虛擬私有網路 - VPN ( Virtual Private Network )
一、引言

網路的建構及擴展已漸漸地改變企業經營的模式,傳統的工作環境及上下游廠商的關係將隨著網際網路的普及而有所更動;尤其在虛擬私有網路(Virtual Private Network,VPN) 的架設之下,更會有革命性的變化。企業員工不再受限於固定的上班場所,而是只要能連結上企業網路的地方均可辦公。同時,商場競爭的壓力也會迫使相當多的產業尋求與其上下游廠商相結合,以類似一個大企業體系網路的方式運作(即所謂之Extranet),來增加其競爭優勢。

上述的改變將會使企業的營運更加快速,產生更大的產值;而在此同時,卻也意謂著傳統固接式的企業網路連結架構將不敷所需。在外出差的員工及配合廠商都將期待透過網際網路的途徑來存取企業內部的資訊,企業廣域網路架構也勢必需將VPN的功能納入其中。

依據美國Gartner Group的預測,在西元2003年時,幾乎所有的企業均會實際架設VPN的廣域網路方案。如此的動機其實是顯而易見的:VPN最能滿足未來廣域網路多樣化的需求。此外,VPN的好處也很輕易的便能說服企業加以實際應用;相較於長途專線,較低的建置成本,較快的回收期間及較為彈性的功能等優點,使VPN時代的來臨已是不爭的事實了。


二、何謂VPN

VPN,“虛擬私有網路”,簡易的說法,即是指在公眾網路架構上所建立的企業網路,且此企業網路擁有與私有網路相同的安全、管理及效能等條件。VPN乃是原有專線式企業私有廣域網路的替代方案,VPN並不是改變原有廣域網路的一些特性,諸如多重協定的支援、高可靠性及高擴充度,而是使用更為符合成本效益的方式來達成這些特性。

VPN可以分成三大項目,分別為遠端存取(Remote Access)、Intranets 及Extranets。遠端存取VPN乃是連結移動用戶(Mobile User)及小型的分公司,透過電話撥接上網來存取企業網路資源。Intranet VPN是利用Internet來將固定地點的總公司及分公司加以連結,成為一個企業總體網路。而Extranet VPN則是將Intranet VPN的連結再擴展到企業的經營夥伴,如供應商及客戶,以達到協力廠商彼此資訊共享的目的。


三、 為何要用VPN

相較於傳統的專線式網路連結,VPN的架構至少提供了下列的幾項優點:
(1). 成本較低。VPN的架設在設備的使用量及廣域網路的頻寬使用上均較專線式的架構節省,故能使企業網路的總成本(Total Cost of Ownership) 降低。根據分析,在LAN-to-LAN的連結上,VPN將較專線式的架構成本節省20% ~ 40%左右;而就遠端存取(Remote Access)而言,VPN更能比直接撥接至企業內部網路節省60% ~ 80%的成本。

(2). 網路架構彈性較大。VPN較專線式的架構來的有彈性,當有必要將網路擴充或是變更網路架構時,VPN可以輕易的達成;相對的,傳統的專線式架構便需大費周章了。

(3). 管理方便。較少的網路設備及實體線路,使網路的管理較為輕鬆;不論分公司或是遠端存取用戶再多,均只需透過Internet的路徑進入企業網路。


四、構成VPN的要件

VPN網路的形成,必定要有幾個重要的要素及條件,以確保資料能被安全、及時的傳輸於公眾網路之上。這些要件分別是:

(1). VPN平台的擴展性(Platform Scalability)

VPN的平台需要具備完整的擴展性,大至企業總部的設備,小至各分公司,甚至個人撥接用戶,均可被包含於整體的VPN架構中。同時,VPN的平台亦需保留有對未來廣域網路頻寬擴充及連結架構更新的彈性。

(2). 安全(Security)

