作為一項(xiàng)新技術(shù)，其使用效果是需要廣大的用戶體驗(yàn)并且評議的，VPN技術(shù)因?yàn)槠涓咝Ш桶踩黄髽I(yè)廣泛認(rèn)同。當(dāng)企業(yè)決定選擇VPN產(chǎn)品之后，除了選擇最適當(dāng)?shù)膮f(xié)議之外，當(dāng)然想要盡可能的提高VPN質(zhì)量，這是應(yīng)當(dāng)確認(rèn)VPN產(chǎn)品是否具備文章所述的五項(xiàng)機(jī)制。這樣才能使得企業(yè)能夠提高VPN質(zhì)量，達(dá)到引進(jìn)VPN技術(shù)所希望取得的成效。

1.DPD(Dead Peer Detection)偵測VPN斷線機(jī)制

大陸地區(qū)的網(wǎng)絡(luò)環(huán)境，絕大部分都是使用PPPoE撥號機(jī)制，由于運(yùn)營商時常更換IP，經(jīng)常會造成VPN某種程度的不穩(wěn)定。而當(dāng)此種狀況發(fā)生時，尤其是在只有一條線路沒有備援的情況下，若VPN設(shè)備無法在第一時間內(nèi)得知聯(lián)機(jī)是否存在，常會造成VPN已斷線了一段時間卻不知情，有時甚至要等到外點(diǎn)人員反應(yīng)才得知VPN已斷線，而等到此時此刻才開始做相關(guān)的處理，多半企業(yè)已經(jīng)產(chǎn)生一定的困惱及損失了。為了避免此種情形發(fā)生，必須檢視VPN產(chǎn)品是否有DPD機(jī)制。DPD是一種自動偵測VPN斷線機(jī)制的標(biāo)準(zhǔn)協(xié)議，可自動判別VPN另一方聯(lián)機(jī)是否存在，再配合VPN狀態(tài)查詢，即可清楚明白的看到目前是否聯(lián)機(jī)，以確保VPN斷線時，可做出第一時間的反應(yīng)與處理。

2.Keep-Alive持續(xù)保持VPN聯(lián)機(jī)機(jī)制

剛才有提到DPD自動偵測VPN斷線功能，可讓網(wǎng)管在第一時間做出反應(yīng)與處理。但如果在某些特定的企業(yè)中，VPN服務(wù)需要有更高的穩(wěn)定性，必須持續(xù)保持連線，這時，就必須進(jìn)一步再配合Keep-Alive的自動撥號機(jī)制。Keep-Alive是在斷線后，可進(jìn)行自動撥號的機(jī)制，因此當(dāng)DPD偵測出VPN線路出現(xiàn)中斷，會立即自動進(jìn)行撥號，幫助企業(yè)自動達(dá)成第一時間的VPN嘗試聯(lián)機(jī)工作，進(jìn)一步確保VPN服務(wù)不掉線的穩(wěn)定質(zhì)量。

3.NATT(NAT Traversal)確保VPN設(shè)備相容機(jī)制

大陸地區(qū)有多數(shù)需要VPN聯(lián)機(jī)的企業(yè)均集中在各大寫字樓中，多半再由寫字樓管理中心提供網(wǎng)絡(luò)服務(wù)作共享上網(wǎng)，各家企業(yè)再通過寫字樓的線路接入到企業(yè)自家的VPN路由器上，實(shí)現(xiàn)與遠(yuǎn)程分支外點(diǎn)建立VPN網(wǎng)絡(luò)。然而，我們發(fā)現(xiàn)有許多用戶提出質(zhì)疑，為何在使用VPN聯(lián)機(jī)的時候，明明顯示為VPN聯(lián)機(jī)狀態(tài)，信息卻無法傳輸或VPN隧道根本無法成功建立。

究查原因在于，寫字樓對外主要的核心路由器水平技術(shù)高低不一。有些設(shè)備只能針對UDP/TCP封包格式進(jìn)行轉(zhuǎn)換，因此當(dāng)企業(yè)應(yīng)用IPSec發(fā)出非一般UDP/TCP的ESP封包格式時，ESP封包在經(jīng)過寫字樓管理中心核心路由器時，就會被認(rèn)為是錯誤封包而被阻擋下來，因而造成VPN雖然顯示為聯(lián)機(jī)狀態(tài)，但VPN的信息卻不能夠傳輸，或是連通后過一段時間沒使用VPN又發(fā)生無法使用的不穩(wěn)定現(xiàn)象。

