More Related Content
Similar to vpn_introduce (20)
vpn_introduce
- 10. Remote Access VPN
VPN 用戶端在遠端先與 ISP 撥接連上網際網路
透過 ISP 與總公司之 VPN伺服器進行連線
使VPN 用戶端感覺像身處總公司內部網路般。
保護遠端使用者的資料傳輸
- 11. Site to Site VPN
又稱為路由器對路由器 VPN 連線
兩分處不同地區之區域網路透過雙方之 VPN 伺服
器來建立 VPN 連線
VPN 閘道器(VPN gateway)
保護點跟點間的傳輸
- 24. 驗證與協定
EAP
PAP
CHAP
MS-CHAP v2
VPN類型
PPTP
L2TP / IPSec
SSTP
IKEv2
- 26. VPN類型 - L2TP / IPSec
Layer Two Tunneling Protocol
一種虛擬隧道協議,不提供加密與可靠性驗證,經常與
IPSec 協議搭配 合稱L2TP/Ipsec
優點:比PPTP安全、易安裝
缺點:使用UDP port500,所以容易被NAT防火牆擋下來,
如果要翻過去就需要設定(port forwarding port轉向)
爭議:史諾登有爆料 這個標準已經被NSA(國家安全局)解破。
- 27. VPN類型 - SSTP
Secure Socket Tunneling Protocol
微軟為了改善傳統連線缺點所提出的加密協定,在Vista SP1
時推出
優點:
1. 簡化設定過程
2. 增加了穩定與數據傳出安全性
3. 能夠大幅度穿越網管人員所設下的Firewall (使用TCP
port443)
缺點:code是微軟的,並沒有公開
爭議:之前NSA要求微軟的系統裝後門,所以也不要太信任。
- 28. PPTP V.S. L2TP
X.25 跟TCP/IP(5層) 是對等的,3Layer (實體 / 資料 / 封包)
也是分封式交換網路的一種,很舊了,用電話網路,類比方式傳送,
分兩類
1. PVC(固定線路)
2. SVC(類似撥接,需要才建立連線)
- 30. VPN類型 - IKEv2
Internet Key Exchange version 2
也是一種安全的VPN連線方式
在客戶端,即使改變IP地址,切換VPN連接或操作。只
要連接到VPN服務器,VPN隧道都會自動重新建立。
機制:如果遠程伺服器沒有配置IKEv2使用授權證明,
或者用戶的授權證明是由不可信任的CA發行,那就不
會過
- 31. 驗證與協定 – EAP (RFC 3748)
Extensible Authentication Protocol
一種認證框架,針對資料鏈結層,不會碰到IP
目的:避免資料重複去除&重傳
duplicate elimination and retransmission
- 32. 驗證與協定 – PAP
Password authentication protocol
基本的密碼協議
機制缺陷:在網路上傳送未加密的ASCII密碼,所以不
太安全
目的:如果伺服器不支援CHAP或EAP 就會用PAP
- 33. 驗證與協定 – CHAP (RFC 1994)
Challenge-Handshake Authentication
Protocol
三方握手校驗身份,可在初始鏈結建立時完成,再在鏈
結建立之後重複進行
- 34. 驗證與協定 – MS-CHAP v2
微軟自己寫的 CHAP版本
只有一點點差異Ex. 提供了一個認證者控制的密碼變更
機制
可參考http://zh.wikipedia.org/wiki/MS-CHAP
- 41. 下載 上傳 下載 上傳 下載 上傳 下載 上傳
51.92 34.2 2.51 7.85 - - 30.55 26.37
48.59 37.55 2.38 27.1 28.45 31
48.92 38 2.43 8.58 26.54 29.64
3.1 19.83
原始網路 NCU 計中 VPN 圖書館VPN 管計 VPN
- 42. 測速
圖書館可能有設定阻擋某些連線協定 Ex. telnet
圖書館無法測試上傳速度
此外,用中研院跟Dr.speed比,速度也有不同可能
是因為有背景軟體佔用http上下傳頻寬
上傳速度很不穩定,推測除了受原本上傳頻寬限制外,
也與VPN Gateway有關
- 52. VPN v.s.虛擬網路電腦(VNC)
虛擬私人網路(VPN) 虛擬網路電腦(VNC)
連線
方式
1 device
v.s.
a large public network
1 device
v.s.
