| HiNet Internet VPN服務簡介 |
隨著各種企業內部資訊應用的快速發展,與雲端服務的盛行,企業對於高速頻寬的需求日益增加,同時為滿足需要同時上網和連接企業內部網路,越來越多的客戶考慮透過Internet建立VPN連線,或是擔任MPLS IP-VPN的支援/備援線路。
為滿足企業客戶的VPN與上網需求,中華電信推出「HiNet Internet VPN」服務,透過HiNet寬頻上網服務,並搭配VPN設備代裝代維及代管服務,提供客戶高速、穩定的CPE-based IPSec VPN連網與Internet上網服務,降低企業客戶自建VPN維運難度,與設備資本資出,並配合企業客戶的公司規模不斷成長,彈性擴充VPN網路架構。 |
| 關於企業客戶自建VPN的難處 |
企業客戶使用網路設備並透過Internet網路,建立VPN的模式稱為「CPE-based VPN」,與租用電信業者提供的「Network-based VPN」(例如MPLS IP-VPN)有所區隔。
目前企業所使用的CPE-based VPN中,以IPsec Site-to Site VPN為主流,主要用於總公司跟分公司(或各門市、各駐外據點)之間建立VPN連線。由於各據點都需要連回總公司建立IPSec VPN Tunnel,導致總公司所使用的VPN設備必須足以負荷全公司的VPN連線需求,同時上網頻寬也必須提升,避免VPN連線速度的瓶頸卡在總公司的VPN設備,或總公司的連網頻寬。
因此當企業客戶自建VPN時,除了需耗費資本支出購齊全公司所需使用的VPN設備之外,最讓企業老闆傷腦筋的是總公司的VPN設備投資。一方面總公司需要購買較大台的VPN設備,費用會提高,另一方面,隨著分公司或各據點的數量不斷增加,或是提升頻寬,可能會讓總公司的VPN設備無法負荷,但購買更高階的VPN設備會增加財政負擔;如果不添購新設備,又會影響公司業務發展,因此是否能有更具彈性的CPE-based VPN部署方式,減輕企業客戶負擔,同時又能配合公司發展即時擴充VPN網路架構呢?
此外,當企業自建VPN的規格不斷擴充時,VPN網路的維運及管理也成為IT部門的沉重負擔。當各據點開始反應VPN連線發生障礙時,究竟是VPN設備故障?還是寬頻電路異常?如果各據點還有自建AP(無線網路基地台),都會讓IT部門在查測過程中疲於奔命。是否能有單一障礙受理窗口,負責VPN障礙查測與報修服務呢? |
| 為客戶的需求而誕生--「HiNet Internet VPN」服務 |
為解決傳統IPSec VPN客戶需自備大型VPN設備所衍生的投資與後續擴充問題,中華電信於HiNet網路端建置電信等級VPN設備(雲端閘道器),並搭配各型VPN設備代裝代維及代管服務,由中華電信提供CPE-based VPN的整體解決方案。
中華電信推出的「HiNet Internet VPN」服務,讓企業客戶的各據點,均透過Fortinet公司或SOPHOS公司的各型號VPN防火牆,與HiNet雲端閘道器建立IPSec Site-to-Site VPN。由於客戶的各據點不再直接跟總公司建立VPN連線,原本客戶總公司需負荷全部的VPN運算能力,均改由HiNet網路端集中處理。
客戶參加「HiNet Internet VPN」服務,從總公司至各據點所使用之VPN設備,均由中華電信提供代裝代維與代管服務,協助客戶快速部署VPN網路,同時透過「HiNet企業網管中心 (eNOC)」,提供客戶寬頻電路、各點VPN設備連線狀態等資訊。
客戶如需強化資安防護,或需要L7應用程式過濾等進階QoS功能,可額外申請Fortinet UTM功能授權(提供IPS、Anti-Virus、Web Filtering與Application Control),或直接選擇SOPHOS各型號UTM(均已內建UTM功能授權,包含IPS、Anti-Virus、Web Filtering與Application Control)。 |
| 「HiNet Internet VPN」運作模式 |
