作為一項(xiàng)新技術(shù)，其使用效果是需要廣大的用戶體驗(yàn)并且評(píng)議的，VPN技術(shù)因?yàn)槠涓咝Ш桶踩黄髽I(yè)廣泛認(rèn)同。當(dāng)企業(yè)決定選擇VPN產(chǎn)品之后，除了選擇最適當(dāng)?shù)膮f(xié)議之外，當(dāng)然想要盡可能的提高VPN質(zhì)量，這是應(yīng)當(dāng)確認(rèn)VPN產(chǎn)品是否具備文章所述的五項(xiàng)機(jī)制。這樣才能使得企業(yè)能夠提高VPN質(zhì)量，達(dá)到引進(jìn)VPN技術(shù)所希望取得的成效。

1.DPD(Dead Peer Detection)偵測(cè)VPN斷線機(jī)制

大陸地區(qū)的網(wǎng)絡(luò)環(huán)境，絕大部分都是使用PPPoE撥號(hào)機(jī)制，由于運(yùn)營(yíng)商時(shí)常更換IP，經(jīng)常會(huì)造成VPN某種程度的不穩(wěn)定。而當(dāng)此種狀況發(fā)生時(shí)，尤其是在只有一條線路沒(méi)有備援的情況下，若VPN設(shè)備無(wú)法在第一時(shí)間內(nèi)得知聯(lián)機(jī)是否存在，常會(huì)造成VPN已斷線了一段時(shí)間卻不知情，有時(shí)甚至要等到外點(diǎn)人員反應(yīng)才得知VPN已斷線，而等到此時(shí)此刻才開(kāi)始做相關(guān)的處理，多半企業(yè)已經(jīng)產(chǎn)生一定的困惱及損失了。為了避免此種情形發(fā)生，必須檢視VPN產(chǎn)品是否有DPD機(jī)制。DPD是一種自動(dòng)偵測(cè)VPN斷線機(jī)制的標(biāo)準(zhǔn)協(xié)議，可自動(dòng)判別VPN另一方聯(lián)機(jī)是否存在，再配合VPN狀態(tài)查詢，即可清楚明白的看到目前是否聯(lián)機(jī)，以確保VPN斷線時(shí)，可做出第一時(shí)間的反應(yīng)與處理。

2.Keep-Alive持續(xù)保持VPN聯(lián)機(jī)機(jī)制

剛才有提到DPD自動(dòng)偵測(cè)VPN斷線功能，可讓網(wǎng)管在第一時(shí)間做出反應(yīng)與處理。但如果在某些特定的企業(yè)中，VPN服務(wù)需要有更高的穩(wěn)定性，必須持續(xù)保持連線，這時(shí)，就必須進(jìn)一步再配合Keep-Alive的自動(dòng)撥號(hào)機(jī)制。Keep-Alive是在斷線后，可進(jìn)行自動(dòng)撥號(hào)的機(jī)制，因此當(dāng)DPD偵測(cè)出VPN線路出現(xiàn)中斷，會(huì)立即自動(dòng)進(jìn)行撥號(hào)，幫助企業(yè)自動(dòng)達(dá)成第一時(shí)間的VPN嘗試聯(lián)機(jī)工作，進(jìn)一步確保VPN服務(wù)不掉線的穩(wěn)定質(zhì)量。

3.NATT(NAT Traversal)確保VPN設(shè)備相容機(jī)制

大陸地區(qū)有多數(shù)需要VPN聯(lián)機(jī)的企業(yè)均集中在各大寫字樓中，多半再由寫字樓管理中心提供網(wǎng)絡(luò)服務(wù)作共享上網(wǎng)，各家企業(yè)再通過(guò)寫字樓的線路接入到企業(yè)自家的VPN路由器上，實(shí)現(xiàn)與遠(yuǎn)程分支外點(diǎn)建立VPN網(wǎng)絡(luò)。然而，我們發(fā)現(xiàn)有許多用戶提出質(zhì)疑，為何在使用VPN聯(lián)機(jī)的時(shí)候，明明顯示為VPN聯(lián)機(jī)狀態(tài)，信息卻無(wú)法傳輸或VPN隧道根本無(wú)法成功建立。

究查原因在于，寫字樓對(duì)外主要的核心路由器水平技術(shù)高低不一。有些設(shè)備只能針對(duì)UDP/TCP封包格式進(jìn)行轉(zhuǎn)換，因此當(dāng)企業(yè)應(yīng)用IPSec發(fā)出非一般UDP/TCP的ESP封包格式時(shí)，ESP封包在經(jīng)過(guò)寫字樓管理中心核心路由器時(shí)，就會(huì)被認(rèn)為是錯(cuò)誤封包而被阻擋下來(lái)，因而造成VPN雖然顯示為聯(lián)機(jī)狀態(tài)，但VPN的信息卻不能夠傳輸，或是連通后過(guò)一段時(shí)間沒(méi)使用VPN又發(fā)生無(wú)法使用的不穩(wěn)定現(xiàn)象。

