網路設備小技巧 (Networking Hardware Devices Tips & Tricks)

使用 QNAP 路由器架設 QNAP QuWAN 技術分享,SD-WAN VPN 組網連線安全又簡單

分享本篇文章至社群 ( Share This ):

威聯通 自家 SD-WAN 技術服務為 QNAP QuWAN,透過 QuWAN Orchestrator 後台可以快速建立跨地區的私有網路。QNAP QuWAN 支援許多 QNAP 設備使用,網通產品方面支援 QNAP QHora-301WQNAP QMiro-201W、QMiroPlus-201W 以及部分 QGD 系列交換器,此外也支援 x86 處理器的 QNAP NAS,以及支援 Virtualization Station 相關虛擬機使用。在本篇的分享設定來說,是以 QNAP 網通產品路由器 來進行示範,以最划算價格以及設定方式來處理,輕鬆串起各地的網路連線。

威聯通 SD-WAN 網路優化解決方案:QNAP QuWAN

當想要讓分散各地的網路進行內網連接,最常見是使用 VPN 方式來進行。而以往傳統 VPN 的連線方式,都是需要有一個主要 Server,也就是說所有地區的節點都是連網最上層的 VPN Server,或者透過相互之間使用對點式網路 VPN (Site to site VPN) 來連線。不過當節點變多時,在連線上與設備上的維護也都跟著較為複雜。因此 SD-WAN (software-defined networking in a wide area network,軟體定義廣域網路),也就是透過軟體方式來重新定義各個節點間的連線方式就是簡化這些複雜的管理設定。各家廠商針對 SD-WAN 也都會有自己的技術產品,威聯通主打的 QNAP QuWAN,目前僅在虛擬機種 QuWAN vRouter Edition 會以頻寬方式區分價格收費外,其餘使用仍然為免費使用

QNAP QuWAN 官方介紹 https://www.qnap.com/zh-tw/software/quwan

▼ 透過 QNAP QuWAN 的連線方式,可以快速串器各地的機器設備連線情形。(圖片來源:QNAP 官方網站簡報)

傳統的 VPN 架構,最後的連線節點都是要連回主公司,很容易發生頻寬不足的狀況。如果要解決頻寬不足,都需要一筆不少的費用,而且對於企業級硬體 VPN 設備來說都不便宜。此時若是透過 QNAP QuWAN 的話,會依設定的節點為 HubEdge 來讓每個節點自動建立網狀式虛擬私人網路 (Auto Mesh VPN)。過程中不需要對每一台設備進行 VPN 細節設定調校,連線時也將智慧優化頻寬,支援頻寬聚合、QoS 負載平衡等技術。換句話說,只要在設備端後台啟動 QNAP QuWAN 功能連線,設定好該台的內容就能自動串起這些功能,達到網路傳輸最大效益。當這些設備中其中一個節點發生問題時,其他地區還是能夠自動串起 QNAP QuWAN 網路,不會全部掛掉連線。

▼ QNAP QuWAN SD-WAN 架構連線方式,與傳統 VPN 連線架構完全不同,不只設定簡單,連線也都是自動化完成。(圖片來源:QNAP 官方網站)

透過 Mesh VPN,QNAP 將會自動讓設備進行相互串聯。如果要使用 Hub,必須要使用公開 IP (Public IP)。(圖片來源:QNAP 官方網站簡報)

在支援 QNAP QuWAN 的 QNAP 設備來說,網通產品方面支援 QNAP QHora-301W、QMiro-201W、QMiroPlus-201W 以及部分 QGD 系列交換器,此外也支援 x86 處理器的 QNAP NAS,以及支援 Virtualization Station 相關虛擬機使用。在本篇的設備來說,會以 QNAP 路由器產品為主要示範,來架起適合自己或企業使用的 QNAP QuWAN 網路。

對於電腦、手機設備來說,可以直接透過 QVPN 程式來連線到 QNAP QuWAN 底下的設備。只是,當啟用 QNAP QuWAN 功能的話,會使用到 IPSec VPN 協定。而 QVPN L2TP 是因為 L2TP 是 over IPSec protocol,因此,當路由器開啟 QuWAN 功能的話,在 QVPN 伺服器功能將只剩下 QNAP QBelt 以及 OpenVPN 服務可以使用。關於 QVPN 以及 QNAP QBelt 相關資訊,可以參考:透過 QVPN 軟體輕鬆使用 QNAP QBelt VPN 連線,防止惡意攻擊

