在網際網路蓬勃發展後,不管是大型或中小型的企業對於網路的依賴都日益增長,甚至有些公司沒有網路就彷彿失去了手腳,無法正常的運作。但層出不窮的資安事件,讓企業不得不採取更安全的網路傳輸方式。因此,原先本已廣泛運用的VPN,益發受到重視。本文所要探討的是,如何在已建立VPN的環境下,增加VPN線路的穩定性,榨乾每一滴可用的頻寬,以取得最好的網路品質和最大的網路效能。
建置VPN的方式相當多,企業可以向ISP(Internet Service Provider)租賃MPLS VPN或IP VPN的服務,亦可委由SI(System Integration)公司或由內部資訊人員架設採用IPSec、GRE或DMVPN等技術及架構的VPN。
隨著企業型態不同,所需要及採取的建置方式亦會有所不同。例如在全國有三家分公司的企業和在全國有數百家門市的企業,理應會採取不同的建置方式,端視其成本及需求考量。
舉一個簡單並且常見的例子來加以說明:圖1是一個典型的VPN架構圖。企業總部設立在台北,並在高雄設立分公司。其所使用的VPN是向ISP所租賃的。VPN的線路所採用的是FTTB或E1等級以上的線路,並且是透過ISP的骨幹來進行連接。
但有經驗的網管工程師很快就能看出這樣的架構有嚴重的潛在問題:沒有備援線路,在VPN線路斷線的時候,網管人員只能一面搖頭嘆氣,一面催促ISP查修,一面默默承受上級長官和同事所給予的壓力和抱怨。
 |
| ▲圖1 典型的VPN架構圖。 |
有鑑於此,許多企業在建置VPN時,會一併要求建置備援線路。避免因VPN實體線路斷線或ISP端設備問題,影響到企業的VPN連線。因此架構圖會有所調整,如圖2所示。
 |
| ▲圖2 經過改良的VPN架構圖。 |
ISP會在CPE(Customer Premise Equipment,在本例中為路由器)端再建置一條備援線路(如虛線所示)並連至ISP機房內的另一套設備,以確保不會因主線斷線或所連接的設備異常而影響到VPN線路的正常運作。
但根據經驗,有實際建置VPN備援線路的企業往往會遇到兩個問題:一、備援線路未定期測試導致需使用時無法正常運作,可能的原因包含線路被挪作他用或者先前有調整過架構造成。二、主線和備援線路所提供的頻寬相差太大,導致備援線路運作時無法完全發揮其效用。
因此,希望能建置屬於自己的VPN,它必需能取代原先的架構,避免既有架構的問題,又能提供線路備援和負載平衡的功能。
此外,由於台灣目前上傳的頻寬價格相對較高(1路4M FTTB的費用比2路10M/2M VDSL還高),因此希望能用比較平價的線路作出高價線路的效果。綜合以上,這裡提出了理想中的架構圖,如圖3所示。
 |
| ▲圖3 理想中的VPN架構圖。 |
在這個架構中,為了徹底降低風險,採取了選擇兩家不同ISP的作法。ISP1及ISP2所配發的WAN IP分別以淺色底及深色底來表示。另外,建議在建置時,也一併要求ISP針對實體線路的部份需由不同固網安裝,避免因固網局端障礙,造成區域性障礙,而讓兩條VPN線路同時斷線,喪失了規劃時的用意。
但這畢竟只是理想化的規劃,在實務上,要選擇兩家以上的ISP可能會有一些非資訊人員所能控制的因素。要選擇不同的固網電路,以台灣的環境而言,亦有一定的難度,在實際建置時,還是必須由資訊人員因時制宜,選擇對於自己及公司最有利的方式。
在此架構中,另需注意的是所選擇線路的頻寬。由於本架構採取負載平衡的方式,因此建議選擇兩條頻寬相同的線路,避免因兩條線路頻寬相差太大,導致使用者在使用時會有網路忽快忽慢的感覺。(更多精彩文章詳見網管人第62期﹚