HiNet Internet VPN服務採用「Hub-and-Spoke」(樞紐輻射式)架構,以位於HiNet網路端的電信級VPN收容設備(雲端閘道器)為樞紐,企業客戶的總公司及各分據點均直接跟網路端VPN設備建立IPSec Site to Site VPN通道,總公司與各分據點之間的VPN連線並不直接互連,但可透過網路端VPN設備再連至總公司或其他各據點。此架構可大幅減輕總公司VPN設備的負擔,且可伴隨企業規模成長,不斷擴充VPN網路的連線據點數量。
HiNet Internet VPN服務為善加運用每條電路的頻寬,總公司與各分據點的上網流量,均採「Local Breakout」方式,直接於當地連上網際網路,不需要再連回網路端VPN設備或總公司才能上網。因此當企業客戶採用HiNet Internet VPN,除了穩定的Internet上網服務,同時可安心存取Intranet企業內部資源,也不用將全部上網流量集中回到總公司,可大幅減輕總公司防火牆與網路的負擔。 |
| 「HiNet Internet VPN」特點一:多樣化的VPN設備選項 |
HiNet Internet VPN不僅提供HiNet雲端閘道器服務,同時提供VPN設備租用服務,由中華電信提供代裝、代維及代管服務。目前提供數款VPN設備供客戶租用,均可於租用期內,配合客戶公司發展需求,更換租用機種,不再像以往「租轉售」模式,客戶於硬體設備簽約年限內,無法配合頻寬需求更換更高效能設備,必須滿約後才能重新簽約取得新設備。
HiNet Internet VPN提供的VPN設備廠牌型號如下:
- Fortinet FortiGate-60E
- Fortinet FortiGate-60F
- Fortinet FortiGate-100F
- SOPHOS XG86w
- SOPHOS XG115w
- SOPHOS XG135w
- SOPHOS XG210
|
各款VPN設備規格比較
| 廠牌 |
Fortinet |
| 型號 |
FG-60E |
FG-60F |
FG-100F |
| 處理器 |
- ASIC version: SOC3
- CPU: ARMv7
- Number of CPUs: 4
- Network Card chipset: FortiASIC NP6LITE Adapter
|
- ASIC version: SOC4
- CPU: ARMv8
- Number of CPUs: 8
- Network Card chipset: FortiASIC NP6XLITE Adapter
|
- ASIC version: SOC4
- CPU: ARMv8
- Number of CPUs: 8
- Network Card chipset: FortiASIC NP6XLITE Adapter
|
| 記憶體 |
1867 MB |
1819 MB |
3616 MB |
| 防火牆效能 |
3Gbps |
10Gbps |
20Gbps |
| IPS入侵防護效能
(須加購UTM功能授權) |
400Mbps |
1.4Gbps |
2.6Gbps |
| NGFW效能
(須加購UTM功能授權) |
250Mbps |
1Gbps |
1.6Gbps |
| IPSec VPN效能 |
2Gbps |
6.5Gbps |
11.5Gbps |
| 同時最大連線數 |
1,300,000 |
700,000 |
1,500,000 |
| 每秒新增連線數 |
30,000 |
35,000 |
56,000 |
| 內建Wi-Fi |
無 |
無 |
無 |
| 內建儲存媒體 |
無 |
無 |
無 |
|
| |
FG-60E前視圖與後視圖
|
FG-60F前視圖與後視圖
|
FG-100F前視圖與後視圖
|
| |
| 廠牌 |
SOPHOS |
| 型號 |
XG86w |
XG115w |
XG135w |
XG210 |
| 處理器 |
Intel Intel Atom x5-E3930
(雙核心) |
Intel Atom x5-E3940
(四核心) |
Intel Atom C3558
(四核心) |
Intel Celeron G3900
(雙核心) |
| 記憶體 |
4GB |
4GB |
6GB |
8GB |
| 防火牆效能 |
3Gbps |
4Gbps |
8Gbps |
16Gbps |
