什麼是網路 

Network網路意指將一部以上之電腦周邊或資訊系統透過傳輸媒介予以連結在一起,並能彼此交換訊息、資料與共享資源,此
即為電腦網路(Computer Network);而區域網路(Local Area Network)意指以上述方式於短距離區域內(通常為2Km範圍內)連結電腦
網路,而廣域網路(Wide Area Network)則意指在長距離或透過公眾電信網路將區域網路予以連結之所稱,因此LAN-WAN之連結
我們便稱為網際連結(Internetworking)。 

區域網路通常有三種實體層連結拓樸,包括匯流排式(Bus),樹狀式(Tree)即星狀式(Star),當然也可以是前式之互相組合。 

區域網路的現代詮釋主要達成三大功能性連結: 

一為連接性(Connectivity)---將各式各樣之電腦主機、周邊等相關資訊系統透過傳輸媒介互連後能彼此執行相關的應用程式,達
到資訊共享的目的。 

二為網際連結(Internetworking)---執行高速網路資源存取與交換,並可透過廣域網路或網際網路執行網網相連之目的。 

三為應用互連性(Interoperability)---使得資訊應用能完成一致性與互連能力,達成資訊溝通之目的。 

為何需要個人電腦區域網路 
 .可以分享昂貴的週邊設備,節省投資成本 
 .以高速率傳送資料或檔案,提高工作的效率 
 .建立相互通訊的管道,避免時間的浪費 
 .共同使用應用軟體,共享彼此資源 
 .分散主機的負荷,彈性的網路節點擴充 

為何需要廣域網路 
 .解決網路與網路間之連接的問題(LAN,WAN)解決區域網路連線距離的限制 
 .解決區域網路網路節點數量限制及效率提昇 
 .提供不同網路之資源共享及強化系統管理整合 


============================================================ 

什麼是Firewall 

每當有一家新公司的網路接上了資訊高速公路,網路駭客便看到了一個新領域要去征服。系統管理者日益感受到保護企業內部
網路的重要。一般的解決方案是在企業內部網路及網際網路之間,架設一個可監管的gateway ,稱之為 Firewall﹝防火牆﹞。事
實上,在網際網路上有超過三分之一的電腦是隱藏在FireWall之後。 

   FireWall 的使用,即是在允許或禁止網路上特定之資料存取行為。這些決策都是根據企業之保全政策而制定。如果你要從
企業內部的網路提供資訊服務的話,那你就必須對這些保全政策非常熟悉,因為這跟軟體的設定息息相關。 

  FireWall 的基本工作就是檢查主從式架構間的 IP 封包。藉由這樣的方式,FireWall可以經由IP位址、port及方向來控制資訊
的傳播。FireWall的政策制定,如同是方便與保全之間的取捨。兩者之間是互相對立的。 

  一個 FireWall 基本上必須能夠達成幾個基本的功能:第一,它必須能夠防止所有保全策略所禁止之資料存取。第二,它必
須能夠記錄所有可疑的資料存取。第三,當有入侵行為發生時,它必須能夠對系統管理者提出警告。有些 FireWall 還可以提供
相關之統計資料,供系統管理者參考。 

Firewall種類: 

以下介紹防火牆的兩種基本型態,這兩種型態的防火牆各有其優點與功能上的極限。目前市面上有各種不同的防火牆,但其基
本型態都脫離不了這兩類的範疇。 

Dual-Home Gateway 
  這一類的防火牆是在單一主機上架設兩個網路介面。這樣的架構,防止了網際網路上的封包直接傳入企業內部網路中。因
此網際網路上的電腦和企業內部網路上的電腦彼此不能互通,除非透過防火牆的中介。 

  Dual-Home gateway 最大的缺點在於它將網路上直接的IP交通給封鎖了。因此跨網路的主從式應用程式便無法使用,要解決
這樣的不便,必須要在Dual-Home gateway上執行proxy才行。Proxy 等於是主從架構中的一個居間的媒介,伺服程式與用戶端都
藉著與proxy的溝通來完成工作。目前對proxy的要求是〝透明化〞,讓使用者在****作的過程中,完全不會查覺到proxy的存
在。 

  良好的proxy不僅提供了伺服程式與用戶端一個溝通的橋樑,更進一步,它可以控制資料傳送的方向。提供系統管理者安
全管控的功能。這些管控包括了密碼與資料加密的功能。 

Screened-Host Gateway 
  控制主機運作的原理,對於router的管控。一般router都設定為僅對控制主機的某些服務開放外部直接通訊。更進一步,
router 可以僅對外部網路的某些特定主機開放通訊。大部份的系統監管者對router都設定為對內部網路的所有主機開放對外通
訊,在這樣的情況,完全不需要架設 proxy程式。 

