資料來源：寬華網路科技股份有限公司

電腦資訊的傳輸，由以往的 Mainframe/Terminal 的大型主機架構，在 80 年代轉變成新的 Client/Server 網路；個人 PC 開始成為商業生產的應用工具，而網路也成為企業不可或缺的架構。 90 年代 Frame Relay 及相關廣域網路的發展，更讓企業得以藉由遠距離的資訊傳輸來得到更快的訊息傳遞，提高員工生產力。此時，企業網路的管理人員面對的是各種不同的網路傳輸，諸如 e-mail 、 ftp 、 http 等資料以及一些 ”mission-critical” 的商業應用，如 ERP 、 SNA 等等。雖然有些複雜及繁忙，但至少是可以預測的資料流量；故仍能游刃有餘，確保這些傳輸均能 ” 和平相處 ” 的達成任務。

然而，電子商務及服務的興起卻打破的既有的生態平衡，電腦網際網路的資料流量隨著電子商務、多媒體資訊傳輸、大量檔案下載等應用呈現大幅的成長；瞬間大量，且無法預估的資料傳輸更影響了企業網路的使用效能。更重要的是，這些新的應用有著竭盡所能爭取頻寬，並將其完全吞噬的傾向；如不加以限制，勢將造成其他如 ERP 、 Voice 等應用產生斷訊或是嚴重延遲的結果。此時，網路管理人員便需要有新的措施來預防這樣的現象發生，相關的措施可能有：

1. 嚴格限制不准使用消耗高頻寬的相關網際網路應用
2. 加大頻寬來提供更多的服務資訊
3. 使用新的 QoS 機制來加以管理

嚴格限制不准使用消耗高頻寬的相關網際網路應用，雖然可以達到效果，但卻與企業提供員工好的服務及福利的目標背道而馳。同時，拒絕了新的網路應用亦可以限制的企業的發展，讓公司無法跟上新的科技及產業驅勢。而加大頻寬雖能解決現有頻寬不足的問題，確不能保證能夠解決網路效能不足的問題。加大後的頻寬仍有可能被特定的應用佔領，無法改善頻寬分配不均的問題。而持續的提高頻寬亦不符合企業資訊的有效運用原則，非常昂貴的專線費用支出，絕非企業所能負荷，或願意負荷的。

　　 因此，使用新的 QoS 機制來加以管理企業的頻寬，便成為網路管理者的最佳選擇。 QoS 設備建構於網路之上，並不需更動到網路的整體架構及規劃。它能自動偵測、分類及報告出網路上的應用資料流。管理人員即可運用這些資訊訂出頻寬管理策略，以及不同應用資料流的傳輸優先順序；同時，亦可透過管理軟體即時的監看制定出的策略之執行成果。

QoS Policy Management 功能簡介

一般的 Traffic Shaping ， Queuing ， Policy Management 或是 Caching 的產品，或許能夠增加網路的效能，但卻不能保證重要網路應用的穩定運作及反應速度 (Consistent response time) 。新一代的智慧型 QoS 解決方案，需要具備完整且多樣化的功能，諸如：

1. Wire-Speed Traffic Classification
能夠根據使用者設定的策略做資料的分類，及時的將資料傳送出去。

2. Tranparent / Non-single point failure
設備的引進使用，應不影響的一般使用者及網路上其他設備的設定 ( 即是對使用者為 Transparent) ，以減少所需的設定至最低。同時，如果因任何原因而當機時，系統應自動變成如同一條網路線，雖然頻寬管理的功能喪失了，但不會影響總體網路的運作效能。

3. Traffic Management / Bandwidth and Latency Policy Setting
頻寬管理機制，共有 TCP Rate Shaping 、 Class-based Queuing 、 Fail Allocation of Bandwidth 及 Packet-size Optimization 等四種；完整的架構出最佳化的頻寬控管功能：

A. TCP Rate Shaping ：
TCP Rate Shaping 為一專為 TCP/IP 交通設計的管理法則，它會告知資料傳送者適時的減少資料傳輸量，來使得 TCP 資料流 (TCP Flow) 傳送更加平順，以便達到將 TCP 交通的瞬間巨量 (Burst) 情形降至最低。這些突如其來的巨量交通會造成路由器的交通阻塞，嚴重影響到一些無法接受傳輸延遲的網路應用 (Latency-Sensitive Application) 。

