在企業邁向跨區域辦公與混合雲架構的今日,傳統的專線或繁瑣的手動 VPN 設定,早已無法滿足現代資訊網路的高效與安全需求。為了解決多據點連網設定複雜、維護成本過高的問題,軟體定義廣域網路(SD-WAN)技術已成為當前企業網路架構的主流。
QNAP 近年推出的 QuWAN SD-WAN 解決方案,正是一款整合雲端管理與網路虛擬化的雲端架構平台,能協助企業快速建構網狀拓撲網路。繼之前 CyberQ 報導過的這篇 輕鬆建構 SD-WAN,用 QHora + QuWAN 加速企業網路安全與管理 探討 Qhora 系列架構路由器後,現在又有 QuWAN Express / Super Node 這樣的方案出來,官方版提供給用戶每月 15GB 流量免費的服務,這要怎麼用呢 ?
CyberQ 實作與實測這個架構,可以透過 QNAP 的 QVPN Service 3 從零開始實作包含 Super Node(超級節點)在內的企業級網路佈署,也順便說明這個方案和先前 QNAP QuWAN vRouter 的差異。
認識 Super Node 核心架構與自動指派機制
在 QuWAN 的網路拓撲中,節點的角色定位決定了資料流向與網路效率。傳統的 VPN 需要網管人員手動指派每一條連線路徑,而 QuWAN 則引入了智慧化的動態架構。透過 QuWAN Orchestrator 雲端管理平台,系統可以透過 Super Node,連接你在不同辦公室區域的不同 NAS 設備,他們之間就可以實現互通互聯。
CyberQ 實作的方式如下 :
首先,我們到 QVPN Service 3 這個軟體中開啟相關功能,點選左邊選單的 QuWAN ,再點選 QuWAN Express 來迅速讓你這台 NAS 加入 Supernode 連線。系統會自動幫你檢查網路,並把 IPSec 相關的 VPN 服務先停用。
在佈署跨據點網路時,首要考量的絕對是零信任與存取控制。在正式加入 QuWAN 網路之前,QVPN VPN 伺服器會嚴格執行必要的安全檢查。首先,NAS 設備必須具備穩定的網際網路連線能力,以維持與雲端控制台的即時同步。其次,為了防範過時加密協定的安全漏洞,系統會強制要求設備必須確認已停用 L2TP/IPSec (PSK) 服務,因為傳統的預共用金鑰容易面臨暴力破解與管理不當的風險,停用此項服務能有效減少攻擊面。
最後,設備必須通過嚴格的 QNAP ID 身分驗證。這種結合雲端帳號的身分綁定機制,能確保只有經過授權的設備才能進入企業的私有網路拓撲。
如果設備在初始化過程中尚未連結雲端帳號,就沒有辦法繼續完成設定了,所以要點選 QNAP ID 登入,系統會自動讓你進入登入時序。登入成功後就會出現下面的畫面 :
但這邊千萬要記得,請點選畫面中間,裝置資訊旁邊的小修改圖示按鈕,我們必須要在編輯裝置資訊的選單中,手動將區域模式切換為超級節點 Super Node,使其扮演該區域的核心樞紐,負責匯聚並轉發來自各個 Edge 邊緣端點的網路流量,設定畫面如下,不能讓它自動選區域,你會沒辦法成功完成 Super Node 的加入。
當設定正確後,點選畫面下方的加入 QuWAN Orchestrator 按鈕,這個就想成是 QNAP 網路設備與 NAS 設備的一種組網專用網路管理中控台就好了,類似 Unify、Zyxel Nebula 的中控台機制。經過一番自動連線後,很快地就出現下方的畫面,成功完成加入 QuWAN Orchestrator 。
完成基礎設定後,管理員皆可在主介面上查閱完整的裝置配置資訊,畫面中會清晰標示該裝置所屬的組織、區域、裝置名稱以及當前所擔任的 Edge NAS 角色。
接著我們將另外二台不同地點的 NAS 設備也陸續設定透過 Super Node 加入 QuWAN Orchestrator 。
都完成後, QuWAN Orchestrator 主要頁面就會看到這三台 NAS 已經成功連到 Super Node 了。
雲端集中管理與架構落地
當所有的實體與虛擬端點設備皆順利通過安全合規檢查,並成功與雲端對接時,系統便會彈出成功的提示訊息。當畫面上顯示「已成功加入 QuWAN Orchestrator」時,代表該設備已正式納入管理,並獲得了專屬的內部虛擬 IP 位址(例如 198.18.0.2),隨後便可透過雲端平台全面管理網路連線與相關服務。
