资深专家教您如何选购—企业VPN产品

　　过去，由于专线费用太高，使得企业信息化的速度无法快速增长。由于信息传递、运输不易等阻碍，成功的企业只能在有限的区域范围内把规模扩大，因此大大降低了企业的竞争力。现在，为了满足整体经济规模持续扩张的需求，随着网络技术的大步迈进、企业VPN级产品的成熟发展，成就了企业可以将总部外的分支外点、办事处等点，根据企业市场扩展需要，布局到各个省份、整个中国、甚至是世界各地。

　　然而，当企业规模转变成总部、分支外点、移动客户等多点架构的同时，新的问题又出现了。如何增强企业各点间更快速、稳定、安全的信息流通，如：ERP数据存取、VoIP数字电话沟通、E-mail及时传输等应用，这就是VPN最大的优势与特色。

　　在面对市场上众多的VPN产品，网络专业知识略显不足的企业常常显得很茫然，不知如何选择适合自己企业的VPN产品。若是是任由系统集成商推广不恰当的产品组合，那么，不但花费了高额的费用，还达不到最佳效果。如今大多数中小企业主们，在企业信息化升级的需求下，都希望能够选购到真正适合其企业的VPN产品和解决方案。

　　究竟企业该如何选购适合自己的企业级VPN产品呢？侠诺科技技术总监张博洋先生，根据侠诺技术中心多年服务经验，归纳出以下几步选购步骤，帮助广大企业用户轻松选购出最适合自己企业应用的VPN产品及解决方案。

第一步：你的企业需要VPN吗？

　　根据各行各业的经验累积，对于企业信息而言，我们可以说企业级VPN产品应用主要表现为实时信息传递与高安全性两方面，具有很大的优势与价值。

　　由于企业级VPN是在互联网上使用加密隧道，将所有分支外点与总部中心端之间，建立一个私有且安全的多点互联网络，具有安全、简单、方便、省成本的特性。通过VPN网络可让企业各分支外点、移动用户达到如同置身在中心端内网的效果，达到远程访问ERP、存取公司内部数据，快速、实时又方便。此外，VPN另外一项特色是具有加密的功能，因此企业的所有信息通过VPN网络即可达到安全保密的效果。整体而言，如果您的企业需要让各地外点远程达到实时同步共享中心端资源，增加企业对外竞争力，同时保证机密数据安全保密，那么您的企业就需要建构适合的VPN网络。

　　通过以下VPN导入评估表，企业用户可以简单判断是否需要VPN，或是进一步了解适合采用何种VPN协议。

QNO侠诺VPN导入评估表

第二步：找出企业最适合的VPN协议

　　张总监介绍，目前市面上企业级VPN产品有高、中、低三级产品，但几乎都是由三个最主要的协议所组成，包含IPSec、SSL、PPTP等协议类型。而要找出企业最适合的VPN产品之前，必须对这三种主要协议的应用特性有所了解。

　　一般而言，IPSec是运用在网关对网关的设备，也就是中心端对规模较大的外点所采用的设备，同时也是目前运用最普及的VPN协议。但在设定上，多达20几个设定步骤，对于不太具备网关知识的企业用户而言，弊端是略显繁复；对网管而言，也是一大门槛。针对这点，QNO侠诺已推出了 SmartLink VPN的IPSec改良技术，有效地简化了IPSec繁复设定，只需3个参数即可完成联机设定，因此已不是太大的问题。但IPSec协议设定一旦联机后，所有信息也跟着开放了，每个人可使用的信息均相同，无法设定不同人可有不同的存取权限，这对于企业只想开放有限的权限给合作伙伴的考虑而言，是一个比较大的瓶颈。

