VPN對于企業信息化的建設,已經是不可缺少的一環了。隨著進銷存、財務、ERP、CRM等軟件的的普及,很多中小企業為了達到進一步針對遠程存取的目的,開始進行VPN環境的建置。有了VPN,中小企業的分支機構及移動用戶,可以通過互聯網接入企業局域網的服務器,既可以達到實時辦公的效果,又不必擔心因此而在信息安全上有漏洞或折扣,方便實用!
根據Qno俠諾的多年服務經驗,曾接觸了很多中小企業的用戶。中小企業用戶的網管,由于人力有限,對于基本的VPN原理及配置的了解,通常較少,也沒有時間一一檢閱產品的使用手冊。所以,經常在初始建置VPN時,只要求能達到接通、聯網的目的即可,但隨著使用經驗的積累,卻不知如何進行VPN配置的優化,進而達到較佳的遠程接入效果。
下面,我們就針對中小企業用戶進行VPN配置時,將可進行優化的配置加以說明,網管如能注意這些配置,相信VPN的穩定度可有效地提高。
一、要選擇適當的VPN協議
大多數中小企業的網管,通常喜歡使用設定簡單的PPTP,而不喜歡設定較為繁復的IPSec。因此,有時會看到同一個局域網多個用戶同時使用PPTP協議,連回總部的VPN網關。由于PPTP協議需要的運算量較大,再加上一般VPN網關支持的PPTP用戶有限,因此如果人數較多,就容易發生由于新的用戶加入,原有用戶掉線的情況;或者是因為用戶人數較多而互相干擾的情況。沒有經驗的網管,直觀認為是VPN有問題,但是卻疏忽了是因為采用錯誤的VPN協議所致。
簡單地說,PPTP適用遠程用戶較少,移動用戶的安全性要求較低,而IPSec適用遠程的群組用戶或安全度要求較高情況。因此若是分公司需要連接公司總部服務器人數較多時,就適用IPSec。由于IPSec只要建立一條VPN隧道,就可提供多個用戶使用,因此不管在運算能力使用或是穩定性方面,都比同時建立多條PPTP要好得多。相同的推斷,也適用在SSL上,SSL協議較PPTP安全,配置也方便,但是在同一群用戶同時需要連接公司總部服務器時,多條SSL所占的系統資源及穩定性都會比IPSec還差。
對于害怕IPSec配置困難的用戶,Qno俠諾產品提供了專有的SmartLink協議,配有象PPTP一般簡化的配置,既能建立起IPSec聯機,又能節省系統資源,同時兼顧兩種協議的優點。
二、持續VPN需要可善用Keep-alive功能
一般的VPN聯機,具備有偵測的功能,當一段時間沒有在VPN隧道傳送網絡包時,就會自動切斷VPN聯機。這個做法,既節省系統資源,也可防止沒有必要的網絡廣播包通過VPN聯機,影響到不同局域網的運作。例如微軟的網絡芳鄰,在開啟NetBIOS Broadcast的情況下,就會不同發出廣播包,以便更新計算機的名稱及位置。當內部碰到廣播風暴攻擊時,也會經過VPN隧道互相影響。
當VPN隧道切斷時,隨時可由存取遠方服務器的封包而啟動,例如用戶向總部提出聯機需要時,路由器可自動偵測而建立聯機。建立聯機的時間是很短的,用戶只會感到稍有延滯,并不會有明顯感覺。但是在有些應用情況下,例如辨認雙方IP或是要有更高穩定性時,可啟動“Keep-Alive”的選項,即可持續保持VPN的聯機,不會因為沒有用到而掉線。用戶再需要相關功能時,立即就可進行存取,不會有任何不同。
三、有效利用DPD VPN通知偵測功能
