作者 主題: VPN Lan to Lan的設備規劃問題  (閱讀 5105 次)

0 會員 與 1 訪客 正在閱讀本文。

joychen

  • 憂鬱的高中生
  • ***
  • 文章數: 129
    • 檢視個人資料
VPN Lan to Lan的設備規劃問題
« 於: 2007-12-06 13:55 »
想請問一下各位學長,
我之前規劃我們外點連回公司的VPN是用Draytek的2900和2910所搭配而成,但現在有問題就是他們設備Lan to Lan走IPSEC的穩定性
因為現在約有7個點都連回公司,有的是用2900、有的是用2910;但發現他每約10幾個小時或是有時不到六小時就會斷線一次,已排除中華電信的問題
在猜想是不是因為他們韌體還是設備的關係,試著Ping送1000個封包,也會掉20~70左右的封包,如果流量大的時候會掉的更嚴重。
網路都是用中華的固三線路

所以現在在重新規劃這一塊,不知各位學長是否有經驗可以分享,還是覺的不錯的設備可以推薦給小弟我。
目前模式都是各點所有的流量都連回總公司,上網也是!
是否有人是將上網的流量從各點的Local端直接出去?如果要這樣做的話,那各點的設備應該就要比較好的,至少是UTM等級的設備!但我們有的點才2~3個人~

目前我在看的是QNO的設備,這是大陸的廠商做的~價錢還不錯,就是不知品質如何~


JackYang78

  • 榮譽博士
  • 俺是博士!
  • *****
  • 文章數: 2672
    • 檢視個人資料
回覆: VPN Lan to Lan的設備規劃問題
« 回覆 #1 於: 2007-12-06 14:35 »
因為我們起跳都是用 DDN ...若考慮成本.. 可以考慮  MPLS VPN or IP VPN

Networking & Communication Security SE

joychen

  • 憂鬱的高中生
  • ***
  • 文章數: 129
    • 檢視個人資料
回覆: VPN Lan to Lan的設備規劃問題
« 回覆 #2 於: 2007-12-06 14:51 »
在我的觀念裡面MPLS VPN的網路品質會較好,但每個月的Cost會比較高
而自行建置Lan to Lan的VPN好處是每月費用會比較低,但得投入設備和維護網路的成本~
不知道這樣的觀念是否正確 :-\

所以我當初才會規劃自行建置~

JackYang78

  • 榮譽博士
  • 俺是博士!
  • *****
  • 文章數: 2672
    • 檢視個人資料
回覆: VPN Lan to Lan的設備規劃問題
« 回覆 #3 於: 2007-12-06 15:02 »
就我的觀念來看... 端看你要怎樣的網路?

我要的是穩定的穩路..所以我每一個 Site 都是投資

1. E1 or FTTB  ( 4M/4M 起跳 )
2. Cisco Router or Cisco L3 Switch
3. PABX + VOIP

自行建置,請考量公司對網路的依賴行為何 ? 可否接受斷線/不穩定 ? 有多少人力編制來維護?!
小企業省錢,我同意.. 問題你每天忙這些問題就夠了....

若有點預算..多點/人少... 我還是外包給 ISP 使用 MPLS VPN 來得好!!

若無成本考量,我是一定建議採用 DDN 方式,至於跑 E1 or FTTB ( 目前我是整個企業光纖化 ), 所以都是 4M/4M 起跳...

要看你公司的文化與營運來考量..
Networking & Communication Security SE

joychen

  • 憂鬱的高中生
  • ***
  • 文章數: 129
    • 檢視個人資料
回覆: VPN Lan to Lan的設備規劃問題
« 回覆 #4 於: 2007-12-06 16:35 »
呵呵~我也同意~專線還是MPLS VPN的方式是最好的解決方式
但要說服老闆啊~唉~這是我該學習的課題~~

不過我也相信,自行建置還是有他的需求存在~
這就像是發展史一樣
一、透過pptp
二、透過純vpn FW做ipsec lan to lan
三、加強安全性,除Vpn FW外還加上Antivirus的防護
四、MPLS VPN

我還在詢問hinet的業務,等他報價。
然後我也同時在詢問qno的一些問題,準備一起打一份list給老大吧
然後分析給他聽~至於他要怎麼決定,還是得看他~
所以我才想聽聽看板上的學長們,是否還有用其他設備做過~
呵呵~

JackYang78

  • 榮譽博士
  • 俺是博士!
  • *****
  • 文章數: 2672
    • 檢視個人資料
回覆: VPN Lan to Lan的設備規劃問題
« 回覆 #5 於: 2007-12-06 17:56 »
自行建置,不見得就要有發展史?! ... 可以直接採用現行的,可行的 Solution !!

早期我還用 D-Link Bridge 接 Dial-up Modem 來傳送 資料 !! 你說這還可行嘛?!

現在都已經是光世代了... 網路需求不再是可以用..而是民生必需品... 除非你的資訊系統跟不上!!

不然, 我還是建議 DDN or FTTB 起跳,會比較好一些!! 最差就是 MPLS VPN 了!

Networking & Communication Security SE

ZMAN

  • 酷!學園 學長們
  • 俺是博士!
  • *****
  • 文章數: 6247
  • 性別: 男
    • 檢視個人資料
    • 魔力門部落格
回覆: VPN Lan to Lan的設備規劃問題
« 回覆 #6 於: 2007-12-07 11:26 »
有些設備適合在家用
有些設備適合在企業用

MIS要先有整體擁有成本的觀念
才有機會教育老闆改變觀念
從此不再以初次採購價錢當作成本

其次MIS要有平衡的觀念
也就網路基礎建設要力求各環節平衡
避免犯下頭重腳輕的錯誤

這些都注意到了
你選擇的廠牌或方案
自然就會導回正確的方向

佈線深似海!
網路高如天!

蜜蜂

  • 活潑的大學生
  • ***
  • 文章數: 276
  • 性別: 男
    • 檢視個人資料
回覆: VPN Lan to Lan的設備規劃問題
« 回覆 #7 於: 2007-12-07 20:33 »
我之前規劃我們外點連回公司的VPN是用Draytek的2900和2910所搭配而成,但現在有問題就是他們設備Lan to Lan走IPSEC的穩定性
因為現在約有7個點都連回公司,有的是用2900、有的是用2910;但發現他每約10幾個小時或是有時不到六小時就會斷線一次,已排除中華電信的問題
在猜想是不是因為他們韌體還是設備的關係,試著Ping送1000個封包,也會掉20~70左右的封包,如果流量大的時候會掉的更嚴重。
1. 建議先看一下 7 個外點和總公司 VPN 線路的流量. 斷線時是否都在用量尖峰.
2. 若各點VPN和上Internet共用線路. 最好要做一些頻寬管理, 保障 VPN 頻寬.
3. 各點之間 VPN 是各自設成 Matrix, 還是都透過總公司做 VPN HUB ?