多年來,虛擬私有網路(Virtual Private Network,VPN) 一直是企業及學術等各單位組織用在公共開放的網際網路上,提供安全且專屬之通訊連結網路的主要技術。之所以稱為「虛擬」是因為,相對於實際於兩點之間佈設 實體線路,此種連線方式屬於一種並非實體存在的暫時性連線,所欲通訊的資料透過網際網路在兩點之間傳遞,就像其間存在著一條專屬的「通道」(tunnel),也因此又稱為「通道技術(tunneling)」。近年來由於寬頻網路技術大幅提昇且逐漸普及,運用VPN技術,提供使用者透過免費公眾網路存取組織內部網路的作法,更因為其經濟且安全的特性,而成為一般企業及學術單位的選擇。
本校為提供研究及教學需求,自民國九十一年起,採購自有出國頻寬,第一年因預算因素,僅購買12 Mbps。由於頻寬有限,初期除了規劃全校師生透過網頁快取伺服器可利用自有出國頻寬瀏覽網頁之外,也特別架設VPN服務,供教師透過自有出國頻寬使用其他網路服務,如ftp、telnet等應用。此VPN服務採用PPTP(Point-to-Point Tunneling Protocol)技術,使用者利用Windows環境內建的VPN用戶端軟體,經過適當設定後即可使用VPN連線。
隨著逐年增加自有出國線路的頻寬,目前全校之出國流量,已可自動經由台大自有出國頻寬,無須特意透過網頁快取伺服器(web proxy)及VPN服務。不過,隨著網際網路應用的多樣性及普及化,伴隨而來的通訊安全威脅及考量,使得同時兼具驗證及加密特性的VPN服務,仍具備不可取代的重要性。基於因應全校師生使用VPN連線,進行各式網際網路應用的需求,計資中心於民國95年增購了SSL VPN設備,讓使用者無須安裝或設定VPN用戶端軟體,只要利用無所不在的網頁瀏覽器,即可透過熟悉的Web操作介面,以HTTPS連線方式使用VPN服務。
VPN技術介紹
針對台大校內提供的兩種VPN服務:PPTP及SSL VPN,以下將分別予以說明其技術背景。
PPTP通道技術
PPTP(Point-to-Point Tunneling Protocol)通道技術由於其容易設定的特性,而且是微軟撥接網路(Dial-up Networking)第一個支援的VPN協定,因此被廣泛採用。PPTP協定的規格定義在RFC2637(http://tools.ietf.org/html/rfc2637),但並未成為IETF的標準。PPTP的運作方式是藉由將網路協定資料段封裝(encapsulated)在IP封包中,然後透過網際網路傳送。經過包裝之後的封包,會被網路上任何路由器或機器視為一般IP封包般傳送,直到抵達通道的另一端之後,才將傳送端封裝上去的IP表頭取下。此種IP封裝的好處是可以讓許多不同協定的資料能夠經由僅支援IP的網路媒介(例如,網際網路)傳送。
如[圖一]所示,若使用者從網際網路上任何地方,例如家中ADSL連線或國外等非台大校園網路,透過與台大PPTP VPN伺服器建立PPTP連線後,使用者即可取得台大校園網路的IP位址,就像在台大校園內使用網路一般。如此一來,使用者便可順利使用透過台大IP位址方可運用的資源,例如圖書館電子期刊、台大自有出國頻寬連線、以及其他以IP位址作為存取控制的各項服務。
圖一、PPTP VPN運作架構
ref: http://www.cc.ntu.edu.tw/chinese/epaper/20070620_1004.htm