MDVPN+VPN擺脫線路的羈絆　建立1個經濟又安全的企業連線方式

前言：隨著行動通訊產品不斷推陳出新，行動、高速、穩定的網路連結，使企業員工的工作環境可以不限時地，只要透過3.5G/3G/GPRS網路，無論任何時間、任何地點，皆可享受最便利的行動化資訊服務。為了滿足行動工作者遠端取得所需資料、即時處理客戶需求，企業確實有必要建立1個兼顧安全性的行動辦公室通訊平台。

企業M化應用的範疇相當廣，因此，該採用何種行動網路，將依應用項目及其對頻寬的需求不同而有所差異。舉例來說，流通運輸業的車隊管理(例如遠傳車訊速)，基本上只需要傳送車輛定位？行進軌跡？油料等資訊，無須大頻寬支援，因此現階段應用多集中於GPRS行動網路上發展；若企業希望協助業務銷售團隊或經常出差的主管，可隨時隨地掌握公司重要資訊、擁有隨時連結網路的能力，便可選擇Push mail或3G/3.5G無線上網等服務，其中Push mail適用於GPRS或3G/3.5G網路，企業可視預算與應用需求，決定採用的服務。

一般而言，企業員工在辦公室網路環境中，多是透過VPN連線，確保ERP、CRM或資料庫裡的資料，能更安全地利用專屬加密通道進行資料存取。至於在公司之外的行動辦公環境，基於網路傳輸的安全考量，員工如果要透過行動設備連接企業內部存取資源，MIS必須自行解決認證及VPN設定、或是架設SSL VPN專屬網頁設定等，還得時常擔心是否有資料遭竊取等情事發生。

針對上述造成MIS困擾的問題，電信業者推出了MDVPN(Mobile Data Virtual Private Network)，亦即企業專屬行動數據網路解決方案，當企業員工以無線方式(3.5G/3G/GPRS)行動上網時，可從基地台開始，直接連接電信業者的機房，再透過企業專屬的路由連回企業內網，讓員工即使在辦公室以外的場合，也能隨時隨地擷取企業內部的資訊系統。

360°技術－MDVPN

企業行動數據網 (Mobile Data Virtual Private Network; MDVPN)，是專為經常在外的行動工作者所規劃的服務，透過電信業者提供的3G(或GPRS)網路，員工無論在任何時間、任何地點，皆可藉由無線終端裝置(如3G手機)，連接企業專屬的VPN通道，此服務更為行動工作者提供高安全性的資訊存取機制，就像在辦公室裡工作一樣。

目前包括中華電信、台灣大哥大、遠傳電信、威寶電信等4家業者，均有針對物流業、保全業，及其他需要使用行動數據網路(Mobile Data)與企業內部網路連結之企業，提供有別於一般公眾網路(Public Network)傳輸的相關服務，業者表示，欲導入該項服務的企業，不必另外購買系統或設備，只要使用企業原有的VPN設備，就可申裝此項服務。

以房屋仲介業來說，利用MDVPN服務，可讓出門在外的業務員，在無須進入辦公室的情況下，即可於第一時間查詢公司即時資料、或回報各種看屋狀況。中華電信行動通訊分公司企業客戶處副處長郭逸樵表示，企業由e化邁入M化是未來的趨勢，以中華電信自身為例，早已推行OA系統行政M化多時，主管們皆可透過CHT9100批示待辦事項、讀取E-mail或進行即時的表單流程簽核，而在外的工作人員，亦可利用CHT9100於行動派工系統(mDAS)進行線路查測、竣工、維修派工單讀取等應用。

以目前已採用3G作為行動網路的企業應用看來，除了用於一般數據傳輸外，金融、證券、投信、投顧等相關機構，也會透過MDVPN服務，建立專屬會員網路並進行群組管理，相對的，客戶也可以透過該企業專屬的VPN通道，進行無線下單、證券行情揭示等多項行動加值應用服務。

以寶來證券為例，為了讓下單速度更迅速，除了PDA、手機等行動下單平台外，有鑑於經由電腦連線進行網路下單的族群也日益增加，但是並非到處都有上網熱點，再加上許多公司行號基於管理原則，並不允許員工使用下單軟體，所以寶來證券與遠傳電信合作推出3.5G無線網卡服務，提供更方便且即時的投資環境。

由群組概念衍生2種應用：MDVPN負責數據傳輸、MVPN負責語音節費

無論是單純的語音通話、亦或進階的數據傳輸，目前有愈來愈多的企業，開始採用整合通訊解決方案，然而不少企業在評估MDVPN方案的同時，也因聽聞MVPN一詞而感到困惑。「事實上，MVPN與MDVPN同是由群組的概念出發，所衍生出的2種不同應用，」郭逸樵表示，MDVPN適用的對象，包括必須經常攜帶筆記型電腦、PDA等行動終端設備，處理公務或私務的商務人士，以及經常與客戶洽談商務的業務人員，或是需要查詢最新情況且迅速進行決策的公司主管，甚至需要進行外勤維修及維護工程的技術人員…等。

MDVPN主要是將行動數據的傳輸工作，透過GPRS或3G線路，延伸至企業內部網路上；至於MVPN(Mobile Virtual Private Network; MVPN)，則是針對行動語音節費需求所推出企業專屬通訊網服務，主要是將企業用戶所屬的行動電話與桌上分機，整合成1個虛擬的群組，透過電信業者所提供的MVPN服務，使員工的行動電話，如同企業內的攜帶式行動分機一樣，無論身在何處，均可輕鬆且快速的進行桌上分機與手機的雙向簡碼互撥，除了提升公司內外部溝通聯繫的效率外，還能有效降低市內電話撥打行動電話的費用成本。