過去企業的網路架構,多以封閉式的專線連結為主;其主要考量即是在於資料傳輸的”安全性”。若在安全性不能被保障的狀況下,一旦企業重要資料被駭客或有心人士所竊取,將對企業造成難以彌補的傷害及損失。這樣的危機考量,絕對是較網路建置成本、便利性等因素來的更為重要,且不可替代。所以在VPN架構中的各項安全機制,諸如通道(Tunneling)、加密(Encryption)、認證(Authentication)、防火牆(Firewall)及駭客偵防系統(Intrusion Detection)等技術,便成為VPN技術中最為重要的一環。

VPN的建置中,必需透過上述的各項網路安全技術,確保資料在公眾網路中傳輸時不致於被竊取,或是縱使被竊取了,對方亦無法讀取封包內所傳送的資料。如此才可讓VPN的架構,取代傳統的專線式網路連結,而仍然讓企業的資料傳輸擁有相同的”安全性”保障。

(3). VPN服務

頻寬的管理及服務品質(Quality of Service,QoS)服務的提供,來確保資料透過公眾網路傳輸時的及時性,避免網路的阻塞,並提供封包資料的等級分類及傳送。


五、VPN安全項目介紹

如上節所述,資料在公眾網路中傳輸的安全性乃是VPN架構中,相當重要的一個因素;這些相關的技術包括通道(Tunneling)、加密(Encryption)、封包認證(Packet Authentication)、防火牆(Firewall)、使用者認證(User Authentication)及入侵偵防系統(Intrusion Detection),分述如下:

(1). Tunneling & Encryption

藉由對資料加密的通道點對點傳輸技術,VPN可以確保非授權的用戶無法於公眾上讀取到他人的機密文件。通道技術讓企業能建立邏輯上的點對點網路連結,而加密技術則是將欲傳送的資料加以編碼、計算,使得唯有發送者及接收者能夠解讀其中的意義。

一般常見的通道技術協定為Layer 2 Tunneling Protocol (L2TP)、Layer 2 Forwarding (L2F)、Generic Routing Encapsulation (GRE)及IP Security (IPSec)。而加密的技術則依加密鑰匙的長度不同,有DES及3DES等,至於加密鑰匙的管理,則可配合相關的管理伺服器(Certificate Authentication Server,CA Server)來達成。

(2). Packet Authentication

當VPN的虛擬通道建立,資料要開始於通道上傳輸時,為了確保資料的完整性及確認其未被駭客修改過,便需利用一些封包認證的協定來達到此目的。常見的技術如AH、ESP、MD-5及SHA等協定。傳送者及接收者於加密通道建立時便需溝通好依何種封包認證技術來做資料的傳輸,故當接收者收到資料封包之後,便可利用事先約定好的封包認證方式來檢查封包是否在公眾網路傳輸時被修改過。

(3). Firewall & Intrusion Detection

提供網路安全,便不能不談到防火牆及偵防系統,尤其在VPN的網路架構下,這些功能的建立更是不可或缺的。透過防火牆及偵防系統,可以將可能的駭客入侵或是非授權用戶阻隔於企業網路之外,以保障企業網路的安全。

(4). User Authentication

VPN既然允許遠端的用戶透過網際網路來進入企業網路內部存取資料,對於使用者身份的確認及權限的管理便極為重要。使用完整的安全認證伺服器(Authentication, Authorization and Accounting Server),便可加強使用者的認證管理,以確保機密資料不會被非相關人員所讀取。


六、VPN的產品種類

市面上VPN產品相當多,不過可以區分成三大種類,分別是硬體式的VPN系統,軟體式的VPN產品以及與防火牆相結合的VPN系統;分述如下。

(1). 硬體式的VPN系統

最常見的硬體式的VPN設備便是VPN加密的路由器(VPN Router)。因為這些設備將加解密的鑰匙儲存於記憶體中,故較不易被損壞,同時加解密的速度亦較快;尤其是專線頻寬較高之企業,硬體式的設備應是較佳的選擇。此外,若再搭配個人用戶使用的VPN軟體(VPN Client Software),則其功能亦與軟體式的VPN產品相近。

