iT邦幫忙

0

經銷據點VPN規劃

vpn
wgsp 2010-02-05 11:56:2718897 瀏覽

小弟目前應公司副總的需求
要幫忙大陸那邊的經銷商規劃其網路架構
公司在大陸有一個主經銷據點
而目前在大陸各地陸續開始設辦事處
但辦事處需要查詢主經銷據點的資料庫資料
之前試過遠端連線 , 但不是很妥當...
後來找過資料後 , 發現可以用架設VPN的方式運作
但我對這方面目前還沒有任何經驗
所以想請問各位高手 , 若用VPN方式連接回主要據點的資料庫存取資料
在其安全上與便利性上是否妥當?
若是妥當VPN架設方式該以何種方式架設?
主經銷據點,目前是用浮動IP~和一台一般PC當DB SERVER
使用SERVER的人數目前大概是6~7人,爾後續還會陸續增加
DATABASE是不對外的 , 有分內網外網 內網跟外網完全沒有任何關係
是否該申請一個固IP? , SERVER是否該換成入門級伺服器?

srv iT邦研究生 1 級 ‧ 2010-02-08 17:27:44 檢舉
如果是 Client to Site , 建議用 SSL VPN
我試過在 Client 端裝 Netscreen Remote 連到 Firewall 建的 VPN
結果 Client 端(大陸)的網路, 跟台灣一樣是 192.168.1.x 造成無法連線.
如果是 SSL VPN , 即便兩邊都是 192.168.1.x 也可以正常連線.
8
tombo
iT邦高手 1 級 ‧ 2010-02-06 17:11:04
最佳解答

線路的VPN
1.MPLS
A.走專用線路
B.透過現有線路,與上網線路共用,透過Qos來管理VPN頻寬,價格會比A低一些,例如:Metro Link or VPN Lite
2.IPVPN(專線)
3.兩端自購設備,走上網線路,建立VPN Tunnel (IPSEC/L2TP/PPTP/SSL VPN)
C.Fiberlogic 的 Maxtrix IP分享器可以用 PPTP 建立 Site to Site VPN
D.UUDynamics的產品可以用 SSL VPN 建立 Site to Site VPN
E.大多數的防火牆硬體都可以建立Site to Site IPSEC VPN
4.軟體VPN,可以考慮OpenVPN,或是去 Sourceforge找一找應該很多!

本錢多的話,可以考慮專用線路的 IPVPN ,品質最好

用MPLS架構,台灣端甚至可以透過 3G無線上網,走到哪,都可以連接VPN。
Metro Link或是第一線的VPN Lite,我沒記錯的話,它都是利用現有的上網線路,也就是說它會透過網際網路建立VPN Tunnel,各據點會連到ISP最近、品質最佳的機房。

UUDynamics 的 SSL VPN是一種選擇,它有兩種架構,一個是用戶/分據點→HQ,
一種是用戶/分據點/HQ都是連到UUDynamics的Center,好處是你不需要有固定IP,兩端只要能上網即可( 80 & 443 Port ),據說還可以買路由優化的服務;缺點是,你信任大陸產品嗎?你放心你的VPN走人家路嗎?這台應該是 Linux Embedded System。
另外,它在登入系統,建立VPN Tunnel時,會比較慢一點。

如果是自己架 VPN,最好一端有固定 IP;我之前一個客戶,一端是Netgear/固定IP,一端是Vigor/浮動IP,兩端用IPSEC VPN,其中Vigor那端用 DDNS 來解析 IP

你在決定 VPN Solution之前,最好先測試一下各點到HQ的網路品質,如果Packet Lost很高,你最好選擇線路的VPN,SSL VPN也行,因為它會把你的應用轉換成HTTPS,HTTPS協定本身就不是持續連接的,對於常斷線的狀況,會有一些改善。

其次是測試各點的頻寬,以及閘道設備有沒有QoS功能,有防火牆或ACL功能最好,之前我的客戶案例,幫客戶建立 IPSEC VPN之後,已經都做QoS了,可是傳輸速度時好時壞,才發現分據點某台電腦中毒,只要一開機,就會透過網芳,不斷攻擊,後來我在CISCO Router上,把445 Port的封包都Deny掉才正常。

有機會的話,最好去分據點走一趟,實地瞭解。我的經驗是,幫某個客戶走店,因為很多點品質都不好,走店之後發現,它們用的ADSL線路,接線方式讓人不敢恭維,線就隨便扭一扭,然後用電火布一包就算完工。要不就設備靠著電話線懸吊在半空中,線都快脫離了,像這些狀況,沒有實體看到,根本無法想像!

michelle iT邦新手 4 級 ‧ 2010-02-06 17:54:10 檢舉

tombo提到:
用的ADSL線路,接線方式讓人不敢恭維,線就隨便扭一扭,然後用電火布一包就算完工。要不就設備靠著電話線懸吊在半空中,線都快脫離了,像這些狀況,沒有實體看到,根本無法想像!

