【IT168 解决方案】对于现代企业，尤其是运行横跨不同地理区域的企业，要想有效率而安全地运作网络服务，VPN是一个无法避免的课题。标准的电子邮件、网站、及档案传输服务虽然很方便，但是受限于TCP/IP的结构限制，几乎对网络稍有常识用户都可拦截到其他人的封包。更何况有些非标准TCP/IP的应用服务，例如ERP及财务软件，不能通过互联网使用。

    使用VPN结构，以上的问题就可迎刃而解：两个办公室间联机，可通过VPN建立的隧道，经由先进地加密技术安全地互相传送，不会被恶意第三者截取分析；非标准TCP/IP的应用，也可通过VPN专有隧道连通，就像在同一个区域网络一样；在外移动的行动用户，只要可以连上网络，即可通过VPN设定连回公司，使用各种办公室应用；办公室间的传输，例如视频会议、语音通讯，通过VPN即不受到网络运行商的管制，带宽不会受到限制。

    由于VPN的应用受到网管者的欢迎，因此技术也不断演进。一般常见的VPN协定有PPTP、IPSec、SSL等。其中PPTP为微软支持的协定，设定较方便，但保全性不够；IPSec公认是最安全的协定，但是设定复杂，一般的用户不容易操作；SSL则需在服务器端进行介面转换，并不是所有的应用程序都可支持。

    在实际操作上，VPN的架设还面临其他的问题：例如当互联网联机掉线时，再安全的VPN也没有作用；中国由于IP资源有限，因此VPN联机必须基于双方为动态IP的基础上建立；由于幅员广大，网管人员要跑遍各个分公司的成长太高，VPN的设定最好简单清楚，略有网略知识者即可完成；每个ISP的IP分派方式都不同，IPSec并不一定都能穿透。

　　新一代的VPN解决方案

    侠诺的QVM系列产品，即为解决以上问题的新一代VPN解决方案。它采用强大的Intel IXP425系列网络处理器，配合特有的功能，可让用户享用VPN的优点，而不必顾虑技术及管理上的困难处。QVM系列产品所提供的SmartLink设定方式，可说是市面上最容易设定的VPN联机，配合坚固的IPSec保护能力，可说是VPN应用最好的方案。

    QVM系列包括QVM1000及QVM330二个产品。当QVM1000与QVM330同时使用时，二者之间可以使用SmartLink方式，轻易地建立IPSec VPN联机，适用于有多分支机构的应用。QVM1000及QVM330也可各自单独应用，与其他支持IPSec的终端软件或VPN闸道互相连接。

    QVM1000为企业总部使用的VPN闸道，共有16个10/100Mbps埠，其中WAN口可配置设定支持2-8个WAN口，有一个埠可设定为DMZ埠，作为连接对外服务器用，其馀的则是10/100Mbps的LAN交换埠，可连接局域网的用户、服务器或其他交换器。

    而QVM330为分支机构使用VPN闸道，可支持一个或二个WAN，LAN口则有四个10/100Mbps的交换埠，可连接局域网的用户、服务器或其他交换器。QVM330同时可作为中小企业的VPN接入闸道，行动用户可使用终端VPN软件连接到QVM330，其他机构也可通过IPSec与QVM330建立联机。

    以下，我们来看看QVM系列VPN产品的应用特点：

    图：QVM系列应用示意图 
 
　　图说：QVM1000与QVM330配合时，可使用最容易设定的SmartLink功能完成设定，节省网管人员的设定时间。
 
　　方便的IPSec VPN设定

　　IPSec虽然公认是最值得信赖的VPN协议，但同时也是出名的难以设定。网管人员要设定都很困难，更何况一般的用户。尤其对于分支机构遍布不同区域网管人员或是集成业者而言，结构VPN网络可能就需要跑遍大中国，一一到各个分支机构设定。有些网管人员会先将相关设定设好，再将分支机构闸道寄到分支机构架设。但是在实际操作上，往往发生分支机构IP给定情况复杂，例如使用虚拟IP，原本设定无法穿透，而必须到现场修改的情况。

   为了克服设定的问题，QVM系列产品提供SmartLink设定功能，将大部份的设定参数交由VPN闸道自动完成，只要进行简单的输入就能建立IPSec设定，也能轻易穿透不同的IP环境。一般的IPSec设定参数，包括Preshare key及…等参数，其中部份是二边用户必须事先约定，有些参数则是必须依联机情况设定，最基本的参数就超过23个，只要有一个设错即无法建立联机。QVM产品提供的SmartLink设定将参数简化到三个：总部服务器IP、用户名、及密码。

　　使用SmartLink的VPN设定将是很简单地。总部的网管必须先将分支机构的用户名及密码输入于QVM1000中。接下来就可直接将分支机构使用的QVM330寄到分支机构去，再以档或电子邮件告知分支机构人员总部闸道IP、用户名及密码。分支机构只要将QVM330连上互联网，输入对应的三个参数即可，双方的闸道会自动完成所有的设定。

   为了完成SmartLink的自动设定，QVM系列产品研发时也针对虚拟IP穿透作了因应设计。由于部份ISP分配的IP不足，所以分配虚拟IP给用户。再加上有些办公室通过分享连联机互联网，所以常常发生分支机构是通过二层虚拟IP连到总部的情况。 侠诺的QVM SmartLink设定，可轻易在复杂的IP设定下建立VPN隧道。网管人员或集成业者不用再为了设定分支机构的VPN而四处奔波了。 以上数点均为采用单埠分享路由器所衍生的问题。另外由于单埠路由器采用低阶处理器，运算速度最高为100-200MHz，带机量越过50个以上时，就无法因应，也间接造成上网很卡的情况。

　　图：SmartLink快速IPSec设定功能
 
　　图说：SmartLink快速IPSec设定功能，只要三个参数，就可取代传统IPSec设定的二十馀个参数，可节省建置VPN的时间及管理。