▼ 在個人電腦、手機端可以安裝 QVPN 程式,就可以連到 SD-WAN 內來存取相關資料。(圖片來源:QNAP 官方網站簡報)

QNAP QuWAN 基本概念

如同上一章節有提到,QNAP QuWAN 為 QNAP 雲端型 SD-WAN 網路解決方案,只要 QNAP 設備有支援就能使用。如果要控管所有的 QNAP QuWAN 下的所有設備,可以透過 QNAP QuWAN Orchestrator 平台來控制所有的節點。在此之前,我們要先了解如何幫設備設定與部署 QuWAN 相關功能。

QNAP QuWAN 裝置管理階層分為區域、站點、裝置角色

如果要使用 QNAP QuWAN 的功能,就必須要先申請 QNAP ID 帳號,並且在帳號內可以先建立組織(My Organization)。接下來再依組織的規劃,加入使用者或管理員進來共同控管。組織中會開始往下設定細節,在此會依網域區域分為My global region(我的全球區域)以及My China region(我的中國區域)。由於中國當地有特別的法規規定,如果要與其他區域連接的話必須先向當地機關提出申請,在此老貓就先以全球區域來進行測試。

▼ 在 QuWAN 中,可以設定組織、Domain、區域。(圖片來源:QNAP 官方網站簡報)

▼ 在同個區域內,可以再往下細分設定 Site、裝置。(圖片來源:QNAP 官方網站簡報)

QNAP QuWAN 裝置角色 Hub、Edge 的差異

在 QNAP QuWAN 底下的每一個設備來說,只有 2 種裝置角色代表,分別為 Hub 與 Edge。主要差異性會以每一個節點設備對外的網路連線方式來決定,如果對外是有「公共 IP 位址」即 公開 IP、Public IP等,就可以設定為 Hub。在 QNAP QuWAN 底下的每一個 Hub 都為自動構成網狀網路,在底下每個 Hub 會互相連接,這也是之前提到的 Mesh VPN 概念,所以也是需要一個公開 IP 位址。

在網路地址轉譯 (NAT) 設定之後才配置的,或者該裝置使用私有 IP 位址(Private IP),則無法做為 Hub 使用,只能做為 Edge 使用。做為 Edge 使用的裝置,將會以軸輻式 (Hub-Spoke) 網路方式,連線到第一台 Hub 使用。因此,對於 Hub 與 Edge 最大的差別在於 IP 的種類,將會以 Public IP 與 Private IP 來進行區分。

以生活化的舉例來說,如果該裝置可以 PPPoE 撥接上網都是使用 Public IP,而單純接在小烏龜、由 DHCP 從路由器自動取得 IP來說,都是使用 Private IP。有一點值得提醒的,如果該設備同時可以支援 Public IP 與 Private IP 來說,則可以選擇為 Hub、Edge 都沒有問題,但前提在這個組織中,一定至少要有一台 Hub 裝置角色才行。而第一台加入 QuWAN 的 Hub,在此稱之為 Primary Hub。接下來若有其他 Edge 設備加進來後,都會自動與第一台 Hub (Primary Hub) 進行連接,也將會透過此台與其他 Hub、Edge 進行連線,因此建議網路最好的設備可以設定為 第一台 Hub (Primary Hub)。另外,透過後台可以更改第一台 Hub 設備內容,這部分隨時都可以進行更動。

    QNAP 文件說明:
  • Hub:在區域性層級部署的主要 QuWAN 裝置,這個裝置會連接至網路中其他裝置以構成網狀網路。Hub 需要公用 IP 位址。
  • Edge:在區域性層級部署的端點 QuWAN 裝置,這個裝置會連接至 Hub 以構成軸輻式 (Hub-Spoke) 網路。這類裝置可使用私人 IP 位址、公用 IP 位,也可以設定在 NAT 的後面。

▼ 對於 QuWAN Hub 來說,必須使用公開 IP,並且會自動與其他 Hub 互相連結。(圖片來源:QNAP 官方網站簡報)

▼ 對於 QuWAN Edge 來說,會自動連接到第一台 Hub為主,然後再透過這台 Hub 來與其他設備連接。(圖片來源:QNAP 官方網站簡報)

▼ 如果有跨 Domain 需求的話,可以提出申請透過專線來進行連接。(圖片來源:QNAP 官方網站簡報)

使用 QNAP 路由器設定 QNAP QuWAN

這次的例子來說,老貓先以手上 QNAP 路由器:QNAP QHora-301W 有 1 台、QNAP QMiro-201W 有 2 台、QNAP QMiroPlus-201W 有 1 台,總共 4 台設備來進行設定示範。在此就以 3 台 Hub、1 台 Edge來進行設定測試,觀察這些裝置間會如何進行連線,並進行連線測試。