在大陸就是這樣司空見慣了, 也不可能叫 wgsp 大大替他副總每一省市的據點去看過
一次, 會累死, 各據點的主管應該要去負這個責任, ADSL 沒通或斷線, 或因為地區
性的路由問題產生丟封包或 Lag 的狀況百出. 連不上就當地據點要自己去解決, 反
正能連回總部 server 就好囉. 注意一點, 叫各據點申請的 ADSL 要跟總部同一家
, 比方總部拉的是中國電信, 就要要求各據點通通申請中國電信 ADSL.
因為大陸各 ISP: 中國電信, 網通, 鐵通....之間彼此競爭很多就是互不網來!!

wgsp iT邦新手 5 級 ‧ 2010-02-07 00:54:01 檢舉

感謝tombo大大的解答
我還有幾點不太明白
1.MPLS 與 IPVPN 是線路式的vpn,也就是說A與B公司之間連接一條他們專屬的線路?
若需要在新增C公司的VPN,則C公司必須在向業者申請可以連入A與B專屬VPN的一條線路?
2.我有去做了一下工課 , 線路式VPN似乎每個月要繳的費用數目都不小,大概都2萬以上
對中小企業來說這無疑是個大成本 ...
3.我決定採購一台防火牆VPN , 目前先在台灣公司買一台來測試是否好用並且熟悉VPN的架構與設定,要去大陸時再請他們買一台一樣的防火牆VPN 直接在那邊設定後上機,這樣對兩邊都好
PS:我們公司是製造業的中小企業在資訊系統上建置真的不好 ... 我是這公司的第一個資訊人員也是唯一的一個 ... 目前主要工作是做ERP的維護跟撰寫,剛踏入社會也才四個月..許多IT方面的知識都還不足還請各位大大多多見諒^^

wgsp iT邦新手 5 級 ‧ 2010-02-07 00:55:19 檢舉

在補充一點
我打算採購 ZyWALL USG 100 或 ZyWALL USG 200 請問對於我們的需求來說是否恰當?

12
gilles
iT邦新手 4 級 ‧ 2010-02-05 17:02:12

主要據點要申請固定IP,來架設VPN Server
經銷據點申請浮動IP的寬帶連線,使用VPN client software或支援VPN的router連線到VPN server.

wgsp iT邦新手 5 級 ‧ 2010-02-05 17:37:31 檢舉

謝謝您的解答
那我要架VPN可以連到內部資料庫 , 網路架構該如何配置才好?
SERVER我是認為應該要換成SERVER入門級的機種 是否該換?

gilles iT邦新手 4 級 ‧ 2010-02-08 19:49:57 檢舉

Sorry 最近有點忙,沒回你。不過看來大家都滿蠻踴躍回答的。

你跟我的情況很像,我們在大陸有2個廠,一個有請it,一個沒有。不過我的資料中心是在台灣,我的Vpn是連回台灣,我是給二類電信作,幾乎每一家都survey 過,連國內最大的種花電信都談過,不過他們家的業務不是很專業。
我是建議你不要買vpn的設備,除非你有時間研究有餘力去管,誠如大家所回應的,沒人管的點,你無法預料會出什麼狀況,買了台灣的設備,有問題能即時處理嗎?把這個案子計劃好,有多少據點,連線的頻寬需求,請幾家業者來談與報價,自己也多少學點東西。你的主要資料中心據點,需要比較大的頻寬,費用各地不一,其他用adsl+vpn的費用應該還好,品質也不會太差,重點是斷線還有人可以罵,不用自己背。
至於server 有預算就盡量買好一點,重點要靠慮維護的問題。

gilles iT邦新手 4 級 ‧ 2010-02-08 20:36:18 檢舉

另外,vpn外包的話,就不一定要自備固定ip,有些可以先試用,滿意在簽約。一個人還是要量力而為,不熟的領域,盡量找廠商backup。

16
michelle
iT邦新手 4 級 ‧ 2010-02-05 23:12:20

wgsp提到:
內部資料庫是客戶資料,產品資料,出貨等等資料
都是很重要的資料

就你上面講的阿, 這些資料都是很重要的. 當然不能承擔風險.
PC server 可靠度不夠, 弄個一勞永逸, 10 年內不會出問題的
簡單方案就是買 IThome 網站打廣告打很大的 HP 商用 server.

