具備五項機制提高VPN質量
作為一項新技術,其使用效果是需要廣大的用戶體驗并且評議的,VPN技術因為其高效和安全被企業廣泛認同。當企業決定選擇VPN產品之后,除了選擇最適當的協議之外,當然想要盡可能的提高VPN質量,這是應當確認VPN產品是否具備文章所述的五項機制。這樣才能使得企業能夠提高VPN質量,達到引進VPN技術所希望取得的成效。
1.DPD(Dead Peer Detection)偵測VPN斷線機制
大陸地區的網絡環境,絕大部分都是使用PPPoE撥號機制,由于運營商時常更換IP,經常會造成VPN某種程度的不穩定。而當此種狀況發生時,尤其是在只有一條線路沒有備援的情況下,若VPN設備無法在第一時間內得知聯機是否存在,常會造成VPN已斷線了一段時間卻不知情,有時甚至要等到外點人員反應才得知VPN已斷線,而等到此時此刻才開始做相關的處理,多半企業已經產生一定的困惱及損失了。為了避免此種情形發生,必須檢視VPN產品是否有DPD機制。DPD是一種自動偵測VPN斷線機制的標準協議,可自動判別VPN另一方聯機是否存在,再配合VPN狀態查詢,即可清楚明白的看到目前是否聯機,以確保VPN斷線時,可做出第一時間的反應與處理。
2.Keep-Alive持續保持VPN聯機機制
剛才有提到DPD自動偵測VPN斷線功能,可讓網管在第一時間做出反應與處理。但如果在某些特定的企業中,VPN服務需要有更高的穩定性,必須持續保持連線,這時,就必須進一步再配合Keep-Alive的自動撥號機制。Keep-Alive是在斷線后,可進行自動撥號的機制,因此當DPD偵測出VPN線路出現中斷,會立即自動進行撥號,幫助企業自動達成第一時間的VPN嘗試聯機工作,進一步確保VPN服務不掉線的穩定質量。
3.NATT(NAT Traversal)確保VPN設備相容機制
大陸地區有多數需要VPN聯機的企業均集中在各大寫字樓中,多半再由寫字樓管理中心提供網絡服務作共享上網,各家企業再通過寫字樓的線路接入到企業自家的VPN路由器上,實現與遠程分支外點建立VPN網絡。然而,我們發現有許多用戶提出質疑,為何在使用VPN聯機的時候,明明顯示為VPN聯機狀態,信息卻無法傳輸或VPN隧道根本無法成功建立。
究查原因在于,寫字樓對外主要的核心路由器水平技術高低不一。有些設備只能針對UDP/TCP封包格式進行轉換,因此當企業應用IPSec發出非一般UDP/TCP的ESP封包格式時,ESP封包在經過寫字樓管理中心核心路由器時,就會被認為是錯誤封包而被阻擋下來,因而造成VPN雖然顯示為聯機狀態,但VPN的信息卻不能夠傳輸,或是連通后過一段時間沒使用VPN又發生無法使用的不穩定現象。
這是因為寫字樓管理中心與企業局端兩方設備不相容問題。為了避免這個問題,企業在建置VPN設備同時,必須注意是否內含NATT功能,此項功能是提高VPN質量的重要指標。NATT是轉換封包格式的機制,可將企業IPSec所發出的ESP封包格式轉換成UDP的格式,進而通過寫字樓管理中心的核心路由器,達成VPN信息可流通的目的。
4.VPN保證帶寬機制
我們另外也常收到許多企業抱怨VPN速度很慢的問題,經過調查后發現,通常是由于企業內部網絡本身的內網不當使用帶寬造成,比如員工進行BT、迅雷等下載占用掉大量的帶寬,間接造成VPN信息無法實時傳輸的問題。因此,VPN產品必須要有VPN帶寬保證的機制設計,也就是說,VPN的服務必須有一定的使用帶寬保證。例如可以設定VPN ESP服務必須最少擁有50K bite到150K bite 的帶寬使用保證,才不會當有內網用戶不當使用時,影響VPN實時傳輸的效率。
當然,如果企業本身VPN的信息流量十分龐大,可進一步選擇多WAN的VPN產品,借助多條線路接入,再配合協議綁定的功能,將所有VPN應用綁定在特定的WAN口線路上,即可建立VPN專用通道,讓VPN走VPN專用WAN口,其它內部上網走另一個WAN口,彼此互不相干擾,進一步實現真正的VPN保障帶寬。另一方面,還可實現電信網通線路方流,即VPN另一方若采電信線路,則以電信線路聯機;若采網通線路,則以網通線路聯機,解決不同運營商線路聯機的瓶頸問題,實現VPN穩定聯機。
5.DDNS備援增加VPN穩定度機制
由于固定IP地址的費用較高,因此大部份的企業建立VPN是通過動態IP來進行。DDNS動態域名扮演了重要的角色,它可以幫助兩個動態IP的VPN網關找到對方,進行相關的程序。不過,由于常見的動態域名穩定性不高,因此常常會發生因為動態域名系統工作不正常,而完全無法建立VPN聯機的情況。
上述的五項機制可以是企業達到提高VPN質量的目的,擁有這無限機制的VPN產品無疑會成為企業發展的強大助力。
【編輯推薦】