(2). 軟體式的VPN產品

軟體式的VPN產品乃是架設於伺服器及作業平台之上,可以提供較為彈性的功能,例如依據目的地位址或通訊協定來建立VPN通道。相對的,硬體式的VPN系統則多數依據位址目的地來建立VPN通道,將傳輸的所有通訊協定均加密。

然而,軟體式的VPN產品通常較難以管理;需要對作業系統、VPN軟體及相關之網路安全機制均有相當程度的了解,才能真正管理好VPN系統。同時,有些VPN軟體亦需要對路由路徑表(Routing Table)及網路IP位址規劃(Network Address Scheme)加以修改。

(3). 與防火牆相結合的VPN系統

與防火牆相結合的VPN系統自然承襲了防火牆安全功能的優點,使進出的交通均能受到較佳的限制及保護,以及強化的認證功能。一般而言,相當多的VPN廠商並沒有提供對於其作業系統的安全保護。若是採用硬體式且具有VPN功能的防火牆設備,則本身便已對其運作的作業系統做了補強作用(Harden O.S),事先將所有不必要及有危險的服務(Service)均加以去除,以確保此VPN設備不會被駭客所入侵,而導致整體VPN系統功能無法運作。

同時擁有VPN及防火牆功能的設備,對於網路的安全建構有相當大的好處,只需一台機器便可擁有兩項不可或缺的功能,建置成本明顯降低,且管理的負擔亦較輕。


七、VPN的注意事項

(1). 企業對於VPN的建構及應用上,並不應該將原有的廣域網路架構完全替換掉,而是要在既有的廣域網路架構上加上VPN的功能,改變網路的邏輯架構,進而得到VPN節省成本、具彈性且易於管理的優點。若是完全引進新的VPN設備而不利用現有之廣域網路設備來做為VPN之節點,則勢必使建置之成本倍增,且增加網路架構之複雜性;反之,若能使用現有的路由器(Router)、防火牆(Firewall)等設備,使之成為VPN的節點,則可大幅降低VPN的建置成本,並且易於管理。

(2). VPN的資料均需在加密之後,才由公眾網路傳送至接收端,再由接收端設備加以解密。故每一個封包在整個傳輸過程中均需被加、解密一次,而加密、解密均是相當消耗VPN設備運算能力的工作。因此,VPN設備的加解密速度表現,快者可達100Mega,慢者則只有幾Mega的速度,亦是在架設VPN時必需要謹慎考量的因素。如上節所述,硬體式的VPN產品在運作效能上會比軟體VPN產品有較佳的表現。故在使用量較大、對加解密及傳輸速度在意的用戶,應以硬體式的VPN產品,如VPN路由器及擁有VPN功能之硬體防火牆為較佳之考量。

(3). 考量VPN產品的連結相容性,未來的VPN產品均會以IETE所公怖的IPSec協定為標準,來作為彼此資料加解密、傳輸的依據。然而到目前為止,在實際的應用上,不同廠牌的VPN產品仍常會有連結上無法完全相容的問題。故就現實面而言,仍應以同一廠牌之VPN產品做為企業體VPN 建置的設備,所需面臨的困難最少。也因為如此,選擇足夠規模、能夠提供完整的VPN解決方案的廠商,亦成立VPN建構中重要的課題。而所謂的VPN完整解決方案極是包括本文所提及之遠端撥接(Remote Access,Client-to-LAN VPN)、Intranet VPN & Extranet VPN (LAN-to-LAN VPN)等架構,以及擴充性佳、完整網路安全功能、以及VPN服務(QoS Service)等項目。

(4). 在VPN架構安全考量的使用者認證部份,若能以集中式的管理方式(Centralized Management)來運作,必能減少網路管理的負擔。網路上需要有認證機制的設備,除了VPN產品之外,亦有防火牆及遠端撥接伺服器(Remote Access Server)等設備。若所有這些設備均能透過單一的安全認證伺服器來做認證的工作,則無論未來網路如何擴充,永遠只需一套認證伺服器即可滿足需求。


