多據點中小企業如何評估及建構VPN網路

　　伴隨全球化衝擊，有愈來愈多的企業開始在世界各地設立據點，台灣也不例外；只不過，擴增據點往往意味著企業的資訊通訊成本將以倍數增長。面對上述狀況，建議從建構一個可以遠端存取資料的基礎網路架構著手，然而如何著手建立一個具備安全機制的遠端存取機制，已成為此類型企業的當前課題。

　　網路的建構及擴展已漸漸地改變企業經營的模式，傳統的工作環境及上下游廠商的關係將隨著網際網路的普及而有所變動；尤其在虛擬私有網路(Virtual Private Network，VPN) 的架設之下，更會有革命性的變化。企業員工不再受限於固定的上班地點，而是只要能連結上企業網路的地方均可辦公。同時，商場競爭的壓力也會迫使相當多的產業尋求與其上下游廠商相結合，以類似一個大企業體系網路的方式運作(即所謂之Extranet)，來增加其競爭優勢。上述的改變將會使企業的營運更加快速，產生更大的產值；而在此同時，卻也意謂著傳統固接式的企業網路連結架構將不敷所需。在外出差的員工及配合廠商都將期待透過網際網路的途徑來存取企業內部的資訊，VPN的功能將在企業廣域網路架構中佔有重要地位。

　　VPN，“虛擬私有網路”，即是指在公眾網路架構上所建立的企業網路，且此企業網路擁有與私有網路相同的安全、管理及效能等條件。VPN乃是原有專線式企業私有廣域網路的替代方案，VPN並不是改變原有廣域網路的一些特性，諸如多重協定的支援、高可靠性及高擴充度，而是使用更為符合成本效益的方式來達成這些特性。

　　VPN可以分成三大項目，分別為遠端存取(Remote Access)、Intranets 及Extranets。遠端存取VPN乃是連結移動用戶(Mobile User)及小型的分公司，透過電話撥接上網來存取企業網路資源。Intranet VPN是利用Internet來將固定地點的總公司及分公司加以連結，成為一個企業總體網路。而Extranet VPN則是將Intranet VPN的連結再擴展到企業的經營夥伴，如供應商及客戶，以達到協力廠商彼此資訊共享的目的。

相較於傳統的專線式網路連結，VPN的架構至少提供了下列的幾項優點：

(1)成本較低：VPN的架設在設備的使用量及廣域網路的頻寬使用上均較專線式的架構節省，故能使企業網路的總成本降低。根據分析，在LAN-to-LAN的連結上，VPN將較專線式的架構成本節省20% ~ 40%左右；而就遠端存取(Remote Access)而言，VPN更能比直接撥接至企業內部網路節省60% ~ 80%的成本。

(2)網路架構彈性較大：VPN較專線式的架構來的有彈性，當有必要將網路擴充或是變更網路架構時，VPN可以輕易的達成；相對的，傳統的專線式架構便需大費周章了。

(3)管理方便：較少的網路設備及實體線路，使網路的管理較為輕鬆；不論分公司或是遠端存取用戶再多，均只需透過Internet的路徑進入企業網路。

VPN建構方式如下：

1. 以現有Router昇級為VPN Router

　　大部份的Router廠商都已在其產品中加入VPN的功能，IT管理者只需增加軟體就使Router具備VPN功能。

♦ 架構簡單：由於Router昇級在現有網路架構不變下，對IT管理者來說，可說是最簡單的。一般都會包括防火牆、加密以及通道(Tunneling)等功能。有些廠商會將使用者身份辨識與既有的身份辨識服務(RADIUS)連在一起。

♦ 效率不佳：由於防火牆、加密以及通道均以軟體方式達成，在Router流量大時，非常消耗CPU資源。尤其在需大量運算如Triple-DES等的應用時將使CPU的資源更雪上加霜。

2. 在伺服器與Fire Wall中加裝VPN軟體

　　以現有的設備安裝純軟體式VPN，網路組態不需更改，先前的管理技巧與工具也都適用於VPN，因此通常不需特殊訓練或管理軟體就可在VPN上連線運作，且VPN軟體通常可與現有的身份辨識相連。建構純軟體式VPN執行效率是一考量重點，尤其在執行VPN加密與建立通道是相當耗費運算能力的，如決定運算負荷包括支援VPN連線數、每條連線的加密等級、建立通道的使用方法，以及VPN上資料的傳輸速度等。因此若想採用此等方式，則須考量效率問題。

3. 硬體輔助型式虛擬私有網路產品

　　採用的硬體平台，硬體介面卡為輔。

　　優點：安全性及效能略好於軟體式。

　　缺點：安全性不高；因為這種方式所採用的硬體平台，並非針對資料保全而設計，自然不具硬體保全能力，且這些設備廠商也較無法提供足夠的安全保證，如軟體式產品一樣，破壞者可藉由作業系統漏洞，截取加解密所使用的密鑰。

4. 專屬VPN設備

　　VPN專屬設備可以同時間為多條VPN處理加密及通道服務，這些工作全交由內部專屬硬體來完成。

♦ 高效率：專屬VPN設備最大的優勢在於高效率；在高階產品中可同時支援多個通道連線，且在使用專屬VPN設備時，並不會影響網路上其它設備的效率如Router、Server、Fire-Wall等。

♦ 易管理：專屬VPN設備架構必須更改現有網路組態，大部份的VPN設備都支援SNMP管理，如真的發生問題時您可透過網管軟體來控制。

VPN為您的企業提供真實且立即的效益。您可以使用VPN簡化分公司和行動使用者的遠端存取，將Intranets延伸到分支辦公室，甚至為關鍵客戶和夥伴部署extranets，這一切的成本遠低於採購專用WAN線路與設備並自行管理服務的方法。總結以上介紹與說明，可以歸納出VPN較合適於如下類型公司：

1. 與上下游廠商之間：中心廠商與衛星廠商之間須密切聯繫。

2. 對安全與私密性要求較高的行業：證券、銀行等行業。

3. Mobile User較多的企業：例如保險業及其他業務人數較多的行業。VPN可保護行動用戶的通訊安全，在網際網路上共同使用資料，提昇效率。

4. 分支點較多的公司：例如便利商店與加油站，或是Pizza、服飾等連鎖店。

5. 大陸台商：從提昇競爭力及節省成本的角度思考。

　　VPN (Virtal Private Network)，是一條穿過公用網路安全、穩定的隧道。通過對網路數據的封包和加密傳輸，在一個公用網路建立一個臨時的、安全的連接，從而實現在公網上傳輸私有數據、達到私有網路的安全級別，VPN是對企業內部網路的擴展，透過它可以幫助遠程用戶、公司分支機構、商業夥伴及供應商建立可信賴的安全連接，以類似一個大企業體系網路的方式運作，來增加其競爭優勢。