規劃VPN

企業經理人與MIS 隨著跨區、跨縣、跨國企業的發展，產業「地球村化」的時代已正式降臨，VPN漸成企業商業與協同應用的重要選擇。傳統上系統維護是由企業MIS人員負責， 然而，對於公司內的資訊部門人員而言，工作已有愈形複雜的趨勢。試想，一個100人規模的公司，MIS的人員配置可能只有2~3人，但是所要擔負的工作卻 異常繁瑣，包含著電腦週邊設備維護管理、網路正常運作的維護、資訊系統的開發與維護、網路安全的維護。每天還可能有一些意外的驚喜，讓MIS人員疲於奔 命。如果不幸該企業分公司的地點不止一個，而是遍佈台灣，甚至廣及世界各地，這還會嚴重影響到公司的生產力。為了降低MIS人力在可預期避免危機上的過度 浪費，使其人力得到充分運用，企業經理人必須未雨綢繆，一旦考慮採用VPN，就應該同時規劃當下與未來6到12個月該做的事，在未來評估 ROI(Return on Investment)和TCO(Total Cost of Ownership)、擬定決策、提升效益的流程中，才能順暢無阻。 VPN的規劃面向與思考邏輯 網路規劃並沒有所謂最完美的規劃，只有最適當的規劃。對於規劃VPN，企業經理人有四個必須自問的面向：效能、彈性、安全性、經濟性。 一 效能 目前常用的VPN 架構（產品）分成： 1. Frame Relay（Layer 2，Switching 架構）。 2. ATM（Layer 2，ATM Cell Switching 架構）。 3. MPLS（Layer 2+，IP Switching 架構）。 4. IPSec、L2TP、PPTP（這三種通訊協定皆為點對點邏輯隧道技術，包含資料加密、身分認證技術、密鑰管理技術等結合）。 企業經理人能選用的架構雖然多，但是目前以IP Base的MPLS技術較被重視採用，其原因如下： Standard－適用於現有網路架構標準（設備無須更新） Simple－客戶端架構簡單，適用於大型至小型的VPN需求、維護管理成本低 Security－具有訊框傳送（Frame Relay）同等級的安全性 Future－整合 IP Qos 與 流量控管工程（Traffic Engineering） Felix－無須提供虛擬電路（相對於FR/ATM） 效能上頻寬是另一常見考量。一旦頻寬使用率持續居高不下，企業經理人第一時間該考慮的是清查網管系統的流量紀錄，去除不必要流量並嘗試重導封包傳輸；必要時可採用負載平衡的設備，透過多條對外頻寬以處理頻寬不足問題。效益考量下，經理人不應無前提且無限制的擴充電路頻寬。 二 彈性 VPN的迷人之處，在於相較Internet環境，VPN提供了一個品質保障的頻寬來滿足語音與視訊的傳輸需求，也相對的降低電話費、差旅費的耗用，並增 加溝通（包含教育訓練）頻率，藉以提升公司的競爭力；建置初期，當然不見得也不建議將所有的加值服務一口氣囫圇吞棗建置完畢，但企業經理人必須清楚其 VPN未來是否能彈性的擴充語音與視訊等加值服務，並且自問，長期來看，數據、視訊與語音是分開好，還是整合在單一的VPN解決方案上較符合需求。 三 安全性 雖然VPN是一個完全封閉式的網路，但是企業經理人要明瞭，並非建立起VPN的網路環境後就可以高枕無憂，仍需要許多的配套措施來完成網路安全的防禦機制，原因如下： 1. 對外Internet 需要出口：出口必須透過防火牆（firewall）與Internet 做接觸，所以Internet 上的入侵攻擊事件仍有可能穿透防火牆。目前駭客的入侵手法不斷翻新，經理人除了必須確保VPN架構在企業做內部資料傳輸的安全性，還需要考慮安全上其他可能入侵的管道。 2. E-mail , Web server 對外（對內）的service 需要開放：所以這方面的相關防禦機制仍需建立。 3. Extranet 的通道需要規劃：越來越多企業擁有B2B的網路架構環境，處理自己內部的資料安全固然刻不容緩，如何規劃一個安全的Extranet 環境也是一個重要的課題。簡單而言，該以企業既有的防火牆兼顧Extranet的潛在危機，還是另外購置一套防火牆保護？這是企業遲早必須面臨的課題。 4. 移動式的辦公環境需要防護：隨著筆記型電腦的普及，辦公室內潛在的移動式上網設備與管道，都有可能成為病毒與入侵攻擊事件的跳板。 四 經濟性 規劃網路時，首重成本效益分析。就企業VPN整體建置而言，確實能為企業降低總持有成本，並相對提升資訊的應用效能。以擴充性來檢視VPN，新增節點的成本相較於專線而言便宜50%以上，維護的成本也較低。以MPLS VPN來看，新增一點只需要一路專線（或ADSL）加入，在單純的IP環境下，透過ISP的IP管理即可（如圖）。

