编者按：InterNet改变企业运作模式，原本靠电话、传真为沟通媒介的企业，逐步被电子邮件、实时传输软件所取代，同样地，原本依赖调制解调器拨接、数据专线或分封网络联系的企业网络系统，也被网际网络取代，如何善用它并且以安全、方便地连接分布在世界各地的企业网络，运用VPN (Virtual Private Network) 技术是最便宜及方便的方法。

　　这里所指VPN是建构在网际网络下的虚拟私有数据网络，而且所有的设备及技术都掌握在企业端，而不是利用SVC(Switched Virtual Circuit，交换式虚拟线路)、PVC(Permanent Virtual Circuit，固定式虚拟线路)、ISP提供的IP VPN或者MPLS VPN等技术所建立的VPN。同时也不讨论建立VPN时所需要的艰深难懂的封包加解密、认证等技术，单纯以VPN对企业的帮助观点及运用方式讨论。

　　企业为何要用VPN

　　企业为了贴近市场的需求，就近建立分支机构服务当地的客户，这是现代竞争不得不做的决定，但是如何整合企业的内部资源，让资料同步化，决策更快速，困扰所有的网管人员。大型企业有足够的能力及预算建立速度较快的点对点数据专线，但是众多的中小型企业呢 ? 所以透过网际网络建立的VPN信道就变成企业间建立网络联机的首选。相较于早期依赖调制解调器拨接、数据专线或分封网络联系的企业网络系统，VPN的建置提供了下列的几项优点：

　　1、网络联机成本低：由于VPN的架设是建构在网际网络的基础上，共享原本企业上网际网络的网络设备，除了额外投资的VPN设备外，几乎没有再添加其它设备，所以线路建置及联机费用均较数据专线式或分封网络的架构节省，故能使企业网络的成本降低。

　　2、建置速度快：只要能上网际网络的地方，都可以建置VPN联机，不论是调制解调器拨接、ADSL、Cable Modem、专线，再加上VPN设备就可以快速建立企业所需要的VPN。

　　3、设备成本低：VPN的网络技术是成熟的技术，甚至在操作系统中都已内建 VPN所需要的PPTP、IPSec 协议，企业及分支机构仅需一台连上网际网络设备(一般为路由器或ADSL Modem) 与建立VPN信道所需要的设备。

　　4、网络架构弹性高：VPN较数据专线式的架构有弹性，如果需要将网络扩充或是变更网络架构，只要修改VPN信道的设定就可以轻易的达成，相对的，传统的数据专线式架构便需要更动相当多了。
　　5、网络安全性高：建立VPN信道后除了传输数据加密外(一般都会使用DES或3DES的加密技术)，存取企业网络时不需要在原来的防火墙开特定Port号，降低被攻击的风险。

　　6、网管方便：VPN所使用的网络设备及实体线路均比传统数据专线少，使网络的管理较为轻松，不论分公司或是远程访问用户再多，都可以集中控管进入企业网络的路径。

　　VPN 在企业网络的运作模式

　　VPN在企业网络系统下的运作模式，依其用途可以区分为三大类：
　　1.总公司跟分公司内部网络联机(Site to Site VPN )。
　　2.远程存取(Point to Site VPN)。
　　3.公司跟外部网络建立VPN。
　　以某个企业在台湾台北设有总公司，同时建置其数据库及网际网络服务，在台湾台中、高雄有服务据点，中国大陆苏州、广东东筦有制造工厂，同时有营业及服务人员使用笔记型计算机散布在世界各地服务客户，它的网络架构图如下：

　　VPN信道建立目标：

　　1、台湾台中、高雄分公司同时会有2部计算机以上同时存取公司进销存系统。
　　2、中国大陆苏州、广东东筦的生管系统可以跟总公司数据库主机资料同步。
　　3、在外业务或服务人员，随时可以进入生管系统查询客户订单的生产流程。
　　4、所有人员都可以使用公司的电子邮件服务器。
　　5、总公司使用两条ADSL 双向512Kbps，固定IP地址。
　　6、分公司及工厂使用计时制的ADSL 调制解调器。
　　7、在外面的营业及服务人员使用任何可以上网的工具，如Modem、ISDN、ADSL等。

　　总公司跟分公司内部网络联机(Site to Site VPN )

　　不论是分公司或工厂，每个地方同一时间内都有超过2台以上的计算机会对总公司内部网络的数据库主机做存取动作，所以采用Site to Site VPN 的建置方式，所谓Site to Site VPN 就是利用防火墙内建的VPN功能或专属的VPN设备，透过网际网络建立信道，让两端的计算机都可以互相通讯，例如，总公司的IP网段为 192.168.1.0/24，分公司的IP网段为192.168.2.0/24，一但建立信道，总公司跟分公司的计算机好象透过两个路由器及长途数据专线连接起来，分公司的计算机直接存取总公司的网络资源，而不需要执行任何外挂的软件。