這是因?yàn)閷懽謽枪芾碇行呐c企業(yè)局端兩方設(shè)備不相容問(wèn)題。為了避免這個(gè)問(wèn)題，企業(yè)在建置VPN設(shè)備同時(shí)，必須注意是否內(nèi)含NATT功能，此項(xiàng)功能是提高VPN質(zhì)量的重要指標(biāo)。NATT是轉(zhuǎn)換封包格式的機(jī)制，可將企業(yè)IPSec所發(fā)出的ESP封包格式轉(zhuǎn)換成UDP的格式，進(jìn)而通過(guò)寫字樓管理中心的核心路由器，達(dá)成VPN信息可流通的目的。

4.VPN保證帶寬機(jī)制

我們另外也常收到許多企業(yè)抱怨VPN速度很慢的問(wèn)題，經(jīng)過(guò)調(diào)查后發(fā)現(xiàn)，通常是由于企業(yè)內(nèi)部網(wǎng)絡(luò)本身的內(nèi)網(wǎng)不當(dāng)使用帶寬造成，比如員工進(jìn)行BT、迅雷等下載占用掉大量的帶寬，間接造成VPN信息無(wú)法實(shí)時(shí)傳輸?shù)膯?wèn)題。因此，VPN產(chǎn)品必須要有VPN帶寬保證的機(jī)制設(shè)計(jì)，也就是說(shuō)，VPN的服務(wù)必須有一定的使用帶寬保證。例如可以設(shè)定VPN ESP服務(wù)必須最少擁有50K bite到150K bite 的帶寬使用保證，才不會(huì)當(dāng)有內(nèi)網(wǎng)用戶不當(dāng)使用時(shí)，影響VPN實(shí)時(shí)傳輸?shù)男省?/p>

當(dāng)然，如果企業(yè)本身VPN的信息流量十分龐大，可進(jìn)一步選擇多WAN的VPN產(chǎn)品，借助多條線路接入，再配合協(xié)議綁定的功能，將所有VPN應(yīng)用綁定在特定的WAN口線路上，即可建立VPN專用通道，讓VPN走VPN專用WAN口，其它內(nèi)部上網(wǎng)走另一個(gè)WAN口，彼此互不相干擾，進(jìn)一步實(shí)現(xiàn)真正的VPN保障帶寬。另一方面，還可實(shí)現(xiàn)電信網(wǎng)通線路方流，即VPN另一方若采電信線路，則以電信線路聯(lián)機(jī);若采網(wǎng)通線路，則以網(wǎng)通線路聯(lián)機(jī)，解決不同運(yùn)營(yíng)商線路聯(lián)機(jī)的瓶頸問(wèn)題，實(shí)現(xiàn)VPN穩(wěn)定聯(lián)機(jī)。

5.DDNS備援增加VPN穩(wěn)定度機(jī)制

由于固定IP地址的費(fèi)用較高，因此大部份的企業(yè)建立VPN是通過(guò)動(dòng)態(tài)IP來(lái)進(jìn)行。DDNS動(dòng)態(tài)域名扮演了重要的角色，它可以幫助兩個(gè)動(dòng)態(tài)IP的VPN網(wǎng)關(guān)找到對(duì)方，進(jìn)行相關(guān)的程序。不過(guò)，由于常見(jiàn)的動(dòng)態(tài)域名穩(wěn)定性不高，因此常常會(huì)發(fā)生因?yàn)閯?dòng)態(tài)域名系統(tǒng)工作不正常，而完全無(wú)法建立VPN聯(lián)機(jī)的情況。

上述的五項(xiàng)機(jī)制可以是企業(yè)達(dá)到提高VPN質(zhì)量的目的，擁有這無(wú)限機(jī)制的VPN產(chǎn)品無(wú)疑會(huì)成為企業(yè)發(fā)展的強(qiáng)大助力。

【編輯推薦】

1. 企業(yè)VPN應(yīng)用簡(jiǎn)單概要
2. 簡(jiǎn)析三種VPN服務(wù)類型
3. 簡(jiǎn)析三種VPN部署模式
4. 八種企業(yè)使用VPN的優(yōu)勢(shì)
5. 哪些用戶適合采用VPN進(jìn)行網(wǎng)絡(luò)連接