補充:
在Intranet和遠端存取網路上部署關鍵性商業應用程式,將能協助企業提高客戶滿意度、流暢商業程序和擴展市場,增強企業的競爭優勢;然而,相關設備、WAN線路及管理成本往往形成公司沉重的負荷,無法符合他們要求的快速投資報酬。現在,虛擬專線網路(Virtual Private Network;VPN)便是為傳統專線網路提供一項經濟的替代方案。

就企業擴展而言,VPN經濟實惠的網路延伸,讓企業更輕鬆開拓新商機,得以在全球部署分公司而無需負擔全球投資;就企業溝通而言,VPN可以大幅降低差旅員工的連接成本,將intranets延伸到分支辦公室,並使您可透過extranets來與關鍵夥伴及客戶建立通訊。

何謂VPN?

虛擬專線網路(Virtual Private Network;VPN)是一種讓公共網路(例如Internet)變成像是內部專線網路的方法,同時提供您一如內部網路的功能,例如安全性與優先性。VPN使您利用公用網路來建立與遠端使用者、分支辦公室及夥伴建立專屬連接。

傳統WAN要求公司採購和維護多種專線,並包括設備和人員的投資。以傳統WAN模式延伸網路的方法,對您的公司而言可能無法負擔其沉重的成本。相對的,VPN是建置在一個公共網路之上。您可以選擇聘請外界專家(服務供應商或加值經銷商)管理,讓您得以專注於本身的核心商業。

當您有了VPN之後能做什麼?

如果您現在有一個VPN,就可以延伸公司觸角以達到更高商業效率,同時提高客戶滿意度。您只需負擔原先的WAN的數分之一成本,就可以用一個VPN提供一如昂貴WAN的功能。讓我們來看一些例子:

.改善通訊效能:延伸內部電子郵件、Internet存取和中央資料庫服務,以支援遠辦公室使用者。

.員工差旅:如果您的員工能夠從任何地方存取網路,他們就可以更快地回應電子郵件、回覆客戶問題、將銷售訂單直接輸入公司資料庫。由於資訊在線上流通,因此您可以為全球員工提供24小時全年無休的存取服務。

.有效技術支援:技術人員透過電話或無線方式存取網路,將服務請求下載到現場運算設備,以免除每日來回維修中心取單、交件的差旅時間。同時,總部的客戶支援人員也可以獲得立即的工作進度回報。

.家庭辦公室:透過成本效益的存取能力將中央服務延伸到員工家庭,以提高生產力和士氣。

.流暢作業程序:淘汰緩慢且耗費成本的紙張作業程序,將資源規劃、資料庫管理及其他關鍵性商業活動放在總公司的Intranet伺服器,讓這些資源立即提供給全球分支辦公室人員存取,充份發揮投資效益並掌握更大的競爭優勢。

.供應鏈管理:為供應商和廠商提供直接的線上存取,可以協助您更有效管理庫存,並降低採購、交貨和應付款等相關作業成本。

VPN提供您那些效益?

VPN為您的企業提供真實且立即的效益。您可以使用VPN簡化SOHO和行動使用者的遠端存取,將Intranets延伸到分支辦公室,甚至為關鍵客戶和夥伴部署extranets,這一切的成本遠低於採購專用WAN線路與設備並自行管理服務的方法。VPN屬於服務供應商所有,並接受其管理,能夠在同一網路上為許多企業組織服務,利用軟體區隔交通讓各公司保有私密的通訊交通。

VPN為您提供的效益包括:

.降低經常成本:根據Strategic Networks指出,VPN和專線網路相比可以提供高達60% 的成本節省,並且顯著減少SOHO使用者的撥接費用,VPN允許行動使用者和SOHO族透過POP進入網路,免除透過長途電話撥入中央數據機的電話費用。Intranet和extranet VPN不再需要架設專線,而服務供應商將可以把省下的線路費用回饋給您。