1 device
Totally Different !!!
VNC的伺服端目的是分享其所執行機器的螢幕,
伺服端被動的允許客戶端控制它。
VNC客戶端觀察控制伺服端,與伺服端互動。
VNC 協定 Protocol (RFB)是一個簡單的協定,
傳送伺服端的原始影像到客戶端, 客戶端傳送
事件訊息到伺服端。
- 54. 參考資料
中央VPN http://ppt.cc/YfGE
中央VPN
http://wiki.cc.ncu.edu.tw/wiki/%E5%88%A9%E7%94%A8VPN%E9%80
%A3%E7%B5%90%E5%9C%8B%E5%A4%96%E7%B6%B2%E8%B7%AF
EAP https://tools.ietf.org/html/rfc3748
MS-CHAP v2 http://zh.wikipedia.org/wiki/MS-CHAP
PVC http://fund.bot.com.tw/z/glossary/glexp_1292.djhtm
VPN類型
http://webcache.googleusercontent.com/search?q=cache:hceo
N5azarYJ:https://www.bestvpn.com/blog/4147/pptp-vs-l2tp-vs-
openvpn-vs-sstp/+&cd=1&hl=zh-TW&ct=clnk&gl=tw
Editor's Notes
- 標題 48內文 24
- 在傳統網際網路時代,跨區域之大型公司為使各地分公司能與總公司連結以建立公司之內部網路(Intranet),通常需要向網際網路服務提供者(ISP)申請,架設一條專有線路以供企業體專門使用,但是線路建置之費用隨距離成倍數上升,而且每個月所需負擔之網路費用亦高的嚇人,每每令許多中小型企業不勝負荷。而VPN技術之發展即為解決該問題的方法。
- 利用公眾網路,而骨幹座私人資料傳輸,使得使用上好像擁有一私人網路一般
- 在Interent上面,VPN封包會和其他資料流混合,但因為只有連線的端點才能讀取流量,因此就像是開啟一條虛擬的私人通道。
資料在公眾網路中傳輸的安全性是VPN架構中相當重要的一個因素
- 1.成本較低:
VPN的架設,在設備的使用量及廣域網路的頻寬使用上均較專線式的架構節省,故能使企業網路的總成本降低。根據分析,在LAN-to-LAN的連結上, VPN將較專線式的架構成本節省20% ~ 40%左右;而就遠端存取(Remote Access)而言,VPN更能比直接撥接至企業內部網路節省60% ~ 80%的成本。
2.網路架構彈性較大:
當有必要將網路擴充或是變更網路架構時,VPN可以輕易的達成
3.管理方便:
較少的網路設備及實體線路,使網路的管理較為輕鬆;不論分公司或是遠端存取用戶再多,均只需透過Internet的路徑進入企業網路。
- VPN 用戶端可在遠端先與 ISP 撥接連上網際網路,而後透過 ISP 與總公司之 VPN伺服器進行連線請求以建立 VPN 連線,如此即可透過該連線安全地傳送資料,使VPN 用戶端感覺像身處總公司內部網路般。
- 又稱為路由器對路由器 VPN 連線 (router to router VPN connection)
該連線方式可透過兩分處不同地區之區域網路透過雙方之 VPN 伺服器來建立 VPN 連線,使兩區域網路內之使用者可安全地透過 VPN 連線來傳送資料。 兩地使用者亦感覺身處同一區域一樣方便。此時之 VPN 伺服器又稱為 VPN 閘道器(VPN gateway)。
- 虛擬電腦網路 遠端連線(遠端控制的應用)