如果大陸主據點沒有機櫃那就不要買機架式的. CPU 四核跟雙核心
價錢也沒差多少, 我的經驗就是四核心 x 2 ; 4G 的 DDR2 ECC RAM x 4
這樣你跟你副總講. 你可以在這部商用 server 上用 VM 當 OS, 切出很多
將近 10 個虛擬 server (因為你的 CPU 跟 RAM 夠力). 買一部 HP 商用
server 雖然表面上看起來是 PC 的三或四倍成本. 你卻可以用 VM 切出近
10 個獨立的虛擬 server , 在永續經營及未來的擴充成本上當然很划得來.
(只是很吵, 把它放離辦公區遠點, 記得起碼要有風吹或冷氣房).

大陸不像台灣, 你在家裡申請條 ADSL, 在台灣 Hinet 起碼給你一組固定 IP.
公司申請給你 8 個都不是問題 (拿來當防火牆, Gateway IP 就要用掉兩個).
大陸你就必須去以公司名義申請條專線, 中國電信或網通電信才可能配發給你
固定 IP. 拿來在 VM 的獨立虛擬 server 裡架設 VPN 代理伺服器. 也架個
DB 專存放資料庫的 server. 如果預算夠, 買個強而有力的 Firewall 兼當
VPN 也可以啦. 各分公司據點就用各自當地的浮動網路連線到總公司 VPN 來.
記得防火牆的允許最大session 要夠喔. 大陸人在各地分公司都馬喜歡聊 QQ.
或使用 P2P 軟體, 或亂下載中毒. 連到總公司萬一連結數太大你防火牆就掛掉
了.

wgsp iT邦新手 5 級 ‧ 2010-02-06 14:37:10 檢舉

感謝michelle大大的解答
server有考慮到成本的問題
只能買入門型的機種 , 可能沒法買到那麼好的
妳跟karasedward大大的解答都對我相當有幫助^^
看完你們的回答讓我受益良多

michelle iT邦新手 4 級 ‧ 2010-02-06 16:55:15 檢舉

HP 商用 server 也分很多種阿. 如果預算不夠就買便宜點的
就好. 但絕對不要用 PC 當server, 可靠度太差. 你會有處理不完的狀況.
就算兩倍 PC 的價格的機種也比用 PC 划算. 商用 server 就是可靠喔.
我不是 HP 廠商. CCCCC.....

14
karasedward
iT邦新手 3 級 ‧ 2010-02-06 04:13:01

資料庫安全
據以往馬路消息,很少台商願意把伺服器設置在內地。
都是透過隔海VPN來存取資料庫。原因,通常都是因為大陸管理政策,因地而異
時有所聞,電腦伺服器資料庫超扣押,尤其因為員工上法X功網站。

伺服器如果要設內地
伺服器當然要用雙CPU中階以上機架機種IBM & HP (價約12~15W),原因不多說
就是伺服器,運作比較穩定。如果你不想來回奔波
當然挑選內地有服務的品牌伺服器,其效能也勘以資料庫存取

內地頻寬,也都不很穩定。如果你見識過內地機房。
你將會了解我的意思,恐怕,一些LOCAL ISP線路會比貴公司的還糟

VPN防火牆
1.所以你挑選防火牆做VPN 也要考慮TWO WAN架構,尤其在主伺服器端
2.用戶端透過VPN連至總公司,均限制其上網,其路由強制經過總公司,要開放也可以控管。
3.主要經銷商端防火牆心臟夠強加防毒 IDS 跟過濾,支點就不用太在意,
因為支點不要讓員工上網,或者要限定某些關鍵網頁不能存取
4.有固IP最好,沒固IP也可以用DDNS
5.六至八人~~可參考 Fortigate 60B等級往上 價約2W上下(最近自己才架)
6.要是搬設備機器到內地,記得過海關要先拆封,免得被科稅