.降低設備成本:存取伺服器、大型主幹網路路由器和交換器都由服務供應商管理,將可免除設備支出。您不需要採購、設定或管理複雜的數據機群。客戶端設備通常由服務供應商或加值經銷商提供低價的租賃,以享有更大的升級彈性。

.降低管理和支援成本:經濟規模讓服務供應商能夠幫您節省可觀的內部管理和支援成本,委外服務可減少或免除內部人員需求。再者,您將享有24小時全年無休的服務與支援,由技術經驗豐富的人員快速解您的問題。

.擴充連接方案:遠端存取、intranets和extranets可以到達Internet所能及的任何地方。大多數Internet都採用Cisco產品建置,因為Cisco提供業界最強且最可靠的產品。Internet本質上是一種具備備援能力的網路,任一節點都可以經由數種通路到達。這些特性加上以Cisco為基礎的VPN方案,滿足您any-to-any連接性的科技與頻寬需求,並提供無中斷的服務支援無法預測交通流量的Web應用程式。Cisco產品的模組化元件提供經濟且便捷的方案,支援頻寬和速度需求與日俱增的網路存取。

.無時空限制的存取:VPN用戶擁有相同的中央服務存取和邏輯觀,包括電子郵件、目錄、內部和外部Web網站、安全性和商業關鍵性應用程式,並且可以透過多重媒介存取(LAN、數據機、xDSL或cable modem),而完全不需要觸及複雜的基底網路科技。

您可以節省多少成本?(投資報酬案例)

VPN的主要效益是降低網路成本。您可以預期多大的投資報酬?雖然投資報酬率因地方和國家的不同而異,不過根據Emst and Young公司研究報告的例子顯示VPN和傳統WAN方案相比提供顯著的成本節省。

一家保險公司希望支援25處遠端銷售辦公室撥入一台中央伺服器。

傳統WAN方案:
5-port 終端伺服器 $3,000
25位使用者長途電話費(每天90分鐘,每分鐘0.07美元) $4,725/月
一年總成本 $59,700

VPN方案:
CSU/DSU、路由器、T1 Internet 連接 $6,000
VPN伺服器安裝、25台VPN client安裝(每台client 100美元,伺服器軟體5,000美元) $75,000
一條T1線路使用費 $2,500/月
25位使用者ISP服務月費(每位20美元) $500/月
一年總成本 $49,500
投資報酬:六個月(經常費用節省$1,725/月)

這個例子屬於一個access VPN。Intranet VPN只需三個月就可以達到投資報酬。

您的競爭優勢

VPN優異的經濟性,可以協助您的企業更快且更經濟地走向全球化。您可以大幅減少經常成本,同時預期快速的投資報酬。VPN允許您將關鍵應用程式延伸到遠端辦公室和extranet夥伴,以掌握更大競爭優勢並改善客戶服務。

Cisco Systems是全球Internet網路領導者,供應廣泛的VPN方案,滿足您現在的需求同時支援您未來成長。Cisco產品佔全球Internet約80%市場。Cisco也提供許多加值支援計劃,協助您發展強韌且可靠的網路以支援商業成長。Cisco和服務供應商和VAR密切合作,確保為您提供真正具競爭力的服務。這些夥很多都已獲得傑出的Cisco Powered Network認證,確保他們的客戶方案遵循高效能標準而且能和您的網路相容。

Cisco可以協助您找尋優質的VPN方案與服務供應商和VAR。歡迎洽詢Cisco (www.cisco.com)以展開您的VPN建構方案和取得更詳細的技術資訊。(本文摘算Cisco VPN基本概念)
 
創作者介紹

香醇咖啡

香醇咖啡 發表在 痞客邦 PIXNET 留言(1) 人氣()


留言列表 (1)

發表留言
  • 眼花
  • 感恩分享解說,雖然眼有點花,感恩