VPN的建立是由雙方VPN網關進行,任一方網關有問題,都可能導致無法建立聯機。由于兩方的網絡環境不同,加上中國的網絡環境變化較大,因此在實際的用戶使用中,常常發生分公司路由器,由于電源供應不穩定、ISP網絡不穩定,而突然掉線的情況,在這種情況下,分公司VPN網關所建立的VPN隧道自然也掉線了,但是此時總公司的VPN網關并不知道,經常發生分公司網關要重建VPN時,總公司VPN網關反而認為是不正常的聯機要求,而加以拒絶。這樣就會造成完全無法建立聯機,或需要重啟總部路由器,重建所有VPN隧道的不合理情況。
在IPSec VPN協議中,即規范了一個解決這個問題的機制,叫作DPD(Dead peer detection),顧名思義,就是偵測VPN另一端VPN網關是否正常的機制。DPD機制可以規范每過一段時間,例如10秒,就偵測聯機另一端VPN網關是否運作正常。如若發生沒有響應的情況,就認為遠方VPN網關器掉線,而進行VPN隧道的參數清除,以利VPN隧道的重建。有了DPD機制,即使發生掉線,也能重建無礙。
圖一:本文中所提到的一些功能,都能在Qno俠諾VPN路由器產品中VPN項目菜單內的進階作業模式中看到。其中Keep-Alive可以保持IPSec VPN永續聯機;NetBIOS broadcast是讓微軟的網絡芳鄰廣播包可以發送到VPN遠程,方便用戶透過網絡芳鄰分享文檔;DPD功能是遠方VPN網關的掉線偵測機制,對于VPN隧道的重建,有著重要的角色。
四、適當采用DDNS備份增加穩定度。
由于固定IP地址的費用較高,因此大部份的中小企業建立VPN是通過動態IP來進行。DDNS動態域名扮演了重要的角色,它可以幫助兩個動態IP的VPN網關找到對方,進行相關的程序。不過,由于常見的動態域名穩定性不高,因此常常會發生因為動態域名系統工作不正常,而完全無法建立VPN聯機的情況。
Qno俠諾的QVM系列VPN產品,提供了多套DDNS備份的設計。中小企業的網管可以為每個WAN口指定最多四家不同DDNS服務,互相進行備份。當某一個DDNS運作不正常時,就可以其它的DDNS替上,不致發生無法建立聯機的情況。
同時,Qno俠諾也建置自有的DDNS系統,將提供給購買Qno俠諾VPN產品的用戶使用。
圖二:每個Qno路由器的廣域端口,均可提供多個DDNS服務,啟用的DDNS服務還互為備份,可提高聯機穩定度,減少因DDNS不穩定而產生無法建立VPN情況。同時Qno俠諾將推出自有的DDNS服務,提供給用戶使用,再次提高穩定度。
五、發揮多WAN VPN特色增加穩定度
Qno俠諾VPN產品均采用多WAN設計,也可針對常見的跨網不穩定及掉線備份加以應對。有些中小企業分公司遍布不同地區,采用電信或網通不同的線路,因此或是網部采用電信線路,采用網通線路的分公司建置的VPN就很卡或掉線。這種情況,總部可以同時使用電信及網通的線路,電信線路的分公司從電信線路接入,而網通線路的分公司從網通線路接入,這樣可避開跨網帶寬不足,既解決了穩定性問題,又可達到快速存取的目的。
同時,Qno俠諾的SmartLink VPN支持VPN備份的功能,當VPN掉線時,可從另外的廣域網端口重新建立VPN。例如對于較重要的分公司,可以雙方都同時接入電信及網通的線路,一般時間VPN是通過電信的線路建立,并進行傳輸,但是當電信線路因故中斷時,即可由網通線路重建,避免因此對運營造成的影響。
六、小結
穩定是VPN聯機必需要有的基礎。但是,穩定并不是會從天上掉下來,網管必須在整體配置、細節功能、備份措施等方面都要有對應的準備,才能達到穩定的目的。中小企業也許在VPN的經驗及了解都較為不足,但是如果選用產品得宜,建立穩定而快速的VPN聯機,并不是太困難的!
(新聞稿 2007-05-08)
