我是一家小型台資電子公司的新網管,總公司在台灣台中,工廠在中國深圳。兩地之間的聯繫非常密切,除了有E-Mail、網路電話、視訊會議外,還有兩台16路監控系統供台灣隨時了解大陸廠的狀況。台灣廠的網路設備有雙向512K ADSL一條、封閉式專線VPN、聯強寬頻分享器一台、東訊VOIP Gateway一台(2 FXO、2 FXS)和Sony視訊會議設備一套,Web Server和Mail Server全部委外。中國廠的網路設備為:2M/512K 企業型ADSL一條(提供員工上網)、2M/512K 個人型ADSL一條(提供遠端監控)、封閉式專線VPN、TP-Link寬頻分享器一台、東訊VOIP Gateway一台(4 FXO)和Sony視訊會議設備一套。其中網路電話、視訊會議、遠端監控主要使用專線VPN,雖然線路非常穩定,不過因為頻寬不大,所以常常會發生互相干擾的狀況。

  因為公司原本並無專業的IT人員,所以之前的資訊規劃是由很多廠商所陸續建置的。公司希望我能夠根據現況和公司需求提出改善或整合的規劃,目前網路部份的需求如下:

  1、降低線路費用,目前光專線和ADSL的費用一個月就要近六萬元,成本實在太高!
  2、整合所有設備,方便管理和除錯。
  3、增加頻寬並確保網路電話和視訊會議的品質。
  4、控管員工上網、收發郵件和檔案傳輸。

  針對公司的現況和需求,首先當然要先找解決方案來取代專線VPN,本來只想找台有QOS的Multi Wan Router,但是因為中國電信對VOIP和視訊會議的限制,所以一定得用VPN,因此最後便改尋找有支援QOS和VPN的Multi Wan Router。從高階到中低階,從進口到國產,因為預算的限制,本來已鎖定幾台國產的設備,售價約十多萬左右。不過後來經過網友的介紹認識了QNO,經我提出需求後業務建議使用FVR-9416,功能差不多但價格只要原本的1/3!因為時間有點緊迫,所以抱著半信半疑的心先買了兩台回來測試,在台灣先大略測試了兩天左右,就帶過去大陸實際上線再做細部測試。

  為了不影響公司正常運作,因此仍先保留專線VPN,台灣部份就直接先將9416用來取代原本的寬頻分享器,而大陸部份則將兩條ADSL全部整合到9416後取代原本的寬頻分享器。

  買這台最主要的目的就是VPN,所以當然就先測試VPN。一開始我只先建一條VPN,所有設備都是同網段(192.168.168.X),分別測試檔案傳輸、網路電話和視訊會議。測試效果還不錯,但有幾個問題:

  1、白天上班時間速度還蠻快的,但晚上速度會變得極慢!據中國電信的說法是因為晚上上網人數會激增的影響,等他們過一陣子升級設備和對外線路後會改善。

  2、因為大陸是浮動式IP,所以有去申請3322.org的DDNS。一開始VPN是用DDNS和台灣做連線,但是因為中國網路不是很穩定,平均兩、三天左右會斷一次線,而每次斷線後VPN重建的時間都至少約需5分鐘!不過後來經QNO客服指導後改用較簡單的E-mail認證,斷線後VPN重建的時間大幅縮短為20秒內!

  3、分開測試時效果都還不錯,但只要同時使用某兩個服務則會互相干擾、影響!我想這應該是大陸網路不穩定和頻寬不足的關係,於是便改成用多條Wan建立多條VPN。因為主要有檔案傳輸、網路電話和視訊會議三大服務,所以打算用三條ADSL來建立三條VPN,於是大陸廠又多申請了一條個人型ADSL。雖然台灣這邊網路較穩定,但是為了提供更大頻寬和希望有更好的網路品質,便將原本的雙向512K ADSL退掉,改申請一條3M/640 ADSL和一條2M/512 ADSL。另外因為三條ADSL不能同網段,所以就把9416的IP設定改成192.168.168.X/16。但後來又因為網路電話的網路設定限制,如果是192.168開頭的IP沒辦法把Subnet Mask設成255.255.0.0,於是只能選用172.16或10開頭的IP,後來為了好記就選用10開頭的IP!

最後網路架構和設定如下:

對外頻寬:
  台灣:Wan1(中華電信3M/640K固接型)、Wan2(速博2M/512固接型)
  大陸:Wan1(中國電信2M/512K企業型)、Wan2和Wan3(中國電信2M/512K個人型)

VPN設定如下:

     大陸    <-->   台灣

10.20.10.X/24(Wan1)10.10.10.X/24(Wan1) =>資料傳輸、遠端管理
10.20.11.X/24(Wan3)10.10.11.X/24(Wan1) =>網路電話
10.20.22.X/24(Wan2)10.10.22.X/24(Wan2) =>視訊會議

設備IP設定如下:

     大陸    <-->   台灣

10.20.10.10/16(9416)10.10.10.10/16(9416)
10.20.10.X/24(Wan1)10.10.10.X/24(Wan1)
10.20.11.X/16(Wan3)10.10.11.X/16(Wan1)
10.20.22.X/16(Wan2)10.10.22.X/16(Wan2)

  就這樣測試了幾個月,白天都沒問題,但晚上品質仍極差,因此常常需要將設備改回使用專線!此問題直到今年三月中國電信改善後才解決,再持續測試了一個月後確定沒有問題且有達到預期的效果,才在今年五月底將專線解約。

  處理完VPN的問題後,接下來要將委外的伺服器移回到公司內部。架服務器不難,不過既然買的是Multi Wan Router,當然會想試一下Load Balance!可惜9416只有Outbound Balance,因此Inbound Balance的部份就改由自架的DNS來設定。雖然不是很完整,但也不無小補。

9416相關設定如下:

  1、透過Port Rage Forwarding設定DNS、Web、Mail、FTP和遠端管理等Server。
  2、因為部份網路設備沒辦法更改管理界面的Port Number,所以透過One to One NAT,將多餘沒用到的IP指定到該設備,另外再透過Firewall裡的Access Rule來做保護!
  3、為了保證伺服器的對外頻寬,於是透過QoS來保證伺服器的最小頻寬和最大頻寬!
  4、為了配合Web Server所以將Remote Management的Port Number改掉。
  5、開啟Firewall和System Log,並透過Syslog Server來記錄、整理和分析網路狀況。

  由於公司希望能對員工上網做控管,因此先透過DHCP Server來針對電腦的網路卡MAC發放IP,再透過Firewall裡的Access Rule來控管那些員工不能上網和某些員工可以用某些服務。

  就這樣透過上面的設定來達到公司的需求。其實9416的功能非常完善,其穩定性和效能也十分出色。上面所提也只是它的一小部份應用,到目前為止我們也還在不斷的研究如何發揮它的潛力,相信只要花點巧思就可以讓它有更強、更棒的應用!最後,謝謝QNO客服們有耐心的陪我們討論、測試,因為有你們的付出讓我們覺得購買QNO的產品是最超值的。