綜合而論，MVPN是以語音為主的解決方案，並無傳遞數據資料的需求，因此，利用現有的2G網路即可。除了讓企業員工享受到較低的通話費優惠，以及將手機當分機撥號的便利性之外，現在又多了1項行動數據服務－企業群組服務(MDVPN)，讓員工在外使用手機或筆記型電腦處理文件流程，如同置身於辦公室一般方便。

MDVPN延伸企業內網的使用範圍　為資料傳送多添1層安全防護

究竟MDVPN是如何做到確保資料傳輸的安全性？對此，威寶電信加值服務事業部加值行銷處協理江明達表示，「關於網路連線的安全性，主要可分為「無線」及「有線」2段網路來解釋」。

首先，從企業員工藉由3G手機(或3G網卡+筆記型電腦)等行動終端設備，透過3G上網連接至電信業者機房的這段網路狀態來看。過去在2G時代，曾經發生過有心人士架設假基地台，或是設置1個橋接器，把正在2G網路上傳送的語音訊號搶先截走；到了3G時代，隨著安全技術的發展，引入了雙向認證機制，不僅網路端對用戶進行認證，用戶也必須對網路進行認證，所有傳送的語音或數據，皆要通過雙向認證之後才進行通訊。很顯然，相對於2G、2.5G的網路單向認證，這種雙向認證提供了更佳的安全性，從無線網路傳輸來看，3G屬於較安全的溝通媒介。

在了解3G網路的安全性之後，接下來，則要說明從電信業者的機房，連接至企業內網的這段網路狀態，也就是本專題所闡述的MDVPN服務。一般而言，MDVPN主要的連線方式，包括專線介接以及Internet VPN兩種，前者是讓企業用戶以數據專線與電信業者的機房連接，也就是說，員工在外使用3G手機(或3G網卡+筆記型電腦)所傳送的任何資料，均經由該數據專線連回企業內部網路。江明達表示，「這種專線式連外頻寬完全由Mobile Data使用，故可進行較好的頻寬管理，此外，因為不經由Internet，使得旁人無法攔截與破解，具有較高的安全性，唯須負擔專線費用，價格較為昂貴」。

除了數據專線之外，企業也能選擇Internet VPN的連接方式，此時，企業必須建置連接Internet的VPN系統，而且此系統務必支援L2TP、GRE、IPSec等各種Tunnel功能，待MDVPN開通後，企業員工便可以在外使用3G手機(或3G網卡+筆記型電腦)，隨時連接企業內網存取資料。江明達表示，「由於這種連外頻寬是使用Internet連線，因此有價格便宜的優勢，但頻寬無QoS的功能，無法控制傳輸的品質」。

透過一般公眾網路傳輸資料，在安全性方面是一大疑慮，為解決此問題，可在Internet VPN上加入IPsec加解密(Encryption)技術，而且電信機房與企業內網兩端，均必須安裝對應的IPsec驅動程式，在其中傳輸的任何資料，例如重要的電子郵件、行事曆與待辦事項、下載最新的業績彙報與產量分析、批示緊急文件、請假？報帳系統等資訊，皆會經過加解密處理，以提高資料傳輸的安全性。

有別於其他電信業者，中華電信的MDVPN則提供數據專線、HiLink網路、IDC代管機房和Internet VPN等4種連接方式，企業端不需要額外的防火牆或VPN設備及設定，用戶端更不需要安裝任何VPN軟體。然而針對上述4種連線方式，企業又該選擇那一種？

中華電信行動通訊分公司企業客戶處科長林文智建議，如果企業的資料傳輸需求量較小，可以採用Internet VPN的連接方式，較符合經濟成本的原則；而原本就已申裝Hi-Link的企業，則建議使用HiLink網路連線方式，直接連接GPRS機房，串聯分布各地的企業網路；如果企業對連接公司網路的安全性需求很高，且希望能夠有固定的頻寬，應依照實際資料傳輸量需求，以申租數據專線的方式，直接連接至中華電信台北、三重、台中、高雄所在地的GPRS機房，確保資料安全性及私密性。

無線傳輸除了考量穩定性　更不能忽略安全性

據了解，一般企業用戶除了講求效率，亦重視資料無線傳輸是否夠穩定、夠安全。在安全性方面，如果員工只是單純的使用收信通知等功能，就比較沒有安全上的疑慮，但是，如果用戶還要下載郵件的附加檔案，就必須透過3G網路傳輸，這時會涉及安全性的問題，所以在選擇上，必須考量電信業者推出的MDVPN安全機制。

江明達強調，MDVPN分為專線介接及Internet VPN，二者都具備高度安全性，其中，專線介接是透過3G線路連回企業網路，該網路本身就具備加密性；如果是透過Internet VPN介接，在安全性方面，採用的是IPSec加密技術。

由於MDVPN是進入企業內部網路的1條通道，在安全的群組管理機制部分，企業MIS人員可以透過Web管理網頁，執行新增？刪除VPN成員，以及查詢成員異動紀錄與目前狀態的群組管理功能。以前文件在傳輸的過程中，只能以確認IP位置作為安全考量，但是現在必須先經過MDVPN的內部控制，並同時藉由員工SIM卡的存取認證設定，才能進入企業的內部網路資訊系統。

此外，員工上網行為管理，也是企業最在意的問題之一，如果員工使用筆記型電腦、手機，透過3G網路連上MDVPN，在通過電信機房的下一站點，即是到達企業內網(Intranet)，這時，MIS便可針對使用者可以上哪些網站、可否使用IM軟體...等各式上網行為進行管控，「這也是MDVPN的另1項效益所在，今天企業員工雖然身處在辦公室以外的環境，但感覺上卻如同在辦公室內工作，所有上網行為都將受到嚴格管控，」江明達說。