然而， TCP Rate Shaping 只是很粗略的控制傳輸的訊框大小 (Window Size) ，對於低速的專線並無法有效的達到準確的頻寬管理。同時，一般所謂重要的應用 (Mission-Critical Application) 的封包均是相當短而快的傳輸連結， TCP Rate Shaping 無法對其有所幫助。此外， TCP Rate Shaping 只能控制 TCP 的交通，對於 Non-TCP 的交通則無法管理；而根據統計，網路上的交通約有 48% 為 TCP 的交通，約有 52% 為 Non-TCP 的交通。

B. Class-based Queuing (CBQ)
Class-based Queuing(CBQ) 乃依據不同的 Class 等級提供不同的 Traffic Queuing ，它可補足 TCP Rate Shaping 只能管理 TCP 交通的問題，支援 TCP 及 Non-TCP 的交通管理，並且能管控到網路交通的封包階層 (Packet Level) ，故能更有效的控制低速頻寬的傳輸。

C. Fail Allocation of Bandwidth
CBQ 雖能補強 TCP Rate Shaping 之不足，然而仍有其問題所在。因為 CBQ 只針對 Class 來作頻寬的分配，並不能保證同一 Class 中的不同交通傳輸 (Traffic Flow) 能獲得相等的頻寬資源；所以仍可能產生某些屬於高優先權 (High Priority) 的使用者依然得不到頻寬的現象。為確保對同一 Class 中所有使用者的公平對待，需要有法則來將一個 Class 所制定的頻寬平均分配到每個交通流。

D. Packet-size Optimization
Packet-size Optimization 能將傳輸的 Packet -size 最佳化，例如將 e-mail 傳遞大檔案的 Packet -size 縮小，來避免這些大檔案將頻寬佔住，使一些小封包傳不出去；以確保如 TN3270 、 VoIP 等無法接受傳輸延遲的網路應用 (Latency-Sensitive Application) 交通的品質保障。

上述的各種機制，如果單靠部分方法，則勢必影響頻寬管理的效果。例如，若只有 TCP Rate Shaping 的功能，則對於 Non-TCP ，或是較低速的頻寬時，其結果將會大打折扣。 ( 全球目前的專線頻寬有 88% 是 128K 以下的低速頻寬；網路上的交通約有 48% 為 TCP 的交通，約有 52% 為 Non-TCP 的交通 ) 。若是以上四種機制能夠完整應用，便能對網路上的交通做到真正完全的控管，達到頻寬控制的精準性 (Bandwidth Accuracy ) 以及資源公平分配 (Distribution Fairness) 等效果。

4. Policy-Smart Web Caching
Web Caching 功能能夠有效的降低 HTTP 交通的高頻寬需求，以提供更多的頻寬資源給予 ”Mission-Critical” 及 ”Latency-Sensitive” 的應用，藉以在有限的頻寬中提供使用者最快的服務。而且， Web Caching 可以依據每一個策略 (Policy) 可以設定為 ”Enable Caching” 或是 ”Disable Caching” 。 QoSWorks 的 Caching 功能乃是 ”Transparent Caching” ，完全不需更改路由器、使用者電腦或是交換器的設計。

5. Practical Traffic Monitoring / Reporting / Remote Management
簡易的設定 / 管理 / 監視系統，透過標準的瀏覽器 (Browser) ，管理者可以相當容易的設定如 Traffic prioritization 、 Bandwidth allocation 、 Setting policies for admission control 、 Specifying burst/session bandwidth 等相關策略，做到對網路上交通流量的及時監控 (Real-Time Monitor) ；分析每個應用 / 服務所使用的頻寬及狀況。同時，亦能提供報表及分析資料，使管理者能夠輕易的了解頻寬的真正使用的及時資訊。

資料來源：寬華網路科技股份有限公司

一、引言

網路的建構及擴展已漸漸地改變企業經營的模式，傳統的工作環境及上下游廠商的關係將隨著網際網路的普及而有所更動；尤其在虛擬私有網路 (Virtual Private Network ， VPN) 的架設之下，更會有革命性的變化。企業員工不再受限於固定的上班場所，而是只要能連結上企業網路的地方均可辦公。同時，商場競爭的壓力也會迫使相當多的產業尋求與其上下游廠商相結合，以類似一個大企業體系網路的方式運作 ( 即所謂之 Extranet) ，來增加其競爭優勢。

上述的改變將會使企業的營運更加快速，產生更大的產值；而在此同時，卻也意謂著傳統固接式的企業網路連結架構將不敷所需。在外出差的員工及配合廠商都將期待透過網際網路的途徑來存取企業內部的資訊，企業廣域網路架構也勢必需將 VPN 的功能納入其中。