其他
如果還有時間,可以查閱一下thinclient架構
再對於內地資安管理,也經常被運用

以下有VPN參考設定,你也可以做到 客戶端只能連到主經銷端某個伺服器
可以在台灣架構設定好,在整個搬遷到內地,才會減少來回奔波的問題

michelle iT邦新手 4 級 ‧ 2010-02-06 11:31:07 檢舉

wgsp 大大的副總請他規劃一下內地(大陸)的網路架構.
應該就是一般物流及各省市據點間的帳務啦,數量,客戶資料,盤點之類
的數據能在主據點獲得精準的控管. 所以主機還是建議放大陸總公司.
這是因為考慮到大陸對海外的頻寬不可預測的因素.
如果主機資料擔心哪一天因不可抗力因素遭損毀或怎樣的話.
另外把大陸這部主機跟台灣公司主機定時做備份就好啦.
簡單化..然後眼光放在 10 年內..不要弄得太複雜.
VPN 很好弄阿也很簡單...然後再用最簡單的方法 Winroute 來設規則管理也可以.
karasedward 大大講的有道理. 建議設備在大陸買就好.
不要出口運送一堆有的沒的. 保固也找得到在地廠商.
軟體就自己帶去囉.
大家週末愉快 \(0.0)>

wgsp iT邦新手 5 級 ‧ 2010-02-06 14:42:24 檢舉

我也是要請他們直接在大陸那邊向那邊服務好的廠商購買SERRVER
然後我在過去幫他們建置系統
karasedward大大對VPN的分析講解的很詳細
對我很有幫助 ^^ 謝謝囉

10
門神JanusLin
iT邦超人 1 級 ‧ 2010-02-06 08:17:28

跨國連線大約分三種
1.MPLS
2.IPVPN
3.CPE VPN
效能大約是1:09:08,費用大約也是
MPLS比如中華電信/遠傳/台固
IPVPN比如是中華電信的EZVPN/遠傳/台固也丟有類似業務
CPE VPN就是自己買VPN Route自建
可以參考比如Vigor有VPN功能的
http://www.ublink.org/products/vigor/2950/vigor2950.php
或是SSL VPN
http://www.ublink.org/products/UUDynamics/UU250.php
或是其他廠牌都可以參考!!

wgsp iT邦新手 5 級 ‧ 2010-02-08 00:00:39 檢舉

感謝januslin大大的解答

18
yyliu
iT邦研究生 2 級 ‧ 2010-02-06 08:46:36

插花一下 內地一詞,不要亂用,更多請參閱維基百科.

在台灣,鮮少以「內地」指稱中國大陸,現在多數人則使用「中國」、「大陸」或「中國大陸」來指涉「中華人民共和國政府」的直接統治區域(不包括香港特别行政區、澳門特别行政區),而不使用「內地」,僅有部分演藝圈藝人為避免中國市場受影響而使用。台灣早期則多稱中國大陆為唐山。因為日治時期,第二任台灣總督桂太郎,在其施政方針報告當中,首先以內地稱呼日本本土,延續至今,內地一詞在台灣大都會被認為是指稱日本。若對中國使用「內地」一詞,則會被批評是矮化台灣成為中國的殖民地,而被視為親中人士。
另外,該詞彙的使用也會造成台灣由「中華人民共和國」統治的錯覺,因此反對者眾多。針對此一問題,台灣民間亦有喊出「台灣內地是南投」(南投是全台灣唯一不靠海的縣)的口號。

michelle iT邦新手 4 級 ‧ 2010-02-06 11:12:15 檢舉

這裡又不是政治版講這些幹嘛 ~"~
隨遇而安咩, 去到大陸做生意不要有太多的政治想法.
他們也很敏感的. 奇美許董前幾年不就因為色彩問題吃了大虧.
商人無祖國 \(0.0)>

ithomelee iT邦研究生 1 級 ‧ 2010-02-22 11:13:28 檢舉

感謝提供資料,不僅長電腦知識,也增其他知識!!

marshuang iT邦新手 1 級 ‧ 2010-02-22 14:23:04 檢舉

michelle提到:
商人無祖國

這話是在罵商人而非稱讚商人啊.