這種架構全面落地後,日常的監控與流量分析將變得極為直覺,在 QVPN Service 3 的總覽介面上,網管人員可以即時監控執行中的本機 VPN 伺服器(例如安全性極高且由 QNAP 開發的 QBelt 協定)、各個外網實體介面的流量吞吐數據,以及跨地域安全隧道的虛擬連線狀態。
雲端協調、在地執行的架構,讓資安合規顧問與高階網管人員能夠在單一畫面上掌握全球據點的網路狀態。藉由將複雜的路由計算與金鑰交換交給雲端排程,企業不僅順利解決了據點擴展時的佈署問題,更在傳輸效率與資安防護之間取得平衡。
實務上,使用 HBS3 軟體進行 NAS 之間指定資料夾的同步或備份,可輸入遠端 NAS 的 IP,是在 Super Node 中組好的這三台各自獨立的新虛擬 IP ,比方說 198.18.0.2、198.18.0.3、198.18.0.4,就能夠彼此互聯互通。
QuWAN Express / Super Node 與 QuWAN vRouter 的差異
不過,實務上 QuWAN Express / Super Node 的方案,是有一個限制的,它只能夠讓三台 NAS 裝置連線到 Super Node 方便你跨廠區、跨國組網,但如果更多台 NAS,更多台不同設備,你就得需要去設定更複雜但功能更多的 QuWAN vRouter,以下是 CyberQ 彙整的二者差異 :
| QuWAN vRouter (虛擬路由器) | QuWAN Express / Super Node (雲端超點) | |
|---|---|---|
| 核心定位 | 企業級軟體定義廣域網路核心中樞(Hub 節點) | 輕量化雲端中繼型虛擬私有網路(Edge 節點擴充) |
| 部署平台 | VMware ESXi、Proxmox VE (PVE) 等虛擬化系統 | 直接內建於 QNAP NAS 的 QVPN Service 3 之中 |
| 網路主導權 | 可接管整個辦公室網段,控管所有 VM 與電腦流量 | 僅作用於單台 NAS 本體或極少數指定的關聯設備 |
| 資安合規防禦 | 具備 Layer 7 應用程式防火牆、深度網管、入侵防禦(IPS) | 基本的加密安全通道(QBelt VPN / IPsec),無進階資安防禦 |
| 實體公用 IP 需求 | 強烈建議具備固定的實體外部網路公用 IP 以發揮最佳效能 | 完全不需要公用 IP,能自主穿透各種複雜的防火牆與 NAT |
| 資源消耗與配置 | 需分配虛擬化平台獨立的處理器與記憶體,配置虛擬交換器 | 完全由 NAS 系統服務執行,不佔用額外虛擬化主機資源 |
靈活的虛擬化佈署:QuWAN vRouter 虛擬路由器
除了實體 NAS 設備外,現代企業環境大量導入虛擬化技術以精簡硬體成本。透過 QuWAN vRouter,網管人員可以在虛擬化平台上執行專屬的虛擬路由器。在佈署初期,網管人員需要透過建置幫手進行初始化設定,在安裝畫面中必須指定映像檔的位置與名稱、分配合適的處理器核心數量,並選擇該虛擬路由器要加入的企業組織拓撲。
當虛擬路由器安裝完成並正式啟動後,便可透過控制台即時掌握其運作動態。
在 QuWAN vRouter 的網路建置幫手介面中,管理員可以確認設備與 QuWAN Orchestrator 的連線狀態已轉為綠燈的「已連接」,並能同步檢視虛擬交換器的細部配置,自由彈性地開啟或關閉各個 WAN 與 LAN 連接埠的連線。這種軟體定義的配置方式,讓企業在面對網路架構調整的問題時,不需重新拔插實體線路,即可線上調整網路出口,但是設定上要小心,稍有不慎,沒設定好的 Port 就會沒辦法連線。
也因此,較不複雜的企業環境, NAS 設備點不多的公司或組織、家庭與跨國工作室,採用 QuWAN Express / Super Node 方案會比較容易完成組網,設定上也簡單許多,很值得一試。
CyberQ 測試過程中覺得 Super Node 還算方便,所以除了官方提供大眾的每月免費 15GB 流量的 Super Node 外,我們又加買了每月 200GB 流量來實測與工作,在跨區域的 NAS 存取和交換資料上,算是還不錯的易用服務,需要更多流量就得再支付一些費用。而 QuWAN vRouter 雖然相對來說是免費的,但設定真的較複雜,你的 NAS 最好有一端 Port 是能連到中華電信設備或連接在上面的防火牆,你的防火牆也需要另外切 VLAN 給 QuWAN vRouter 使用才會比較順利能設定,我們之後會在另一篇做詳細說明。
