今日VPN的應用已經非常普及了,很多中價位的家用路由器多半都已經帶有PPTP的client server架構VPN功能.

只要歸類在防火牆等級的的甚至都帶有IPSEC的CLIENT SERVER或是SITE TO SITE VPN的功能了.其中的代表作應該可以首推居易的29xx系列,幾乎是廣泛的被台商及台灣的連鎖企業所採用.尤其早期前往中國的台商,幾乎都會碰到isp有意無意的干擾台灣mail server運作,為了維持郵件的順暢而架設SITE TO SITE VPN.

時至今日,ERP,CRM等大型系統的發展,更讓許多兩岸三地有公司的朋友非用VPN不可.

但是去年開始網路上各大論壇包含香港地區的論壇都有人反映,從中國連出的PPTP或是IPSEC的反應速度變慢很多,有的區域甚至莫名其妙的會斷斷續續的斷線,或是只有50KB上下的傳輸速率.幾乎很肯定的可以判斷,中國地區的isp似乎對PPTP或是IPSEC VPN有些不友善的動作.

有興趣的朋友可以先參考這篇
http://www1.hkepc.com/forum/archive...22-page-16.html

裡頭有網友提到

1、现在时间是23:32，再说VPN。如果不用VPN落香港，我下载PCCW的文件http://roaming.netvigator.com/download/PCCW_iPC.exe，是304KBps。

2、一用VPN香港，只有553Bytes per second. 不知道深圳是否在晚上采取限速！！

MOBILE01上也有網友提到,架設LAN TO LAN 的VPN的時候,因為中國某些地區會進行干擾,會不定時的斷線.

(內有敏感字眼,如果在大陸地區的朋友請不要點選)
http://www.mobile01.com/topicdetail.php?f=110&t=598398

從台灣的GOOGLE去搜尋一下 VPN變慢或干擾,也可以找到一些資料

於是開始有人把腦筋動到過去有點昂貴的SSL VPN身上,過去國產設備廠商有SSL VPN的並不多,SSL VPN的主流廠牌大概還是以CISCO ASA和JUNIOER的SSG這類外商超級大廠為主,價格也不是非常的便宜.不過隨著國內網通廠開始有能力加入戰局,情況也開始改觀.

不過今天要介紹的算是比較特殊的應用SITE TO SITE SSL VPN,這個功能在這篇文章發表的時候還沒有正式開始販售,只是因為小弟公司有代理這個商品先行取得的測試版韌體而以.

測試環境 WAN端用了兩個億聯光纖的固定IP 對外是雙向20M的頻寬,台固路由

A點是BILLION BBIGUARD S20,預設IP就是192.168.5.1

B點是BILLION BIGUARD S5,預設IP 192.168.1.1

兩台的CPU都是Cavium CN225-200MHz,這是SSL VPN專用的處理器,具備SSL VPN的硬體加解密功能.

一般而言,使用一般的SSL CLIENT SERVER VPN的話,在BILLION的S系列防火牆我們會看到以下的畫面



點選左邊的NETWORK EXTENDER可下載SSL VPN的用戶端,之後就不需要連上網頁才能登入.右邊是網頁式的網路芳鄰,讓登入網頁的朋友可在不下載用戶端的情況下就使用網路芳鄰的功能.



以下就開始設定囉

先來設定WAN的部分



這台有支援2WAN 也可以選擇某些協定綁定由特定的WAN出去



有需要NAT功能開PORT或是DMZ的朋友可以自行設定



值得一提的是這一台的防火牆部分是物件式防火牆的設計,對於用戶多或是規則多的環境來說這樣的設計較簡單也好用



比較有趣的是在BILLION的防火牆當中,頻寬管理qos的部分也被歸類成物件防火牆的一部分,如果沒有看說明書,一般人可能會想不到頻寬管理規則隱身在防火牆功能中.



以下是SSL SITE TO SITE的設定



主要就是設定兩端一致的帳號密碼,兩邊須使用不同的網段

SERVER端設定



CLIENT端設定



設定完成記得寫入FLASH存檔



寫入完成會回到初始畫面



在系統的狀態中,可以看到SSL VPN的連線狀態,不管是CLIENT-SERVER或是SITE TO SITE的部分



實際測試site to site ssl vpn流量約5M,大概是廠商宣稱這台機器的極限



WAN TO LAN的極限小弟沒有測試,不過在我們公司的光纖上可以跑到滿速



今天就先到這邊囉!如果有想看看甚麼功能,請再留言給小弟.