如何架設VPN？

✔ 最佳答案

VPN（Virtual Private Network，虛擬私有網路）是近年來網路應用中最受矚目的營運模式，因為它利用公用網路取代專線連接企業的區域網路，不僅大幅降低建置成本，也提高了未來擴充的便利性。一般VPN可分為CPE (Customer Premises Equipment) -based VPN以及Network-based VPN。前者主要由企業用戶端以自身的設備自行利用L2TP或IPsec這類的技術，與遠端的CPE-based VPN Devices建置跨越公用網路的虛擬私有通道，是現今最為常見的VPN解決方案；後者則是由網路服務提供者（Service Providers，SP）直接提供VPN的建置服務，是日漸興起的VPN方案。從圖一的相關市場預測看來，未來幾年內，Network-based VPN雖然呈現快速成長的趨勢，但是CPE-based VPN設備仍會佔有大半的市場。
咩叫IPsec
目前絕大部份的VPN應用多是透過Internet，這是一個IP-based的網路環境，如果可以在網際網路層（IP Layer）一次解決安全問題，則不僅VPN的安全問題得以解決，同時也可減少開發VPN應用系統時對安全機制的額外需求。因此IETF在設計下世代 IPv6時，即提出相關的安全保密架構，後來該架構才獨立為「網際網路層安全協定」（IP Security Protocol，RFC-2401），簡稱IPsec。IPsec VPN的「安全」並不僅在於保證資訊的隱密（Confidentiality），避免第三者「竊聽」到通訊內容，同時還確保網路傳送內容不被篡改破壞，亦即所謂資料的一致性（Integrity）；另外就是資料來源的驗證（Authentication），確定資料並非來自公用網路上第三者所偽造。為了達成上述的安全服務，IPsec結合了加密演算法（如DES、 3DES、或AES）及Hash function（例如MD5及SHA-1）的技巧，按照使用者對安全服務的需求，而可有不同的安全協定（AH或ESP，RFC-2402/2406）、甚至是不同的封裝模式（Transport mode或Tunnel mode）。而其中，Tunnel Mode是所謂Gateway-to-Gateway（或Host），由具IPsec功能的Security Gateway代理其後端的LAN從事IPsec動作，它的好處是在原本區域網路內部所有主機、應用軟體皆不須更動的狀況下，每個區域網路僅需在對外的 Router上裝設IPsec，使LAN到LAN之間跨越Internet的部份用IPsec保護連線，即可建置出安全的的VPN Tunnel，因此成為目前IPsec被利用來達成VPN的主要模式,IPsec系統由於提供十分彈性的封裝機制、安全協定、加解密演算法組合，因此通訊雙方必須事先「祕密共享」許多安全參數的設定（包含金鑰在內）。使通訊雙方共享安全參數的方式有手動設定（Manual keying）以及自動協調（Automatic Negotiation）兩種。前者極易產生人為疏失，僅適用於特定小系統或測試之用。而所謂的自動協調則是IETF提出的「自動金鑰交換機制」-- Internet Key Exchange（簡稱IKE，RFC-2409）。以實作的角度來看，IKE是獨立於IPsec的應用系統，他會自動回應IPsec對安全參數的需求而與遠端的IKE進行安全參數的協調工作。由於多數廠商對於IETF所訂定的IKE標準並未達成完全的共識，因此歷年來所舉辦的VPN互通性測試皆是以 IKE為主。

參考資料:
http://hk.knowledge. yahoo.com/question/? qid=7006030100438

回答 (2)