跳到主要內容區塊

計資中心電子報C&INC E-paper

校務服務

虛擬私有網路(VPN)服務介紹
  • 卷期:v0001
  • 出版日期:2007-06-20

作者:邵喻美 / 臺灣大學計算機及資訊網路中心 資訊網路組


簡介

隨著寬頻的普及,網路安全及相關應用益形重要,尤其在國內外頻繁互動及全球化趨勢的影響下,如何建立一個安全通道,讓遠端使用者透過完整的加密保護及防火牆等功能,安全地存取組織內部資料,便成為一個重要的課題。本校基於服務全校師生,這些年來陸續建置了不同型態的VPN服務,提供校內使用者包含PPTP VPN及SSL VPN等安全且便利的網路資源存取方式。本文即針對台大建置之VPN服務型態,分別予以介紹其技術背景及使用說明。

前言

多年來,虛擬私有網路(Virtual Private Network,VPN)一直是企業及學術等各單位組織用在公共開放的網際網路上,提供安全且專屬之通訊連結網路的主要技術。之所以稱為「虛擬」是因為,相對於實際於兩點之間佈設實體線路,此種連線方式屬於一種並非實體存在的暫時性連線,所欲通訊的資料透過網際網路在兩點之間傳遞,就像其間存在著一條專屬的「通道」(tunnel),也因此又稱為「通道技術(tunneling)」。近年來由於寬頻網路技術大幅提昇且逐漸普及,運用VPN技術,提供使用者透過免費公眾網路存取組織內部網路的作法,更因為其經濟且安全的特性,而成為一般企業及學術單位的選擇。

 

本校為提供研究及教學需求,自民國九十一年起,採購自有出國頻寬,第一年因預算因素,僅購買12 Mbps。由於頻寬有限,初期除了規劃全校師生透過網頁快取伺服器可利用自有出國頻寬瀏覽網頁之外,也特別架設VPN服務,供教師透過自有出國頻寬使用其他網路服務,如ftp、telnet等應用。此VPN服務採用PPTP(Point-to-Point Tunneling Protocol)技術,使用者利用Windows環境內建的VPN用戶端軟體,經過適當設定後即可使用VPN連線。

隨著逐年增加自有出國線路的頻寬,目前全校之出國流量,已可自動經由台大自有出國頻寬,無須特意透過網頁快取伺服器(web proxy)及VPN服務。不過,隨著網際網路應用的多樣性及普及化,伴隨而來的通訊安全威脅及考量,使得同時兼具驗證及加密特性的VPN服務,仍具備不可取代的重要性。基於因應全校師生使用VPN連線,進行各式網際網路應用的需求,計資中心於民國95年增購了SSL VPN設備,讓使用者無須安裝或設定VPN用戶端軟體,只要利用無所不在的網頁瀏覽器,即可透過熟悉的Web操作介面,以HTTPS連線方式使用VPN服務。

 

VPN技術介紹

針對台大校內提供的兩種VPN服務:PPTP及SSL VPN,以下將分別予以說明其技術背景。

PPTP通道技術
PPTP(Point-to-Point Tunneling Protocol)通道技術由於其容易設定的特性,而且是微軟撥接網路(Dial-up Networking)第一個支援的VPN協定,因此被廣泛採用。PPTP協定的規格定義在RFC2637(http://tools.ietf.org/html/rfc2637),但並未成為IETF的標準。

PPTP的運作方式是藉由將網路協定資料段封裝(encapsulated)在IP封包中,然後透過網際網路傳送。經過包裝之後的封包,會被網路上任何路由器或機器視為一般IP封包般傳送,直到抵達通道的另一端之後,才將傳送端封裝上去的IP表頭取下。此種IP封裝的好處是可以讓許多不同協定的資料能夠經由僅支援IP的網路媒介(例如,網際網路)傳送。

如[圖一]所示,若使用者從網際網路上任何地方,例如家中ADSL連線或國外等非台大校園網路,透過與台大PPTP VPN伺服器建立PPTP連線後,使用者即可取得台大校園網路的IP位址,就像在台大校園內使用網路一般。如此一來,使用者便可順利使用透過台大IP位址方可運用的資源,例如圖書館電子期刊、台大自有出國頻寬連線、以及其他以IP位址作為存取控制的各項服務。

 

20070620004001.jpg

圖一、PPTP VPN運作架構

 

SSL VPN技術
相對於以PPTP通道技術提供的VPN服務,SSL VPN的運作是在網路的應用層上進行,是一種利用HTTPS通訊協定的VPN架構。由於現今的電腦作業系統大多皆搭載支援HTTP及HTTPS(SSL-based HTTP)通訊協定的網頁瀏覽器(web browser),因此對於使用者而言,SSL VPN是一種較為簡易且方便的VPN使用方式。SSL(Secure Socket Layer)安全協定是網頁伺服器和瀏覽器之間以加解密方式溝通的安全技術標準,這個溝通過程,確保了所有在伺服器與瀏覽器之間通過之資料的私密性與完整性。SSL 標準的規格可參考IETF的RFC 2246(http://www.ietf.org/rfc/rfc2246.txt)。

SSL VPN的運作方式是由遠端使用者連線到SSL VPN閘道,進行相關之驗證與認證(Certificate、SecurID、LDAP、Radius、NTLM…等等)之後,再經由SSL VPN閘道,作為遠端使用者與後端網路應用的轉運站,進行安全的連線,提供遠端使用者成功存取組織內部的網路資源。如[圖二]所示,若使用者從網際網路上任何地方,透過網頁瀏覽器(例如IE)以HTTPS方式與台大SSL VPN伺服器建立SSL連線後,使用者即可形同透過台大校園網路一般地存取校內或網際網路上的資源,並進行各項網路傳輸服務。

 

20190620004002

圖二、SSL VPN運作架構

 

SSL VPN服務是近年來新崛起的VPN型態,因為採取SSLVPN模式時,使用者端無須安裝或設定軟體,而是透過普遍存在於各種作業系統上的網頁瀏覽器連線;而且正由於SSL VPN是藉由標準的HTTPS協定,因此不會因為使用者位於NAT或防火牆等設備後方而對連線造成影響。此種架構無論對於VPN服務提供者或使用者而言,都是可輕鬆部署且容易使用的服務。

 

台大VPN服務

本校目前提供PPTP與SSL兩種VPN服務連線方式,供全校教職員生使用。以PPTP VPN連線方式而言,使用者可利用Windows作業系統內的網路連線功能,建立一個虛擬私人網路(VPN)連線,經過計中帳號密碼通過認證之後,即可成功連上台大VPN服務(詳細設定步驟請參見http://ccnet.ntu.edu.tw/vpn/install.html 網頁的「PPTP VPN連線方式說明)。

 

一旦連上PPTP或SSL VPN服務,使用者的電腦會取得台大校園IP位址,同時所有網路流量皆改為經由校園網路通往目的地。舉例來說,假設使用者人位於美國西岸某大學,一旦連上台大VPN服務後,所有網路流量將先經過國際線路回到台大校園網路之後,再走台大網路通往目的地,可能是台大校內、國內ISP、或甚至是美國國內ISP。也就是說,並非隨時都適合使用台大VPN服務,若使用者必須取得台大校內IP位址方可使用校內特定服務,這才是使用台大VPN的適當時機;反之,若如前例所述,使用者位於美西且欲瀏覽美國境內ISP上的網頁,那麼透過台大VPN服務的話,其連線將流經一大圈回到台大之後再繞回美國。因此,只要慎選使用時機,VPN服務將可為校內教職員生提供使用校內服務的便利性,也歡迎大家多多使用台大VPN服務。