設定 QNAP QuWAN 前注意網段設定事項

在使用 QNAP QuWAN 時,不管你是 Hub 或 Edge,都可以互相連線使用,因此在區網的私有 IP (Private IP) 來說,不能使用相同的網域網段,否則會有衝突問題。

對於要連線 QuWAN 的裝置都先需要進行網段分配,這部分不論是使用 QuWAN 或 傳統的 VPN site-to-site,都是相同的過程。舉例來說,QNAP 路由器的預設網段預設為 192.168.100.x,因此其他網段的設備,或是就是從 192.168.110.x 來設定,至於為什麼不從 192.168.101.x 開始呢?這是因為路由器會有訪客無線網路,其網段預設為 192.168.101.x,因此直接跳多一點比較不會衝突也好記憶,像 QHora-301W 還可以設定許多不同的 VLAN,可設定的網路更多。因此,在設定跳多一點的網段來說,設定起來也容易許多。雖然如果網段有衝突,在加入 QuWAN 前也會跳出提醒視窗,不過這部分建議還是先設定好就能解決。

  • QNAP QHora-301W
    • 裝置角色:Hub
    • 網段設定:192.168.100.x
  • QNAP QMiro-201W
    • 裝置角色:Hub
    • 網段設定:192.168.110.x
  • QNAP QMiro-201W
    • 裝置角色:Edge
    • 網段設定:192.168.120.x
  • QNAP QMiroPlus-201W
    • 裝置角色:Hub
    • 網段設定:192.168.150.x

▼ 除了 QNAP 旗艦級路由器 QNAP QHora-301W 外,還有 QNAP QMiro-201W、QNAP QMiroPlus-201W 有支援 QANP QuWAN。

在設定設備網段時,都是從「網路 → LAN」頁面進行設定,在更改時請務必更改 LAN 固定IP位址、起始 DHCP IP 位址、結束 DHCP IP 位址、DNS 伺服器位址,總共有 4 個地方需要進行修正。如果說有開啟訪客無線網路服務的話,也請記得更改剛剛的 4 個選項。等這些的設定完成就續後,就已經完成最簡單的前置作業內容。

▼ 在 LAN 端要記得更改 4 個地方,包含 LAN 固定IP位址、起始 DHCP IP 位址、結束 DHCP IP 位址、DNS 伺服器位址。

▼ 當有開啟訪客無線網路時,也記得跟著更改這些設定值。

▼ 如果有遇到網斷有衝突時,雖然會跳出提醒視窗,不過老貓還是覺得事先先設定好,就不會有這些問題,也比較好日後的記憶。

事先設定好 QuWAN 的組織、站點等資訊

剛剛所提到關於 QuWAN 的組織、站點等相關資訊,都可以從 QNAP 帳戶頁面進行設定,之後在設定路由器的 QuWAN 選項時會更為容易。在 QNAP 帳戶中點選組織後就可以建立組織,不過預設已經有一組設定好,我們可以直接以設定好的內容進行細節更改。在內部來說,比較會需要設定的會是站點,可以依自己的需求進行新增。當這些設定都完成之後,之後要新增 QuWAN 相關設備來說,過程就會容易許多。

QNAP 帳戶 https://account.qnap.com/

▼ QNAP帳戶中,可以設定 QuWAN 的組織相關內容,在設定 QuWAN 前我們可以先設定這部分細節。

▼ QNAP帳戶中,可以設定 QuWAN 的組織相關內容,在設定 QuWAN 前我們可以先設定這部分細節。

▼ 新增站點時,可以依需求來進行新增記錄。

▼ 在此例中,老貓設定了4個不同地點來進行測試。

從 QNAP 路由器的 QuWAN 選項進行設定

對於這 3 種 QNAP 路由器:QNAP QHora-301W、QNAP QMiro-201W、QNAP QMiroPlus-201W 都是採用 QuRouter 系統,雖然版本略有不同,但在設定的過程中完全相同。在設定時透過左側的 QuWAN → QuWAN 設定進行連線設定。在連線到 QuWAN 時,請記得要先申請 QNAP ID 帳號才可以使用,並且在設定的過程中會與原本的 myQNAPCloud 斷線,因此設定時老貓建議是在機器旁邊進行設定比較容易。