這是因?yàn)閷懽謽枪芾碇行呐c企業(yè)局端兩方設(shè)備不相容問題。為了避免這個問題，企業(yè)在建置VPN設(shè)備同時，必須注意是否內(nèi)含NATT功能，此項(xiàng)功能是提高VPN質(zhì)量的重要指標(biāo)。NATT是轉(zhuǎn)換封包格式的機(jī)制，可將企業(yè)IPSec所發(fā)出的ESP封包格式轉(zhuǎn)換成UDP的格式，進(jìn)而通過寫字樓管理中心的核心路由器，達(dá)成VPN信息可流通的目的。

4.VPN保證帶寬機(jī)制

我們另外也常收到許多企業(yè)抱怨VPN速度很慢的問題，經(jīng)過調(diào)查后發(fā)現(xiàn)，通常是由于企業(yè)內(nèi)部網(wǎng)絡(luò)本身的內(nèi)網(wǎng)不當(dāng)使用帶寬造成，比如員工進(jìn)行BT、迅雷等下載占用掉大量的帶寬，間接造成VPN信息無法實(shí)時傳輸?shù)膯栴}。因此，VPN產(chǎn)品必須要有VPN帶寬保證的機(jī)制設(shè)計，也就是說，VPN的服務(wù)必須有一定的使用帶寬保證。例如可以設(shè)定VPN ESP服務(wù)必須最少擁有50K bite到150K bite 的帶寬使用保證，才不會當(dāng)有內(nèi)網(wǎng)用戶不當(dāng)使用時，影響VPN實(shí)時傳輸?shù)男省?/p>

當(dāng)然，如果企業(yè)本身VPN的信息流量十分龐大，可進(jìn)一步選擇多WAN的VPN產(chǎn)品，借助多條線路接入，再配合協(xié)議綁定的功能，將所有VPN應(yīng)用綁定在特定的WAN口線路上，即可建立VPN專用通道，讓VPN走VPN專用WAN口，其它內(nèi)部上網(wǎng)走另一個WAN口，彼此互不相干擾，進(jìn)一步實(shí)現(xiàn)真正的VPN保障帶寬。另一方面，還可實(shí)現(xiàn)電信網(wǎng)通線路方流，即VPN另一方若采電信線路，則以電信線路聯(lián)機(jī);若采網(wǎng)通線路，則以網(wǎng)通線路聯(lián)機(jī)，解決不同運(yùn)營商線路聯(lián)機(jī)的瓶頸問題，實(shí)現(xiàn)VPN穩(wěn)定聯(lián)機(jī)。

5.DDNS備援增加VPN穩(wěn)定度機(jī)制

由于固定IP地址的費(fèi)用較高，因此大部份的企業(yè)建立VPN是通過動態(tài)IP來進(jìn)行。DDNS動態(tài)域名扮演了重要的角色，它可以幫助兩個動態(tài)IP的VPN網(wǎng)關(guān)找到對方，進(jìn)行相關(guān)的程序。不過，由于常見的動態(tài)域名穩(wěn)定性不高，因此常常會發(fā)生因?yàn)閯討B(tài)域名系統(tǒng)工作不正常，而完全無法建立VPN聯(lián)機(jī)的情況。

上述的五項(xiàng)機(jī)制可以是企業(yè)達(dá)到提高VPN質(zhì)量的目的，擁有這無限機(jī)制的VPN產(chǎn)品無疑會成為企業(yè)發(fā)展的強(qiáng)大助力。

【編輯推薦】

1. 企業(yè)VPN應(yīng)用簡單概要
2. 簡析三種VPN服務(wù)類型
3. 簡析三種VPN部署模式
4. 八種企業(yè)使用VPN的優(yōu)勢
5. 哪些用戶適合采用VPN進(jìn)行網(wǎng)絡(luò)連接