依據美國 Gartner Group 的預測，在西元 2003 年時，幾乎所有的企業均會實際架設 VPN 的廣域網路方案。如此的動機其實是顯而易見的： VPN 最能滿足未來廣域網路多樣化的需求。此外， VPN 的好處也很輕易的便能說服企業加以實際應用；相較於長途專線，較低的建置成本，較快的回收期間及較為彈性的功能等優點，使 VPN 時代的來臨已是不爭的事實了。


二、何謂 VPN

VPN ， “ 虛擬私有網路 ” ，簡易的說法，即是指在公眾網路架構上所建立的企業網路，且此企業網路擁有與私有網路相同的安全、管理及效能等條件。 VPN 乃是原有專線式企業私有廣域網路的替代方案， VPN 並不是改變原有廣域網路的一些特性，諸如多重協定的支援、高可靠性及高擴充度，而是使用更為符合成本效益的方式來達成這些特性。

VPN 可以分成三大項目，分別為遠端存取 (Remote Access) 、 Intranets 及 Extranets 。遠端存取 VPN 乃是連結移動用戶 (Mobile User) 及小型的分公司，透過電話撥接上網來存取企業網路資源。 Intranet VPN 是利用 Internet 來將固定地點的總公司及分公司加以連結，成為一個企業總體網路。而 Extranet VPN 則是將 Intranet VPN 的連結再擴展到企業的經營夥伴，如供應商及客戶，以達到協力廠商彼此資訊共享的目的。
三、 為何要用 VPN

相較於傳統的專線式網路連結， VPN 的架構至少提供了下列的幾項優點：
(1). 成本較低。 VPN 的架設在設備的使用量及廣域網路的頻寬使用上均較專線式的架構節省，故能使企業網路的總成本 (Total Cost of Ownership) 降低。根據分析，在 LAN-to-LAN 的連結上， VPN 將較專線式的架構成本節省 20% ~ 40% 左右；而就遠端存取 (Remote Access) 而言， VPN 更能比直接撥接至企業內部網路節省 60% ~ 80% 的成本。

(2). 網路架構彈性較大。 VPN 較專線式的架構來的有彈性，當有必要將網路擴充或是變更網路架構時， VPN 可以輕易的達成；相對的，傳統的專線式架構便需大費周章了。

(3). 管理方便。較少的網路設備及實體線路，使網路的管理較為輕鬆；不論分公司或是遠端存取用戶再多，均只需透過 Internet 的路徑進入企業網路。


四、構成 VPN 的要件

VPN 網路的形成，必定要有幾個重要的要素及條件，以確保資料能被安全、及時的傳輸於公眾網路之上。這些要件分別是：

(1). VPN 平台的擴展性 (Platform Scalability)

VPN 的平台需要具備完整的擴展性，大至企業總部的設備，小至各分公司，甚至個人撥接用戶，均可被包含於整體的 VPN 架構中。同時， VPN 的平台亦需保留有對未來廣域網路頻寬擴充及連結架構更新的彈性。

(2). 安全 (Security)

過去企業的網路架構，多以封閉式的專線連結為主；其主要考量即是在於資料傳輸的 ” 安全性 ” 。若在安全性不能被保障的狀況下，一旦企業重要資料被駭客或有心人士所竊取，將對企業造成難以彌補的傷害及損失。這樣的危機考量，絕對是較網路建置成本、便利性等因素來的更為重要，且不可替代。所以在 VPN 架構中的各項安全機制，諸如通道 (Tunneling) 、加密 (Encryption) 、認證 (Authentication) 、防火牆 (Firewall) 及駭客偵防系統 (Intrusion Detection) 等技術，便成為 VPN 技術中最為重要的一環。
VPN 的建置中，必需透過上述的各項網路安全技術，確保資料在公眾網路中傳輸時不致於被竊取，或是縱使被竊取了，對方亦無法讀取封包內所傳送的資料。如此才可讓 VPN 的架構，取代傳統的專線式網路連結，而仍然讓企業的資料傳輸擁有相同的 ” 安全性 ” 保障。

(3). VPN 服務

頻寬的管理及服務品質 (Quality of Service ， QoS) 服務的提供，來確保資料透過公眾網路傳輸時的及時性，避免網路的阻塞，並提供封包資料的等級分類及傳送。


