作為一項新技術，其使用效果是需要廣大的用戶體驗并且評議的，VPN技術因為其高效和安全被企業(yè)廣泛認同。當企業(yè)決定選擇VPN產(chǎn)品之后，除了選擇最適當?shù)膮f(xié)議之外，當然想要盡可能的提高VPN質量，這是應當確認VPN產(chǎn)品是否具備文章所述的五項機制。這樣才能使得企業(yè)能夠提高VPN質量，達到引進VPN技術所希望取得的成效。

1.DPD(Dead Peer Detection)偵測VPN斷線機制

大陸地區(qū)的網(wǎng)絡環(huán)境，絕大部分都是使用PPPoE撥號機制，由于運營商時常更換IP，經(jīng)常會造成VPN某種程度的不穩(wěn)定。而當此種狀況發(fā)生時，尤其是在只有一條線路沒有備援的情況下，若VPN設備無法在第一時間內(nèi)得知聯(lián)機是否存在，常會造成VPN已斷線了一段時間卻不知情，有時甚至要等到外點人員反應才得知VPN已斷線，而等到此時此刻才開始做相關的處理，多半企業(yè)已經(jīng)產(chǎn)生一定的困惱及損失了。為了避免此種情形發(fā)生，必須檢視VPN產(chǎn)品是否有DPD機制。DPD是一種自動偵測VPN斷線機制的標準協(xié)議，可自動判別VPN另一方聯(lián)機是否存在，再配合VPN狀態(tài)查詢，即可清楚明白的看到目前是否聯(lián)機，以確保VPN斷線時，可做出第一時間的反應與處理。

2.Keep-Alive持續(xù)保持VPN聯(lián)機機制

剛才有提到DPD自動偵測VPN斷線功能，可讓網(wǎng)管在第一時間做出反應與處理。但如果在某些特定的企業(yè)中，VPN服務需要有更高的穩(wěn)定性，必須持續(xù)保持連線，這時，就必須進一步再配合Keep-Alive的自動撥號機制。Keep-Alive是在斷線后，可進行自動撥號的機制，因此當DPD偵測出VPN線路出現(xiàn)中斷，會立即自動進行撥號，幫助企業(yè)自動達成第一時間的VPN嘗試聯(lián)機工作，進一步確保VPN服務不掉線的穩(wěn)定質量。

3.NATT(NAT Traversal)確保VPN設備相容機制

大陸地區(qū)有多數(shù)需要VPN聯(lián)機的企業(yè)均集中在各大寫字樓中，多半再由寫字樓管理中心提供網(wǎng)絡服務作共享上網(wǎng)，各家企業(yè)再通過寫字樓的線路接入到企業(yè)自家的VPN路由器上，實現(xiàn)與遠程分支外點建立VPN網(wǎng)絡。然而，我們發(fā)現(xiàn)有許多用戶提出質疑，為何在使用VPN聯(lián)機的時候，明明顯示為VPN聯(lián)機狀態(tài)，信息卻無法傳輸或VPN隧道根本無法成功建立。

究查原因在于，寫字樓對外主要的核心路由器水平技術高低不一。有些設備只能針對UDP/TCP封包格式進行轉換，因此當企業(yè)應用IPSec發(fā)出非一般UDP/TCP的ESP封包格式時，ESP封包在經(jīng)過寫字樓管理中心核心路由器時，就會被認為是錯誤封包而被阻擋下來，因而造成VPN雖然顯示為聯(lián)機狀態(tài)，但VPN的信息卻不能夠傳輸，或是連通后過一段時間沒使用VPN又發(fā)生無法使用的不穩(wěn)定現(xiàn)象。

這是因為寫字樓管理中心與企業(yè)局端兩方設備不相容問題。為了避免這個問題，企業(yè)在建置VPN設備同時，必須注意是否內(nèi)含NATT功能，此項功能是提高VPN質量的重要指標。NATT是轉換封包格式的機制，可將企業(yè)IPSec所發(fā)出的ESP封包格式轉換成UDP的格式，進而通過寫字樓管理中心的核心路由器，達成VPN信息可流通的目的。

4.VPN保證帶寬機制

我們另外也常收到許多企業(yè)抱怨VPN速度很慢的問題，經(jīng)過調查后發(fā)現(xiàn)，通常是由于企業(yè)內(nèi)部網(wǎng)絡本身的內(nèi)網(wǎng)不當使用帶寬造成，比如員工進行BT、迅雷等下載占用掉大量的帶寬，間接造成VPN信息無法實時傳輸?shù)膯栴}。因此，VPN產(chǎn)品必須要有VPN帶寬保證的機制設計，也就是說，VPN的服務必須有一定的使用帶寬保證。例如可以設定VPN ESP服務必須最少擁有50K bite到150K bite 的帶寬使用保證，才不會當有內(nèi)網(wǎng)用戶不當使用時，影響VPN實時傳輸?shù)男省?/p>

當然，如果企業(yè)本身VPN的信息流量十分龐大，可進一步選擇多WAN的VPN產(chǎn)品，借助多條線路接入，再配合協(xié)議綁定的功能，將所有VPN應用綁定在特定的WAN口線路上，即可建立VPN專用通道，讓VPN走VPN專用WAN口，其它內(nèi)部上網(wǎng)走另一個WAN口，彼此互不相干擾，進一步實現(xiàn)真正的VPN保障帶寬。另一方面，還可實現(xiàn)電信網(wǎng)通線路方流，即VPN另一方若采電信線路，則以電信線路聯(lián)機;若采網(wǎng)通線路，則以網(wǎng)通線路聯(lián)機，解決不同運營商線路聯(lián)機的瓶頸問題，實現(xiàn)VPN穩(wěn)定聯(lián)機。

5.DDNS備援增加VPN穩(wěn)定度機制

由于固定IP地址的費用較高，因此大部份的企業(yè)建立VPN是通過動態(tài)IP來進行。DDNS動態(tài)域名扮演了重要的角色，它可以幫助兩個動態(tài)IP的VPN網(wǎng)關找到對方，進行相關的程序。不過，由于常見的動態(tài)域名穩(wěn)定性不高，因此常常會發(fā)生因為動態(tài)域名系統(tǒng)工作不正常，而完全無法建立VPN聯(lián)機的情況。

上述的五項機制可以是企業(yè)達到提高VPN質量的目的，擁有這無限機制的VPN產(chǎn)品無疑會成為企業(yè)發(fā)展的強大助力。

【編輯推薦】

1. 企業(yè)VPN應用簡單概要
2. 簡析三種VPN服務類型
3. 簡析三種VPN部署模式
4. 八種企業(yè)使用VPN的優(yōu)勢
5. 哪些用戶適合采用VPN進行網(wǎng)絡連接