✔ 最佳答案
VPN(Virtual Private Network,虛擬私有網路)是近年來網路應用中最受矚目的營運模式,因為它利用公用網路取代專線連接企業的區域網路,不僅大幅降低建置成本,也提高了未來擴充的便利性。一般VPN可分為CPE (Customer Premises Equipment) -based VPN以及Network-based VPN。前者主要由企業用戶端以自身的設備自行利用L2TP或IPsec這類的技術,與遠端的CPE-based VPN Devices建置跨越公用網路的虛擬私有通道,是現今最為常見的VPN解決方案;後者則是由網路服務提供者(Service Providers,SP)直接提供VPN的建置服務,是日漸興起的VPN方案。從圖一的相關市場預測看來,未來幾年內,Network-based VPN雖然呈現快速成長的趨勢,但是CPE-based VPN設備仍會佔有大半的市場。
咩叫IPsec
目前絕大部份的VPN應用多是透過Internet,這是一個IP-based的網路環境,如果可以在網際網路層(IP Layer)一次解決安全問題,則不僅VPN的安全問題得以解決,同時也可減少開發VPN應用系統時對安全機制的額外需求。因此IETF在設計下世代 IPv6時,即提出相關的安全保密架構,後來該架構才獨立為「網際網路層安全協定」(IP Security Protocol,RFC-2401),簡稱IPsec。IPsec VPN的「安全」並不僅在於保證資訊的隱密(Confidentiality),避免第三者「竊聽」到通訊內容,同時還確保網路傳送內容不被篡改破壞,亦即所謂資料的一致性(Integrity);另外就是資料來源的驗證(Authentication),確定資料並非來自公用網路上第三者所偽造。為了達成上述的安全服務,IPsec結合了加密演算法(如DES、 3DES、或AES)及Hash function(例如MD5及SHA-1)的技巧,按照使用者對安全服務的需求,而可有不同的安全協定(AH或ESP,RFC-2402/2406)、甚至是不同的封裝模式(Transport mode或Tunnel mode)。而其中,Tunnel Mode是所謂Gateway-to-Gateway(或Host),由具IPsec功能的Security Gateway代理其後端的LAN從事IPsec動作,它的好處是在原本區域網路內部所有主機、應用軟體皆不須更動的狀況下,每個區域網路僅需在對外的 Router上裝設IPsec,使LAN到LAN之間跨越Internet的部份用IPsec保護連線,即可建置出安全的的VPN Tunnel,因此成為目前IPsec被利用來達成VPN的主要模式,IPsec系統由於提供十分彈性的封裝機制、安全協定、加解密演算法組合,因此通訊雙方必須事先「祕密共享」許多安全參數的設定(包含金鑰在內)。使通訊雙方共享安全參數的方式有手動設定(Manual keying)以及自動協調(Automatic Negotiation)兩種。前者極易產生人為疏失,僅適用於特定小系統或測試之用。而所謂的自動協調則是IETF提出的「自動金鑰交換機制」-- Internet Key Exchange(簡稱IKE,RFC-2409)。以實作的角度來看,IKE是獨立於IPsec的應用系統,他會自動回應IPsec對安全參數的需求而與遠端的IKE進行安全參數的協調工作。由於多數廠商對於IETF所訂定的IKE標準並未達成完全的共識,因此歷年來所舉辦的VPN互通性測試皆是以 IKE為主。
參考資料:
http://hk.knowledge. yahoo.com/question/? qid=7006030100438