五、 VPN 安全項目介紹

如上節所述，資料在公眾網路中傳輸的安全性乃是 VPN 架構中，相當重要的一個因素；這些相關的技術包括通道 (Tunneling) 、加密 (Encryption) 、封包認證 (Packet Authentication) 、防火牆 (Firewall) 、使用者認證 (User Authentication) 及入侵偵防系統 (Intrusion Detection) ，分述如下：

(1). Tunneling & Encryption

藉由對資料加密的通道點對點傳輸技術， VPN 可以確保非授權的用戶無法於公眾上讀取到他人的機密文件。通道技術讓企業能建立邏輯上的點對點網路連結，而加密技術則是將欲傳送的資料加以編碼、計算，使得唯有發送者及接收者能夠解讀其中的意義。

一般常見的通道技術協定為 Layer 2 Tunneling Protocol (L2TP) 、 Layer 2 Forwarding (L2F) 、 Generic Routing Encapsulation (GRE) 及 IP Security (IPSec) 。而加密的技術則依加密鑰匙的長度不同，有 DES 及 3DES 等，至於加密鑰匙的管理，則可配合相關的管理伺服器 (Certificate Authentication Server ， CA Server) 來達成。

(2). Packet Authentication

當 VPN 的虛擬通道建立，資料要開始於通道上傳輸時，為了確保資料的完整性及確認其未被駭客修改過，便需利用一些封包認證的協定來達到此目的。常見的技術如 AH 、 ESP 、 MD-5 及 SHA 等協定。傳送者及接收者於加密通道建立時便需溝通好依何種封包認證技術來做資料的傳輸，故當接收者收到資料封包之 後，便可利用事先約定好的封包認證方式來檢查封包是否在公眾網路傳輸時被修改過。

(3). Firewall & Intrusion Detection

提供網路安全，便不能不談到防火牆及偵防系統，尤其在 VPN 的網路架構下，這些功能的建立更是不可或缺的。透過防火牆及偵防系統，可以將可能的駭客入侵或是非授權用戶阻隔於企業網路之外，以保障企業網路的安全。

(4). User Authentication

VPN 既然允許遠端的用戶透過網際網路來進入企業網路內部存取資料，對於使用者身份的確認及權限的管理便極為重要。使用完整的安全認證伺服器 (Authentication, Authorization and Accounting Server) ，便可加強使用者的認證管理，以確保機密資料不會被非相關人員所讀取。


六、 VPN 的產品種類

市面上 VPN 產品相當多，不過可以區分成三大種類，分別是硬體式的 VPN 系統，軟體式的 VPN 產品以及與防火牆相結合的 VPN 系統；分述如下。

(1). 硬體式的 VPN 系統

最常見的硬體式的 VPN 設備便是 VPN 加密的路由器 (VPN Router) 。因為這些設備將加解密的鑰匙儲存於記憶體中，故較不易被損壞，同時加解密的速度亦較快；尤其是專線頻寬較高之企業，硬體式的設備應是較佳的選擇。此外，若再搭配個人用戶使用的 VPN 軟體 (VPN Client Software) ，則其功能亦與軟體式的 VPN 產品相近。

(2). 軟體式的 VPN 產品

軟體式的 VPN 產品乃是架設於伺服器及作業平台之上，可以提供較為彈性的功能，例如依據目的地位址或通訊協定來建立 VPN 通道。相對的，硬體式的 VPN 系統則多數依據位址目的地來建立 VPN 通道，將傳輸的所有通訊協定均加密。

然而，軟體式的 VPN 產品通常較難以管理；需要對作業系統、 VPN 軟體及相關之網路安全機制均有相當程度的了解，才能真正管理好 VPN 系統。同時，有些 VPN 軟體亦需要對路由路徑表 (Routing Table) 及網路 IP 位址規劃 (Network Address Scheme) 加以修改。

(3). 與防火牆相結合的 VPN 系統

與防火牆相結合的 VPN 系統自然承襲了防火牆安全功能的優點，使進出的交通均能受到較佳的限制及保護，以及強化的認證功能。一般而言，相當多的 VPN 廠商並沒有提供對於其作業系統的安全保護。若是採用硬體式且具有 VPN 功能的防火牆設備，則本身便已對其運作的作業系統做了補強作用 (Harden O.S) ，事先將所有不必要及有危險的服務 (Service) 均加以去除，以確保此 VPN 設備不會被駭客所入侵，而導致整體 VPN 系統功能無法運作。