| IPS入侵防護效能 |
580Mbps |
1.22Gbps |
2.48Gbps |
4.2Gbps |
| NGFW效能 |
310Mbps |
1Gbps |
1.2Gbps |
3.5Gbps |
| IPSec VPN效能 |
225Mbps |
490Mbps |
1.18Gbps |
1.7Gbps |
| 同時最大連線數 |
3,200,000 |
6,000,000 |
6,000,000 |
8,200,000 |
| 每秒新增連線數 |
15,000 |
35,000 |
85,000 |
140,000 |
| 內建Wi-Fi |
802.11a/b/g/n/ac
2x2:2 MIMO |
802.11a/b/g/n/ac
2x2:2 MIMO |
802.11a/b/g/n/ac
3x3:3 MIMO |
無 |
| 內建儲存媒體 |
8GB eMMC |
64GB SSD |
64GB SSD |
120GB SSD |
|
| |
XG86w前視圖與後視圖
|
XG115w前視圖與後視圖
|
XG135w前視圖與後視圖
|
XG210前視圖與後視圖
|
| |
| 「HiNet Internet VPN」特點二:可彈性搭配Wi-Fi租用服務 |
HiNet Internet VPN的客戶無論於總公司或各分據點,如需布建企業Wi-Fi上網服務,均可隨時申辦HiNet次世代企業無線網路(NG-WLAN)服務。客戶不再需要自購AP或無線網路控制器,可根據企業規模、據點數量彈性申辦所需AP與PoE Switch。
HiNet次世代企業無線網路(NG-WLAN)服務於HiNet網路端建置大型的無線網路控制器(採用RUCKUS公司的Wireless Controller),同時搭配RUCKUS公司的室內ThinAP租賃服務,協助企業客戶快速部署無線網路環境。
企業客戶可透過HiNet網路端的無線網路控制器,可統一管理、監控各地ThinAP狀態,同時以群組方式設定 AP,加速大規模部署。並可進行多層次權限管理,例如總公司資訊部具有最高權限,同時授權各據點當地管理員,負責開立WLAN帳號等功能。
HiNet網路端無線網路控制器支援各種認證協定,包括802.1X、ActiveDirectory、RADIUS、LDAP,或是客戶自建的會員資料庫等。
HiNet NG-WLAN服務所提供的ThinAP係由專業SI負責現場勘查、安裝及維運服務,除可搭配光世代固定制上網服務,也可選擇配發固定IP的4G上網服務。
客戶可根據現場環境,選擇兩款室內型ThinAP,廠牌型號如下: |
RUCKUS ZoneFlex R610 |
 |
- 802.11ac Wave 2 (with MU-MIMO) 3X3:3 Smart Wi-Fi Access Point
- 並行雙頻支援1,300 Mbps (5 GHz), 450 Mbps (2.4 GHz)
- 80 MHz channelization
- 256-QAM modulation
- 適應性天線技術及進階無線射頻管理
- 包含512多種獨特模式的整合式智慧型天線展現絕佳可靠性
- 兩組 10/100/1000 乙太網路連接埠,其中一組提供 802.3af/at 乙太網路供電 (PoE)
- 進階QoS封包分類,針對不容延遲的流量排定自動優先順序
- BeamFlex+ (PD-MRC) 智慧型天線可針對每個Access Point支援多達1024種獨特天線模式,可實現 4dB 的額外訊號增益,以及10dB 的額外干擾消除效能熱點無線區域網路的個別使用者動態速率限制
- 最多可提供500台設備連線
|
| |
RUCKUS ZoneFlex R320 |
 |
- 採用 802.11ac 2X2:2 Smart Wi-Fi Access Point
- 並行雙頻支援867 Mbps (5 GHz), 300 Mbps (2.4 GHz)
- 80 MHz channelization
- 適應性天線技術及進階無線射頻管理
- 1 個自動 MDX、自動偵測 10/100/1000 Mbps
- 支援標準 802.3af 乙太網路供電或12V DC
