寬不足或掉線,立刻同時有許多個分支機搆或使用者受到影響,無法作業。QVM1000提供最多8WAN功能,網管人員可依頻寬需要,擴充WAN口數量,以因應分支機搆或行動使用者的需要,不致因頻寬受限而無法提供良好的服務。另外,QVM1000也提供掉線備援的功能,當某個WAN口連線因故掉線時,就可短時間自動由其他WAN口重建,使用者或分支機搆只會感到短暫中斷,就可繼續工作。這樣的功能,才能確保企業總部提供的VPN服務的穩定性。
分支機搆分散於不同的地區,連線的品質往往較總部更差,容易受到掉線影響。QVM330產品提供WAN口備援的功能,除了日常的ADSL網際網路連線作為WAN1外,分支機搆可購買計時制的ADSL作為WAN2。平日只用WAN1連線,WAN2並不連線,以節省連線費用。網管可技術性選擇不同運行商的線路,以避免同一運行商因機房問題,所有連線均掉的情況。當分支機搆的WAN1因故掉線時,QVM330即可立刻從WAN2重新建立VPN連線,運作不受影響。
VPN中央控管管理
對於總部的網管人員來說,如何同時管理眾多VPN接入連線是一個很頭痛的問題。各個分支機搆的VPN隧道是否建立完全?連線情況如何?是否需要設定新的接取政策?是否需要為特定的應用保留頻寬?這些都是在實際上會碰到的問題。網管往往必須在不同的介面操作,以解決以上的問題。
QVM系列產品提供集中的管理介面,網管人員只要在總部QVM1000的管理介面,就可一次看清最多三百個VPN連線的情況,不必一一地檢查連線的狀況。管理人員也可點系QVM1000上的圖示,直接進入QVM330的管理介面,直接通過VPN進行設定管理,安全又有效率。
動態IP環境
許多網路運行商由於沒有足夠的IP發放,因此對於固定IP收取很高的費用。對於想要節省經費的企業,就必須因應連線的動態IP基礎,建立VPN連線。
QVM系列產品可經由動態DNS服務支援動態IP環境,QVM1000及QVM330均可支援3322.org, DynDNS, DtDNS的服務設定。客戶只要到這些免費網站進行登記,即使使用動態IP,動態DNS也能解讀並將要求轉送到對應的伺服器。
同時,QVM1000每個WAN口並可支援多個不同動態DNS服務,並互為備援。也就是每個埠均可同時設定3322.org, DynDNS, DDNS其中二個以上的服務,萬一當某一個DDNS的服務無法運作時,另一個DDNS的服務就可以替補上來,提供功能變數名稱解讀的服務。
這樣的設定,可確保企業總部不論在什麼情況的動態IP下,都能被分支機搆或行動使用者連線,以完全VPN的設定。
QVM系列產品支援動態DNS,即使企業沒有固定IP,也能通過免費
的功能變數名稱解析服務,讓行動使用者或分支辦公室建立VPN。
其他功能
QVM系列為全功能的寬頻VPN路由器閘道,除了以上的VPN功能外,也具備強大的QoS管理及防火牆功能,可增加企業連網的效率及資訊安全。由於篇幅有限,請讀者參考www.Qno.cn上之介紹。 |