　　在这个范例中，总公司采用ShareTech公司所生产的BM-188A产品，当作总公司的防火墙及VPN设备，ShareTech BM-188A除了具有上述两种功能外，又有频宽管理及2 WAN 线路负载平衡的能力，因为总公司负责所有分公司数据链路的重责大任，所以设备必须能整合两个不同线路供货商的网际网络服务，确保所有服务不中断。分公司及工厂则依其使用者多寡，采用ShareTech所生产的FW-3180A或FW -2190防火墙及VPN设备。整体网络建构示意图如下：

　　在这个范例中，建立4条VPN信道，将5个地方的网络连接在一起，不论是在哪个地方，都可以存取总公司的数据库主机，而不管网际网络上的实体IP变化。使用的技术是IPSec，IPSec是由IETF所提出的IP层通讯安全保密架构，几乎所有市面上的防火墙、路由器都有支持它，所以应用面相当广。

　　远程存取(Point to Site VPN)

　　网际网络快速发展及笔记型计算机取代桌上型计算机的趋势，让行动办公室不再是高不可攀的方式，企业为数众多在外打拼的人员，如何让他们跟公司的互动更加密切，更快速地了解生产进度、销货情形。除了传统的电子邮件及实时通讯软件外，是否还有其它方法，让这一些人能够实时地、安全地进入公司的ERP系统、进销存系统操作企业机密的资料。一般的做法是将这些资料以WEB的方式或使用特定Port号直接进入系统中操作，但是这样等于撤守防火墙的防线，开大门请有心人士直接攻击主机，如何在安全、保密、方便及预算中取得非常好的的平衡点，Point to Site 形式的VPN联机是一个最好的答案。

　　以上面的企业组织为例，除了既有的ShareTech BM-188A防火墙+VPN设备外，再使用Microsoft的 PPTP Client端程序，所以不需要添购额外的软件及硬件，建议系统架构图如下：

　　在外人员取得IP地址是总公司内部的一部份网段，所以PPTP建立的VPN就好象透过网际网络拉了一条无线长的网络线给笔记型计算机，当然可以使用公司内部的资源，又因为所有资料在网际网络上传递都有加密，所以安全性获得确保。

　　公司跟外部网络建立VPN

　　不同的企业之间如何利用网际网络降低沟通成本及人事操作，网络连接是最好的方式，但是不同企业间建立的VPN信道并不像上面两种联机方式那么简单，因为一但建立两端的VPN联机，所有两端的计算机、主机都会畅通无阻，没有任何管制，这对属于企业内部编制人员而言，不会有太大困扰，但是对于不同公司之间，对于资料的安全性就要详加考虑，当然建立VPN信道的技术及方法并没有改变。以Site to Site技术建立的VPN 信道为例，将原本建立到内部网络的IPSec VPN转到对非军事区去，透过防火墙管制非军事区的IP到内部网络行为就可以获得初步的管理效果，如果能在非军事区建立两层的防火墙，对于这样的运用会更安全。

　　VPN网络中，最关注的问题

　　网络联机速度

　　这不只是一个数学问题，而是牵扯广泛的网络哲学，举例来说，台湾用双向512Kbps连上网际网络，中国也选择同样速度的网际网络联机，当两边用VPN设备连起来后，点对点的联机速度并不是双向512 Kbps，因为网际网络是属于共享性平台，实际的联机速度取决于两岸之间的网际网络供货商所能提供的最大频宽，慎选线路供货商在这个地方往往能达到事半功倍的效果。

　　骇客、病毒透过VPN传递

　　一但建立VPN联机，所有两端的计算机、主机都会畅通无阻，没有任何管制，有可能企业对外的联机防护相当缜密、安全，但是攻击及病毒感染确来自VPN联机的另外一端。 (最新推出的AW系列已经集成病毒引擎）

　　VPN设备稳定度

　　VPN设备建立联机后，如何保证这个联机能够持续稳定地联机，因为VPN断线不一定是设备的问题，有可能是网际网络线路被中断一段时间导致联机不正常，VPN 设备如何侦测任何可能的情况，并在最短时间内恢复联机，考验所有VPN设备。

　　结论
　　VPN对企业的帮助相当大，它大幅地降低联机成本、加快反应速度、增加企业竞争力，虽然有一些负面的考虑，但是整体而言，利多于弊，就好象一把刀，可以用来杀人、也可以保护自己，对于信息主管或企业主而言，选择功能完整的防火墙及VPN设备，就让事情成功了一半。