▼ 在 QNAP QHora-301W 後台中,左側就可以看到有 QuWAN 設定頁面,這部分不管是使用哪一台 QNAP 設備都是相同的設定過程。

▼ 要使用 QuWAN 必須先要擁有 QNAP 帳號 (QNAP ID),才可以進行下一步設定

在 QuWAN 的設定過程中,就是挑選組織、區域、站點後,再選擇裝置角色為 Hub 或 Edge 即可完成連線設定。如果在剛剛的細節都有事先考慮到的話,在這頁的設定會非常迅速就進行設定連線。當連線成功後,會在頁面的「QuWAN Orchestrator 連線狀態」顯示已連線。只要這部分有先連線成功後,接下來就等 Hub 連線至其他 Hub 與 Edge 的連線狀況回報。在與其他設備進行連線時,根據老貓的經驗會需要多一點的時間,不一定在幾分鐘內就可以連線完成,這部分可能要多留一點時間給後台自動進行網路最佳化串接,這部分老貓也建議當連線成功之後,讓設備先重新開機後會比較穩定。

如果在設定 QuWAN 的連線過程有問題的話,先檢查各設備是否皆為使用最新的韌體狀態。如果沒有的話請先更新韌體,或者進行重新開機讓設備重新連線 QuWAN。目前老貓透過這兩種方式,就能讓這次測試的 4 台 QNAP 路由器成功連線到 QuWAN 來使用。如果還是有疑問,也可以詢問一下 QNAP 官方人員來幫忙排除問題。

▼ QNAP QuWAN 設定中,只要依序往下選擇即可完成設定。

▼ 在此處的站點內容,就是我們剛剛已完成設定的選項。

▼ 在裝置角色方面,此台 QNAP QHora-301W 是使用公開 IP,並且也是第一台加入 QuWAN 網路的設備,因此選擇 Hub。

▼ 在進行 QuWAN 連線設定前,會有貼心提醒將會重新設定 QNAP ID,有些功能也將無法使用,因此設定連線時待在設備旁邊最為容易。

▼ 當 QNAP QHora-301W 完成設定時,會看到已連線的標示,接下來當有新增其他 QuWAN 設備時,下方就會顯示連線到其他 Hub、Edge 的連線狀態。

▼ 在新增其他台 QuWAN 路由器時,就可以選擇為 Hub 或 Edge 裝置角色。在此因為此設備沒有使用公用 IP,因此只能選擇為 Edge。

▼ 當新增第 2 台 Edge 後,就可以從該頁直接看到與其他設備的連線狀態。接下來其他的裝置,便依此類推下去。

從 QNAP QuWAN Orchestrator 後台查看資料

透過剛剛的方式,就能順利讓所有的 QNAP 網通設備連線到 QuWAN,如果想一次設定多台 QuWAN 設備,可以連線到「QuWAN Orchestrator」後台進行設定。如果想要一次看到所有 QuWAN 裝置,或者設定相關功能,都是由 QuWAN Orchestrator 來進行設定。透過此後台,還可以快速連線到裝置設定,並且觀看每一台裝置的連線情形與網路穩定度。最重要還可以看到整個 QuWAN 的拓樸圖,了解到各個設備之間的連線狀態,以及 IP 相關設定細項。另外,也可以設定防火牆內容,並選擇要套用在單台設備,或者所有 QuWAN 的設備裝置。

QuWAN Orchestrator https://quwan.qnap.com/

▼ 在 QuWAN Orchestrator 的頁面總覽中,可以立即看到各個設備的相關圖,下方還有連線狀態。

▼ 透過 QuWAN 裝置中,經過區域挑選後,就可以選擇 QuWAN 裝置,就可以針對該裝置來了解其狀態。

▼ 每一台連線到 QuWAN 的網路路由器設備,都有許多細節可以查看,點選右側還有看到「QHora 設定」連結,點選後就會連到 QHora 裝置。

▼ 在 QNAP QHora-301W 設備中,還可以設定服務品質。

▼ 對於不同的設備,在 QuWAN Orchestrator 的產品項目中略有一些不同。

▼ 在 QuWAN Orchestrator → QuWAN 拓樸 → 拓樸設定,即可看到所有在 QuWAN 下的所有裝置。

▼ 在同頁面下,還有列出各種設備的型號以及 IP 使用類型。

▼ 點下 My global region 旁的編輯,可以看到 Hub 的連線順序,在此可以看到第一台為我們所設定的 QNAP QHora-301W,排序在第一名,在此可以拉其他裝置成為第一台 Hub 設備。