- 進階 QoS 封包分類,針對不容延遲的流量排定自動優先順序
- 熱點無線區域網路的個別使用者動態速率限制
- 專利 BeamFlex™ 技術擴展訊號範圍,提升用戶端功能
- 小巧輕盈的外型與方便部署設計
- 最多可提供256台設備連線
|
|
| |
| 「HiNet Internet VPN」特點三:可提供SSL VPN服務 |
客戶如於總公司部署Internet VPN設備,可啟動SSL VPN功能,以利員工從家裡或外地連回總公司
| 廠牌 |
Fortinet |
SOPHOS |
| 型號 |
FG-60E |
FG-60F |
FG-100F |
XG-86w |
XG-115w |
XG-135w |
XG-210 |
| SSL VPN連線數 |
200 |
200 |
500 |
100 |
240 |
270 |
300 |
|
| |
 |
| 已採用IPSec VPN客戶,規劃換裝新式VPN並提升頻寬 |
- 客戶的需求:
- 客戶過去租用HiNet資安艦隊系列方案的UTM,並透過UTM建IPSec VPN。由於UTM功能授權已到期,客戶希望配合提升上網速度,更換新一代的UTM,並且希望UTM授權無到期限制。
- 客戶的總公司目前部署Fortinet FG-200D UTM
- 客戶的分公司目前部署FG-80C或FG-92D UTM
- 由於規劃開啟SSL VPN功能,故客戶總公司能需要部署較高效能UTM
- 中華電信的規劃:
- 為滿足客戶新一代網路速度及VPN設備需求,並考量客戶將開啟UTM功能(包含入侵防護、網站過濾、木馬後門過濾、應用程式控管等),同時參考Fortinet UTM的「Threat Protection效能」數值後,規劃總公司採用最新一代的Fortinet FG-100F;分公司則使用最新一代的Fortinet FG-60F。
- 本案提供的兩款UTM均內含「UTM Bundle功能(IPS/App Control/ Web Filtering/Advanced Malware Protection)」授權
- 總公司及各分公司均與HiNet雲端閘道器建立IPSec Site-to-Site VPN
- 由HiNet根據客戶需求規劃網路架構,並產製Firewall Policy Config file
- 所有Internet Service設備均由中華電信子公司宏華ICT團隊負責安裝及維運
- 提供HiNet Internet VPN服務單一障礙受理窗口
|
FG-60F所有效能均勝過前代機種以及資安艦隊現役機種
| 廠牌 |
Fortinet |
| 型號 |
FG-80C |
FG-92D |
FG-80E/81E |
FG-60F |
| 防火牆效能 |
1.9Gbps |
2Gbps |
4Gbps |
10Gbps |
| IPS入侵防護效能 |
350Mbps |
950Mbps |
450Mbps |
1.4Gbps |
| NGFW效能 |
N/A |
200Mbps |
360Mbps |
1Gbps |
| Threat Protection效能 |
N/A |
200Mbps |
250Mbps |
700Mbps |
| IPSec VPN效能 |
140Mbps |
130Mbps |
2.5Gbps |
6.5Gbps |
| SSL VPN效能 |
70Mbp |
170Mbps |
200Mbps |
900Mbps |
|
| |
1.FG-100F所有效能除了勝過前代FG-200D,效能也遠勝資安艦隊現役的FG-100E,並且逼近FG-200E
2.FG-100F已內建10G介面(需另購miniGBIC),方便連接10G介面的Switch
3.FG-100F已內建雙電源供應器(Redundant Power)
| 廠牌 |
Fortinet |
| 型號 |
FG-200D |
FG-100E |
FG-100F |
FG-200E |
| 防火牆效能 |
3Gbps |
7.4Gbps |
20Gbps |
20Gbps |
| IPS入侵防護效能 |
1.7Gbps |
2.2Gbps |
2.6Gbps |
2.2Gbps |
| NGFW效能 |
330Mbps |