10
alunz
iT邦新手 2 級 ‧ 2010-02-06 09:53:56

MPLS是目前國際VPN線路商主流產品,可以任意配置公司的各經銷點或是辦公室。
可以考慮香港第一線的VPN-Lite,第一線會在各經銷點擺置一台Router,並且由客戶或是第一線代申請ADSL or 當地光纖線路(再加入第一線的MPLS)同樣一條電路還可由第一線協助設定Router,讓上網的需求直接透過router連外,內部IP則自動進入MPLS的雲內。

配置:
台北端(2M~4M專線電路),中國各據點(人員少的話就使用ADSL or 光纖上網)
各據點router都由第一線免費借用。
等中國據點有擴大頻寬不夠的情況,再將光纖升級為專線電路即可

每個VPN-lite都是幾千元就可以搞定,安全~穩定~又不會浪費申請進來的電路!

wgsp iT邦新手 5 級 ‧ 2010-02-08 00:51:07 檢舉

感謝alunz大大的解答

8
tsaiyunan
iT邦新手 4 級 ‧ 2010-02-06 10:56:23

可以參考桓基科技的PowerStation線路負載平衡防火牆設備,可支援VPN多點連接,而且支援浮動IP,並不一定強制使用固定IP,且支援多條線路的VPN負載平衡, 而且桓基科技在上海,深圳,廈門皆設有分公司,可以提供技術與人力支援,詳細產品資訊與連絡窗口,請參閱桓基科技網站,謝謝!!
這樣的客戶使用環境,桓基已經有多年協助架設與建置的經驗,兩岸客戶群也相當多,可以請教桓基的專業技術人員,以便深入了解!!

台灣總公司網站:
http://www.hgiga.com/
上海分公司網站:
http://www.lbhinfo.com.cn/

wgsp iT邦新手 5 級 ‧ 2010-02-08 00:51:44 檢舉

感謝tsaiyunan大大的解答

alunz iT邦新手 2 級 ‧ 2010-03-20 10:31:44 檢舉

用自建的IPSEC VPN如果是一般資料的傳輸基本上都還OK
不過如果有牽涉到語音或是視訊會議,可能就非得要拉專線了唷~

8
fishman
iT邦新手 5 級 ‧ 2010-02-07 13:37:01

以我之前的例子,我是規劃另一套查詢系統,現行的 ERP 系統有連線費用及資料安全的困擾,不能完全支應,速度也太慢

看更多先前的回應...收起先前的回應...
wgsp iT邦新手 5 級 ‧ 2010-02-08 00:53:43 檢舉

我們的ERP是請人寫的後來由我接手,但是目前這個ERP是用ACCESS寫的又沒經過規劃很亂常常有問題 , 所以目前正在計畫把他全部重新用新的語言寫過

echen688 iT邦研究生 1 級 ‧ 2010-02-08 11:43:03 檢舉

wgsp提到:
但是目前這個ERP是用ACCESS寫的

................

wgsp iT邦新手 5 級 ‧ 2010-02-08 16:03:24 檢舉

我可以了解echen688 大大無言的原因 - -

echen688 iT邦研究生 1 級 ‧ 2010-02-08 16:34:29 檢舉

wgsp提到:
我可以了解echen688 大大無言的原因 - -

還是你懂我的心...(抱)

8
wensung0320
iT邦新手 4 級 ‧ 2010-02-07 19:18:26

這一個問題很簡單:
台灣端用一台 vpn server 例如 cisco vpn 3000或是 sonicwall vpn server或是 netscreen 等等諸如此類的產品很多,仁兄您可以找一個介面簡單但功能不簡單的產品,再加上防火牆,經銷商端要看您的所有經銷商辦公室電腦總數量若是加一加只是幾百台未上好幾千台(5000以上),事實上一家經銷商給幾個 VPN CLIENT帳號 讓他們用撥接的即可,那經銷商那一端用adsl即可,不然光纖大陸很搶錢的,若是一個經銷商辦公室有好幾百一共超過我上頭說的數字,那建議您個端點用防火牆建立SITE TO SITE的vpn net,不過各經銷商就要用光纖或是專網上網(FTTB+LAN),然後要有出口ip

wgsp iT邦新手 5 級 ‧ 2010-02-08 00:55:25 檢舉

目前是只需要用到SITE TO Client 因為各個辦事處的人數並不多

各位大大好,小弟的公司主要是以兩岸三地專線MPLS VPN & IP VPN / IDC主機託管 / SOC 網路安全等Wan Total solution 服務,如有需要請PM小弟,謝謝啦!!如打擾請見諒^^

我要發表回答

立即登入回答