▼ 在 QuWAN Orchestrator → QuWAN 拓樸 → 區域間連結設定,可以將不同區域的 Hub 進行連接,這部份會受到不同國家法規設定而要提出申請才行。

▼ 在 QuWAN Orchestrator → QuWAN 拓樸 → IP / IP Subnet 摘要,可以看到下方的各個設備 IP 列表。

▼ 在 QuWAN Orchestrator → 通用設定 → Segment,透過通則可以一次設定多台機器的連線設定,包含防火牆規則。

▼ 在 QuWAN Orchestrator → 韌體管理,可以看到所有設定的相關韌體狀況,也可以由此後台直接進行韌體更新。

實測 QNAP QuWAN Hub、Edge 互相連接完全沒有問題

這次測試老貓使用 3 種 QNAP 路由器,包含 1 台 QNAP QHora-301W、2 台 QNAP QMiro-201W、1 台 QNAP QMiroPlus-201W,分別設定成 3 台 Hub、1 台 Edge來進行設定測試。老貓以 第一台 Hub 設備、一台 Hub、一台 Edge 來互相連接 4 台 QNAP 路由器後台,以及底下的 NAS 進行連線。在測試結果中可以確認,只要有連接上 QNAP QuWAN 之後,不管是使用 Hub 或者是 Edge,都是可以互相連接,包含底下的 QNAP NAS 都能順利連接。

▼ 在這次 QNAP QuWAN 的網路拓樸圖,老貓將裝置角色以及IP都列出來。

▼ 先以 QNAP QHora-301W 的網路來測試,此為 QuWAN 中第一台 Hub 設備,可以順利連線到其他 Hub 以及 Edge 相關設備。在測試連線到 NAS 時,也完全沒有問題。

▼ 以 QNAP QMiroPlus-201W 的網路來測試,此為 QuWAN 中另一台 Hub 設備,可以順利連線到其他 Hub 以及 Edge 相關設備。在測試連線到 NAS 時,也完全沒有問題。

▼ 以 QNAP QMiro-201W 的網路來測試,此為 QuWAN 中唯一一台 Edge 設備,可以順利連線到其他 Hub 相關設備。在測試連線到 NAS 時,也完全沒有問題。

結論:實測 QNAP QuWAN 為容易上手的 SD-WAN 技術服務

從文章一開始就有提到,威聯通 自家 SD-WAN 技術 QNAP QuWAN,目前支援的設備有網通路由器產品(如 QNAP QHora-301W、QMiro-201W、QMiroPlus-201W) 以及部分 QGD 系列交換器,也支援 x86 處理器的 QNAP NAS,以及支援 Virtualization Station 相關虛擬機使用。除了虛擬機應用之外,如果是使用 QNAP 路由器、NAS 等設備來連線 QNAP QuWAN,目前都是屬於免費服務。

在本文章的範例,主要是老貓以最簡單容易上手的方式,就是直接透過 QNAP 路由器來進行連線 QNAP QuWAN,日後有機會再來分享 QNAP NAS 來連線到 QNAP QuWAN 方式。 在設定過程中,老貓也提醒過相關的注意事項,接下來會發現過程十分容易就能順利設定成功。目前在網路上的分享文章較少,基本上照著老貓的分享方式設定都能順利使用,達到不同區域的 SD-WAN VPN 組網架構。不需要了解太多 VPN 設定方式,就能自動串起每一台路由器網路設備,很容易就能連向其他地區的路由器以及底下的設備。

這部分對於企業應用來說,老貓認為可以透過最容易入手的 QNAP QMiro-201W 就能讓網路加入 QNAP QuWAN 中。若是要讓員工在家也能連線公司網路的話,也不想讓員工理解太多網路專業名詞與知識內容的話,就直接將 QNAP QMiro-201W 設定以 DHCP 自動取得 IP 的方式來進行上網,裝置角色也直接設定為 Edge 使用。只要讓他帶設備回家,將家裡的網路線插入到 WAN 端,讓 QNAP QMiro-201W 可以順利上網的話,只要連到這台的無線網路,就能自動連到 QNAP QuWAN 下公司的其他台設備。因此,要進行遠端 ERP 操作,或者是遠端桌面電腦連線、NAS 的資料存取完全都沒有問題。對員工或者 MIS 來說,這樣真的是一種最簡單的處理方式。對於有跨區域不同站點的 VPN 連線需求的使用者來說,透過 QNAP QuWAN 的連線方式,真的是屬於很容易上手的 SD-WAN 連線技術。

分享本篇文章至社群 ( Share This ):

Leave a Comment

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *

*