500Mbps |
1.6Gbps |
1.8Gbps |
| Threat Protection效能 |
310Mbps |
250Mbps |
1Gbps |
1.2Gbps |
| IPSec VPN效能 |
1.3Gbps |
4Gbps |
11.5Gbps |
7.2Gbps |
| SSL VPN效能 |
400Mbps |
250Mbps |
750Mbps |
900Mbps |
| 內建10G SFP+接頭 |
無 |
無 |
有(兩個) |
無 |
| 內建雙電源供應器 |
無 |
無 |
有 |
無 |
|
- 對客戶的幫助:
- 新一代高C/P比的UTM效能大幅提升,可搭配高速光世代上網服務
- 所有UTM設備於租用期間內,不用擔心UTM功能授權到期
- 總公司的UTM無須處理各分公司IPSec連線,有效降低運算負擔,並可開啟SSL VPN功能,方便同仁遠距辦公
- 簡化網路、線路、設備障礙受理窗口
|
| |
| 已租用MPLS VPN,規劃導入IPSec VPN進行頻寬分流 |
- 客戶的需求:
- 客戶有許多門市遍布全國,目前申請友商的MPLS IP-VPN,因門市導入新一代POS,且有Wi-Fi上網需求,擬申請高速Internet線路,並透過VPN設備建立IPSec VPN網路。既有的IP-VPN降速供刷卡機使用。
- 中華電信的規劃:
- 配合客戶頻寬需求及預算考量,各門市部署Fortinet FG-60E UTM乙台,內含UTM Bundle授權(IPS/App Control/ Web Filtering/Advanced Malware Protection)。總公司則部署FG-60F。
- 各地門市租用RUCKUS R320 ThinAP供員工Wi-Fi上網,客戶可自行透過HiNet Wireless Controller進行控管
- 總公司及各門市均與HiNet雲端閘道器建立IPSec Site-to-Site VPN
- 由HiNet根據客戶需求規劃網路架構,並產製Firewall Policy Config file
- 所有UTM、AP均由宏華ICT團隊負責安裝(包含AP的布線)及維運
- 提供HiNet Internet VPN服務單一障礙受理窗口
|
總公司因員工數較多,故規劃使用FG-60F
考量門市數量眾多,且由當地直接下車上網,基於預算考量,先租用FG-60E
| Fortinet FortiGate型號 |
FG-60E |
FG-60F |
| 防火牆效能 |
3Gbps |
10Gbps |
| IPS入侵防護效能 |
400Mbps |
1.4Gbps |
| NGFW效能 |
250Mbps |
1Gbps |
| Threat Protection效能 |
200Mbps |
700Mbps |
| IPSec VPN效能 |
2Gbps |
6.5Gbps |
| SSL VPN效能 |
150Mbps |
900Mbps |
| 內建儲存媒體 |
無 |
無 |
|
- 對客戶的幫助:
- 大幅提高上網速度,方便導入新式POS服務及Wi-Fi上網服務
- 可透過HiNet Wireless Controller網路平台,隨時掌握Wi-Fi AP狀態
- 所有UTM設備於租用期間內,不用擔心UTM功能授權到期
- Internet VPN方案租用期間內,可更換更高效能機種,包含防火牆或AP
- 簡化網路、線路、設備障礙受理窗口
|
| |
 |
- HiNet Internet VPN服務由三項元素所組合:
- HiNet光世代固定制上網服務
- HiNet雲端閘道器服務(選購,客戶可另於總公司部署大台VPN設備收容各據點之IPSec VPN連線)
- VPN防火牆、AP、Switch等設備租賃服務(含代裝、代維及代管,退租本方案時,需歸還中華電信)
- 根據客戶需求提供專案規劃與報價
- 客戶如果全國至少有10個以上據點之需求,歡迎與中華電信服務貴公司的業務經理聯繫,中華電信將協助提供專案規畫及報價。
- VPN設備安裝及維護服務說明:
- 凡申裝HiNet Internet VPN服務,均由中華電信提供客戶端VPN設備,機種如下:
- SOPHOS:XG86w / XG115w / XG135w / XG210
- Fortinet: FG-60E / FG-60F / FG-100F
- 待電路竣工後,兩週內由宏華國際提供VPN設備安裝服務,內容與維運服務,設備限於申請書之光世代電路申裝地址使用
- 倘因設備發生故障導致線路中斷、或服務中斷,中華電信提供5x8故障叫修服務
- 服務專線為:02-2344-2307
- 中華電信接獲客戶維修通知後,於4個工作小時內回應
- 約定維修日後,於8個工作小時內完成維修。(安裝於台灣本島)
- 設備維護時間:週一至週五,上午9:00 至下午5:00,不含國定例假日及彈性放假日
- 維修期間提供同等級或以上的替代品
- HiNet Internet VPN提供之設備代裝代維服務,可付費提升為7x24x8
|
 |
- HiNet Internet VPN服務採專案報價模式,客戶如果全國至少有10個以上據點之需求,歡迎與中華電信服務貴公司的業務經理聯繫,中華電信將協助提供專案規畫、報價與申請書
- 租用HiNet Internet VPN方案期間,HiNet上網費均以專案價計收,不再併計年資折扣
- 中華電信會先寄發繳費通知單給客戶,待客戶繳費後開立無實體電子發票給客戶
- 繳費通知單及發票項目名稱為:HiNet企業專案服務費
- HiNet Internet VPN提供之硬體設備為中華電信財產,退租本方案時,需歸還中華電信
|
 |
-
Q1HiNet Internet VPN所提供的VPN等設備,租約期滿後,歸客戶所有嗎?
並不是,HiNet Internet VPN所提供的VPN等設備屬中華電信財產,雖然每個專
案跟客戶簽訂的租期不一定,但客戶期滿後退租,或租用期間更換更高階設備時,原先的設備回由中華電信回收。
客戶如希望UTM設備採「租轉售」模式,即租約期滿後設備歸客戶所有,請改參加HiNet資安艦隊系列方案。
-
Q2HiNet Internet VPN所提供的VPN等設備,是否有包含UTM功能授權?如果有,是否每三年需續約一次?
HiNet Internet VPN所提供的VPN設備有三種組態:
1. Fortinet FortiGate防火牆(不含UTM功能授權,僅提供防火牆與VPN功能)
2. Fortinet FortiGate UTM(含UTM Bundle功能授權,提供IPS/App Control/ Web Filtering/Advanced Malware Protection)
3. SOPHOS XG Firewall UTM(含EnterpriseGuard功能授權,提供IPS/App Control/ Web Filtering/ Advanced Threat Protection)
因此規劃FortiGate設備時,可選擇空機(不含UTM授權)或是已內含UTM功能授權的機種。如果選擇SOPHOS設備,則一律內含UTM功能。
如果選擇內含UTM功能授權的機種,在HiNet Internet VPN租用期間內,均不用擔心UTM功能授權過期,除非該設備因停產後數年,被原廠宣布終止提供UTM功能服務。屆時中華電信將協助客戶規劃換裝新一代UTM。
-
Q3HiNet Internet VPN與HiNet資安艦隊系列的UTM在防護功能上是否不同?
-
Q4HiNet Internet VPN是否能讓各分據點不要當地下車,改從總公司集中上網?
可以的,客戶的總公司與各分據點,同樣跟HiNet雲端閘道器建IPSec VPN,但各分據點的上網流量會強制導向客戶的總公司。在此架構下,會建議客戶的客戶總公司租用效能較高的UTM。
-
Q5HiNet Internet VPN是否支援SD-WAN功能?
HiNet Internet VPN所提供的UTM機種雖然都是SD-WAN Ready,但由於HiNet雲端閘道器並不支援SD-WAN功能。如果客戶強烈要求啟用SD-WAN功能,此時HiNet Internet VPN服務將不採「Hub-and-Spoke」(樞紐輻射式)架構,也就是不再跟HiNet雲端閘道器建IPSec VPN,而恢復成客戶的各外據點,直接透過UTM跟總公司建IPSec VPN,同時啟動SD-WAN功能。
|