同時擁有 VPN 及防火牆功能的設備，對於網路的安全建構有相當大的好處，只需一台機器便可擁有兩項不可或缺的功能，建置成本明顯降低，且管理的負擔亦較輕。


七、 VPN 的注意事項

(1). 企業對於 VPN 的建構及應用上，並不應該將原有的廣域網路架構完全替換掉，而是要在既有的廣域網路架構上加上 VPN 的功能，改變網路的邏輯架構，進而得到 VPN 節省成本、具彈性且易於管理的優點。若是完全引進新的 VPN 設備而不利用現有之廣域網路設備來做為 VPN 之節點，則勢必使建置之成本倍增，且增加網路架構之複雜性；反之，若能使用現有的路由器 (Router) 、防火牆 (Firewall) 等設備，使之成為 VPN 的節點，則可大幅降低 VPN 的建置成本，並且易於管理。

(2). VPN 的資料均需在加密之後，才由公眾網路傳送至接收端，再由接收端設備加以解密。故每一個封包在整個傳輸過程中均需被加、解密一次，而加密、解密均是相當消耗 VPN 設備運算能力的工作。因此， VPN 設備的加解密速度表現，快者可達 100Mega ，慢者則只有幾 Mega 的速度，亦是在架設 VPN 時必需要謹慎考量的因素。如上節所述，硬體式的 VPN 產品在運作效能上會比軟體 VPN 產品有較佳的表現。故在使用量較大、對加解密及傳輸速度在意的用戶，應以硬體式的 VPN 產品，如 VPN 路由器及擁有 VPN 功能之硬體防火牆為較佳之考量。

(3). 考量 VPN 產品的連結相容性，未來的 VPN 產品均會以 IETE 所公怖的 IPSec 協定為標準，來作為彼此資料加解密、傳輸的依據。然而到目前為止，在實際 的應用上，不同廠牌的 VPN 產品仍常會有連結上無法完全相容的問題。故就現實面而言，仍應以同一廠牌之 VPN 產品做為企業體 VPN 建置的設備，所需面臨的困難最少。也因為如此，選擇足夠規模、能夠提供完整的 VPN 解決方案的廠商，亦成立 VPN 建構中重要的課題。而所謂的 VPN 完整解決方案極是包括本文所提及之遠端撥接 (Remote Access ， Client-to-LAN VPN) 、 Intranet VPN & Extranet VPN (LAN-to-LAN VPN) 等架構，以及擴充性佳、完整網路安全功能、以及 VPN 服務 (QoS Service) 等項目。

(4). 在 VPN 架構安全考量的使用者認證部份，若能以集中式的管理方式 (Centralized Management) 來運作，必能減少網路管理的負擔。網路上需要有認證機制的設備，除了 VPN 產品之外，亦有防火牆及遠端撥接伺服器 (Remote Access Server) 等設備。若所有這些設備均能透過單一的安全認證伺服器來做認證的工作，則無論未來網路如何擴充，永遠只需一套認證伺服器即可滿足需求。

資料來源：寬華網路科技股份有限公司

如圖所示 OSI 標準將通訊分為 7 層 (Layer) ，包括 Physical ， Logic ， Network ， Transport ， Session ， Present 及 Application 等，每層各司其職，最高層的應用程式 ( 如 WWW / HTTP) 逐層透過解析與封包而由第一層 ( 如 Ethernet) 之傳輸媒介載送信號傳至接收端；值得注意的是 TCP/IP 的通信協定與各種應用程式通常省略了第五及第六二層，故只有五層。而 Layer 2 Switch 顧名思義，即是在區域網路通訊傳輸中僅以第二層 (MAC 層 ) 的資訊來作為傳輸與資料交換之依據，通常此類交換器先以學習的方式 (Learning) 在每一個 port 紀錄該區段的 MAC Address 再根據 MAC 層封包中的目的地位址 (Destination Address ， DA) 傳送該封包至目的地的 port ( 或區段 ) ，其他 port ( 或區段 ) 將不會收到該封包，若目的地位址仍然在該 ( 或區段 ) ，則封包將不會被傳送。 Layer 2 的 Switch 由於只判斷第二層的資訊故其處理效能佳，且其有效隔絕區段間非往來封包 ( 及獨享頻寬 ) ，大大提昇網路的傳輸效能，且因技術與 ASIC 晶片的功能日益強化，目前較高檔的 Layer 2 Switch 每個 port 均可達到 Wiring Speed 的傳輸率 (Ethernet 為 14880pps ， Fast Ethernet 為 148800pps) 。