　　相对IPSec而言，SSL是近年来在VPN设备市场中，异军突起流行的通讯协议。它除了拥有实时分享与信息安全两大基本优势之外，还可针对不同的用户属性，设定不同的使用权限。比如只允许合作伙伴使用FTP服务、允许出差在外的业务人员使用ERP数据存取、允许分支外点拥有使用全部服务的权限等等……。只需要标准浏览器登入中心端应用、存取内网资源，解放外部员工VPN联机的地点限制。对于VPN产品而言，SSL VPN的加入，等于更加强化了企业信息安全的全面性。然而，目前SSL VPN虽然已从高价的规格到中小企业可以接受的范围，但对于某些企业来说，还是必须考虑相对IPSec较高的建置成本，因此若企业不需要管控人员权限，IPSec倒是不错的选择。

　　至于PPTP多半运用在信息流量不大、不需要实时信息的小分点机构或移动用户。PPTP虽然使用较为简单，但在安全性上并没有完整的加密机制，所以对于企业机密安全考虑上，会有比较高的风险存在。因此，在企业各点，包括小分点或是移动用户，我们还是建议采用SSL VPN或是IPSec VPN协议，在信息安全性上会比较适合。但IPSec VPN在外点的运用上，必须另外建置一台VPN设备，对于只有单机或移动用户而言，有种杀鸡焉用牛刀之感。为了解决这个问题，QNO侠诺也特别针对企业单机外点与移动用户推出QNOKey IPSec客户端密钥，使用一把U盘大小的Key即可取代路由器设备，实现简便、安全联机总部，并可省去网管人员维护设备的负担，大在降低了VPN联网建置的总体成本。

　　因此如何找出最适合企业的VPN协议，必须根据企业自身不同的需求属性，进行有效地选择。为了更好地让用户了解并放心使用，QNO侠诺提供一份VPN全网解决方案，可较全面包含一般企业建置VPN时的拓朴参考，如图二。

侠诺VPN全网方案拓朴 第三步：提高VPN质量的五个项机制

　　企业除了选择最适当的协议之外，张总监还特别进一步指出：VPN产品本身，还必须具备五项机制，才能帮助企业达成稳定、快速、安全的VPN联机境界。

1、DPD(Dead Peer Detection)侦测VPN断线机制

　　大陆地区的网络环境，绝大部分都是使用PPPoE拨号机制，由于运营商时常更换IP，经常会造成VPN某种程度的不稳定。而当此种状况发生时，尤其是在只有一条线路没有备援的情况下，若VPN设备无法在第一时间内得知联机是否存在，常会造成VPN已断线了一段时间却不知情，有时甚至要等到外点人员反应才得知VPN已断线，而等到此时此刻才开始做相关的处理，多半企业已经产生一定的困恼及损失了。为了避免此种情形发生，必须检视VPN产品是否有DPD机制。DPD是一种自动侦测VPN断线机制的标准协议，可自动判别VPN另一方联机是否存在，再配合VPN状态查询，即可清楚明白的看到目前是否联机，以确保VPN断线时，可做出第一时间的反应与处理。

侠诺IPSec VPN进阶设置界面 2、Keep-Alive持续保持VPN联机机制

　　刚才有提到DPD自动侦测VPN断线功能，可让网管在第一时间做出反应与处理。但如果在某些特定的企业中，VPN服务需要有更高的稳定性，必须持续保持连线，这时，就必须进一步再配合Keep-Alive的自动拨号机制。Keep-Alive是在断线后，可进行自动拨号的机制，因此当DPD侦测出VPN线路出现中断，会立即自动进行拨号，帮助企业自动达成第一时间的VPN尝试联机工作，进一步确保VPN服务不掉线的稳定质量。

