虛擬私有網路(VPN,Virtual Private Network) 技術可在公有網路上傳送加密封包,讓外部主機猶如處於公司內部網路。VPN依管理者是誰分為企業VPN及服務供應商VPN。企業VPN依據使用情境分成站點對站點類及遠端存取類VPN。
站點對站點類VPN使用技術包含IPsec VPN,GRE over IPsec,思科DMVPN,IPsec VTI。遠端存取類VPN使用技術包含客戶端IPsec VPN連線,無客戶端SSL連線。其中,GRE為通用路由封裝(Generic Routing Encapsulation),DMVPN為動態多點虛擬私有網路(Dynamic Multipoint Virtual Private Network),VTI為虛擬隧道介面(Virtual Tunnel Interface)。
服務供應商VPN包含新式 第2層 或 第3層 MPLS VPN,及傳統 訊框中繼 或 ATM VPN。其中,MPLS 為多重協定標籤交換(MultiProtocol Label Switching),ATM 為非同步傳輸模式 (Asynchronous Transfer Mode)。
IPsec (Internet Protocol security) 屬於待評提案 (Recommendation For Comments, RFC) 之標準,定義了 VPN 如何認證和保護 IP 封包的安全。IPsec 可以保護從第 4 層到第 7 層的流量。IPsec 提供重要安全功能,包含使用加密技術保證外人看不懂,達到機密性;使用雜湊技術保證不遭篡改,達到完整性;使用 Diffie-Hellman 系列的網際網路金鑰交換 (Internet Key Exchange, IKE) 協定,以預先共用金鑰(密碼),數位憑證,或 RSA 憑證進行驗證,達到來源及去處之防偽。
IPsec 透過封裝安全協定 (Encapsulation Security Protocol, ESP) 支援傳輸模式 (Transport Mode) VPN,供端點對端點 (end-to-end) 主機之間加密傳輸;以及隧道模式 (Tunnel Mode) VPN,供站點對站點 (site-to-site) 網段之間加密傳輸。
以上總結可將VPN技術分類如下:
- A.企業自架VPN
- 1.遠方存取VPN (即端點對端點VPN):
- 無客戶端 SSL/TLS VPN (第4層)
- 客戶端 IPsec傳輸模式VPN (第3層)
- 2.站點對站點VPN
- IPsec隧道模式VPN (第3層)
- GRE over IPsec
- 思科DMVPN
- IPsec VTI
- B.供應商維護VPN
- 1.傳統:訊框中繼 或 ATM VPN
- 2.新式:MPLS VPN
參考: CCNA3: 08 VPN and IPsec Concepts