網路整體的政策，需配合公司整體維運的考量而設計，事前做好資產評估與風險評估，甚至災難復原計畫。因為資訊化的腳步不斷往前，許多公司賴以生存的關鍵技術或資料都已經資訊化，應該要有相當的投資去建置這樣的系統與政策。 VPN 產業別的特殊需要 市場上不同產業別對於VPN會有不同觀點與衍生需求，這點企業經理人在歸劃本身產業的VPN建置時應有自覺： 製造業 製造業多半在許多地點有不同的生產線，常涵蓋台灣本島甚或全球其他國家，再以總部設在台灣的方式掌控全局。透過VPN可以導入ERP、語音服務、視訊服務，並以此降低營運成本，減少差旅的費用與風險。 服務業 包括餐飲業、百貨零售業、連鎖便利商店的服務業，每天的進出貨、庫存狀況，可透過VPN連線建置，做即時資料處理，若有導入POS系統，更可以在VPN上 做安全與快速的資料交換。此外，導入語音整合的服務可以突顯出VPN建置的邊際效益，讓點對點電話互撥免費。 物流業 物流業有其產業的獨特性，必須全省（跨國）分佈據點，掌控供需時間的敏感度必須極高，也因此資料的快速傳遞，乃是物流業競爭力的展現。導入VPN以後，可 以用最少的人力，建置100個點以上的VPN網路環境。透過有經驗的ISP，能讓複雜度高的網路環境更易於維護。 實際應用 以下為某跨國製造業（A公司）在VPN建置上的實例與架構－ 該公司為傳統製造業，生產工廠在大陸、美洲、東南亞（下方圖形只舉一個工廠做說明），既有網路環境以Internet 方式做資料傳遞，並有遠端連線上來的user 做線上查詢。 其產業挑戰為： 1. Internet 資料安全問題。 2. 大陸工廠的ERP資料有回傳台灣需求。 3. 總公司資料量太大，對外頻寬不容斷線。 4. 有資料庫異地備援與分散流量需求。 5. 各點透過不同ISP 申請Internet，管理不易。

該公司企業經理人與ISP（Seednet）經過討論後，其規劃決策如下： 1. 建立大陸工廠連回台灣的VPN網路環境（如下圖所示）。 2. 總公司與分公司透過 MPLS VPN 整合。 3. 總公司為因應其他分公司的資料量，另外透過一路市內專線承接分公司來的流量，將資料量與通往大陸端的國際加值VPN流量分開。 4. 原有設備（router、firewall）可以繼續沿用。 5. 資料庫主機代管在同一ISP，並透過 IDC－MPLS VPN 與各點界接，如此一來可以確保各分公司存取資料庫的品質，達到分散流量的目的。 6. 資料庫主機代管在透過ISP的專屬式防火牆服務（IDC Firewall service）讓Internet user 進來存取資料。 7. 總公司內設置另一部資料庫主機作為備援系統，藉以達到異地備援的目的。 8. 該ISP具有產品整合經驗，透過7x24小時的網管監控服務，其主機代管、MPLS VPN、防火牆代管與兩岸VPN能單一窗口進行障礙排除。

結論： 企業經理人並非全知全能，也不必要做到全知全能，在決策過程中，首先要確定建置VPN所必須達到的目標重點，並規劃其每項建置目標在時間軸上的優先順序， 其次，要懂得去借重ISP的建置經驗。麻煩的是，雖然每家ISP都會搬弄ROI的公式，但是樣板化公式很難同時適用於各企業獨一無二的網路架構；每個人都 知道MPLS VPN應該是種最經濟的VPN建置方式，但就是有些ISP在結果上讓它更複雜且更難以維護，反而提高了持有成本。因此，找尋一個對VPN產品組合有豐富規 劃建置經驗的ISP就是一件最重要的大事。 第一課：節費之道在於簡化。選擇一個簡化便於維護的VPN架構，就能揮別MIS人力的不必要浪費。簡化流程，跳脫事必躬親的決策思維，讓一個有豐富經驗的ISP，協助你將觸角深入經濟效益的核心。 http://eservice.seed.net.tw/class/class47.html