虚拟私有网路(VIRTUAL.pdf

擬私有網路(Virtual Private Network - VPN) : IPSec 功能 性 、互通性及 效能 性測試 .實驗目的 以往企業間要建立Private Network (即資料的傳輸是具有私密性及可信賴性 ) 的方法，是透過實體線路的建置，使企業與企業之間有專用的線路來傳輸資料 : 這樣的方式具有下列缺點: (1)費用昂貴 (2) 網路設定複雜，不能由使用者自行設定、建置。 (3) 私密性由 ISP掌控 因此才有 Virtual Private Network VPN的出現， VPN可以說是 : “用 Public網路 環境(i.e. Internet) 來傳送 Private資料 ” ，之所以可以在 Public的 網路下傳送需要私 密性的資料，這便是靠”密碼學的方式來達” 成，Sender 將要傳送的資料加密後才 送出，Receiver 將資料解密後才知道真正的資料是什 麼，因此密碼學方法解 決了 專線方法的 (1)和(2)這兩種缺點 ，因為資料是透過 Internet傳送，使用者只 需付上 網的費用，不需付專線的費用，同樣地也不用有專線設定上的困擾 。 而目前最被廣泛使用的 VPN 技術就是 IP Security IPSec ，其通常的網路建 置架構如下: -1- OG1可以想成是一間企業的總公司 ，而OG2是 其分公司，由於目前 IPv4的 address 不夠用，所以內部的 機器會分配使用 Private IP ，在公司的網路出口處再放一台 具有轉址 (NAT)功能的 機器負責 Private IP和 Public IP 之間的轉換 ，再者就是 公 司內部會放置 一些Server (mail, web , ftp)讓外部可以存取 ，所以這樣的Server通 常是是和其它機器分隔開 成為不同的網段 ，一毃員工使用的 機器放在”LAN”網 段 ，而需要讓外部存取的 機器放在”DMZ”網段 (DeMilitarized Zone; DMZ 非軍事 區 ) ，這兩種網段不僅會用 physical interface (port)區別開 ，避免在 LAN的 機器有 被攻擊的 危險，更會有 Firewall rule 對LAN的 機器加以保護 ，所以說在出口處 這台機器會 具備 L3/L4 Packet Filter的 功能，當然它也會 具有IPSec的 功能讓 OG1 和 OG2內部的 機器可以 透過 IPSec connection 來進行具有 privacy和 authenticity 的 通訊 ，因為公司之間所傳輸的資料通常是不能 對外公開的 機密文件，像這樣具 有 多功能 安全性的機器我們稱之為 Security Gateway(SG) ，而由 上 可以 了解 通 訊時的私密性是由使用者 本身所控 制 ，不是讓 ISP 來控制 ，如此也克服 了 dedicated link 式VPN的第 (3)點缺點。 在 IPSec VPN這項技術目前運作起 來所遇到的問題主要有 兩個 : 互通性與效 能性。 互通性的問題是來自 於每家廠商在 IPSec的設定方式 上沒有一定的介面， 而IPSec所 需要的參數可 多可 少，變化很 多所以使用者， 必須要 對產品裡的 參數 深入地了解才能 順利建立 IPSec connection; 效能性方面問題是因為 SG 必須對資 料進行加、解密的動作 ，對CPU的負荷相當的 大，因此有的廠商便會使用提供 加解密、 功能的 ASIC (Application-Specific IC) 來加速解 解密、 動作 以並且Offload CPU的負擔 ，這樣對於多合 一功能的 SG 來說才有辦法可以同時讓多項功能運作 順利 ，綜合以上的原因， 我們才會對 IPSec的 功能 性、互通性及效能性 進行測試 。 -2- Ⅱ.實驗設備 本實驗所用 到的硬體及軟體設備如下兩個表格所 示。 一、硬體 項目 數量