3、NATT(NAT Traversal)确保VPN设备相容机制

　　大陆地区有多数需要VPN联机的企业均集中在各大写字楼中，多半再由写字楼管理中心提供网络服务作共享上网，各家企业再通过写字楼的线路接入到企业自家的VPN路由器上，实现与远程分支外点建立VPN网络。然而，我们发现有许多用户提出质疑，为何在使用VPN联机的时候，明明显示为VPN联机状态，信息却无法传输或VPN隧道根本无法成功建立。究查原因在于，写字楼对外主要的核心路由器水平技术高低不一。有些设备只能针对UDP/TCP封包格式进行转换，因此当企业应用IPSec发出非一般UDP/TCP的ESP封包格式时，ESP封包在经过写字楼管理中心核心路由器时，就会被认为是错误封包而被阻挡下来，因而造成VPN虽然显示为联机状态，但VPN的信息却不能够传输，或是连通后过一段时间没使用VPN又发生无法使用的不稳定现象。这是因为写字楼管理中心与企业局端两方设备不相容问题。为了避免这个问题，企业在建置VPN设备同时，必须注意是否内含NATT功能。NATT是转换封包格式的机制，可将企业IPSec所发出的ESP封包格式转换成UDP的格式，进而通过写字楼管理中心的核心路由器，达成VPN信息可流通的目的。

各大写字楼基本网络拓朴

　　A企业路由器发出ESP封包，被写字楼核心路由器判断为错误封包而阻挡，VPN信息无法传输。B企业采用具NATT功能的路由器，ESP封包通过NATT转换为UDP封包格式，VPN信息格式可被辨识，即可通过写字楼核心路由器进行传输。

4、VPN保证带宽机制

　　我们另外也常收到许多企业抱怨VPN速度很慢的问题，经过调查后发现，通常是由于企业内部网络本身的内网不当使用带宽造成，比如员工进行BT、迅雷等下载占用掉大量的带宽，间接造成VPN信息无法实时传输的问题。因此，VPN产品必须要有VPN带宽保证的机制设计，也就是说，VPN的服务必须有一定的使用带宽保证。例如可以设定VPN ESP服务必须最少拥有50K bite到150K bite的带宽使用保证，才不会当有内网用户不当使用时，影响VPN实时传输的效率。

　　当然，如果企业本身VPN的信息流量十分庞大，可进一步选择多WAN的VPN产品，借助多条线路接入，再配合协议绑定的功能，将所有VPN应用绑定在特定的WAN口线路上，即可建立VPN专用通道，让VPN走VPN专用WAN口，其它内部上网走另一个WAN口，彼此互不相干扰，进一步实现真正的VPN保障带宽。另一方面，还可实现电信网通线路方流，即VPN另一方若采电信线路，则以电信线路联机；若采网通线路，则以网通线路联机，解决不同运营商线路联机的瓶颈问题，实现VPN稳定联机。

5、DDNS备援增加VPN稳定度机制

　　由于固定IP地址的费用较高，因此大部份的企业建立VPN是通过动态IP来进行。DDNS动态域名扮演了重要的角色，它可以帮助两个动态IP的VPN网关找到对方，进行相关的程序。不过，由于常见的动态域名稳定性不高，因此常常会发生因为动态域名系统工作不正常，而完全无法建立VPN联机的情况。

　　QNO侠诺全系列VPN产品，提供了多套DDNS备援的设计。企业网管人员可以为每个WAN口指定最多四家不同DDNS服务，互相进行备援。当某一个DDNS运作不正常时，立即有其它的DDNS替换上，不致发生无法建立联机的情况。同时，QNO侠诺也建置自有的DDNS系统，提供给购买QNO侠诺VPN产品的用户使用。

QNO侠诺DDNS动态域名解析服务设置界面 总结：

　　如何选购最适合企业的VPN产品，除了应该了解本身企业架构的商业特性之外，还必须针对整体网络环境有所了解，才不致错买了不适用的VPN产品，既没达到VPN的功效，又徒然浪费金钱。张博洋总监介绍，侠诺科技拥有多元完整的VPN产品选择，用户可依照企业的整体网络环境与企业特性，打造出最适合企业的VPN架构，而QNO侠诺产品功能一切以“化繁为简”为主要宗旨，期望能提供企业最方便有效率的网络服务。