  前面我們曾經提到,對於router我們可以開放某些特定的通訊。要注意的是,在開放的同時,我們等於也對網路駭客下了
邀請函。對於類似World Wide Web 等這類新服務,或許還留有許多安全上的漏洞。如果開放內部的網路主機直接對外提供www 
的服務,或許你已經在FireWall的銅牆鐵壁上,大開方便之門。 

如圖所示,Screened Host Gateway 其控制主機僅有一個網路介面,並且需要router來協助完成工作。關於 router 的設定,必須能
擋住所有通往內部網路的通訊,僅留下Screened Host可與外界直接溝通。與Dual-Home gateway 不同的是 Screened Host gateway並
不強制經手所有的通訊。藉由router的設定,可以在firewall上開放某些特定的通訊。 

安全等級 

最近防火牆的聲浪愈演愈烈,各家廠商號稱自己的產品擁有某個等級的安全標準。到底這些安全標準代表什麼意思呢?根據美
國國防部所發表之電腦可信度標準規範橘皮書,電腦安全可區分為七個等級。這七個等級包含了硬體安全、使用者授權、作業
系統可信度以及使用者應用程式等。這些等級中,也規定了那些系統可以互相連接 。 

.LEVEL D1 

  這是所有等級中最低的一級,意思就是說這一類的系統是不可信賴的。硬體上毫無保護,作業系統無法把關,使用者根本
不須要授權就可以使用電腦上的任何資訊。像MS-DOS,MS-Windows以及麥金塔等作業系統都屬於這一類。像這一類的系統根
本不知道是誰在敲它的鍵盤,對於硬碟上哪些資料可以供人存取也毫無管制。 

.LEVEL C1 

  在Level C中又可區分為C1和C2這兩個等級。Level C1別稱鑑別式安全保護系統,這也是一般UNIX所通用的安全系統。在
硬體上雖然有著某種程度的保護,但是並不保証是銅牆鐵壁。使用者必須靠註冊名稱和密碼才可以進入系統。在這兩種方式的
組合之下,可以對不同的使用者制定不同的使用權限。 

  這些權限的使用方式是對提供使用者對於檔案及目錄的存取能力。通常系統管理者會擁有至高無上的權限,這些權限包括
了對其他使用者權限的制定。如果系統管理者不夠謹慎的話,很容易讓系統安全上漏洞百出。 

.LEVEL C2 
  C2在上述的缺點中作了一些改進。在C2的環境中,除了權限的設定外,系統管理者可針對特定的使用者開放特定的檔案
存取權。更進一步,在系統上所有的活動都必須受到監管。通常都會有一個監管程式來紀錄系統上所有的活動。在C2的環境
中,系統管理不再依賴系統監管者一人。藉由授權的方式,系統管理者可以開放特定的權限給某個使用者。讓他來執行系統管
理的工作。 

.LEVEL B1 

  在Level B中包含了三個等級。等級B1,又稱標記式安全保護,這是第一個支援多層安全的等級,像密件、機密還有極機密
等。在這個強制性安全系統的管制下,物件【如:檔案】的擁有者是不可以任意更改物件的存取權限。 

.LEVEL B2 

  等級B2又稱結構化保護,在這個系統中,所有的系統都必須作上標記。每一種設備【如:磁碟機、磁帶機、終端機等】都
有多層安全標記。這是第一個等級考慮到不同安全等級的物件互相溝通時的安全問題。 

.LEVEL B3 

  等級B3,別稱安全區域等級。在這個等級中,所有硬體的安裝都必須有安全上的考量。例如:記憶體的管理、硬體上必須
作到能夠未授權的存取。在這個等級中,終端機的連結也必須透過可信賴的途徑。 

.Firewall DNS & Mail 

FireWall 最主要的目的,就是在於保障內部網路的資訊,不受外部網路的侵犯。對於這樣的作法,有幾個延伸的問題須要加以
討論。當內部網路的資訊完全對外隱藏之後,這時內部的網路儼然自己成為一個網際網路。換個方式來講,以往公司內部連接
至網際網路的主機數目,受到了當初所申請的網路等級限制。如:Class C 的網路僅提供254個連接點。當您公司內部網路上架
設了FireWall之後,您可以自定為一個 Class B,甚或Class A的網路。如此可以降低網路的成本。 

  聰明的您立刻會想到一個問題,當內部的網路資訊全部被隱藏起來之後,那麼網際網路上的人要如何將 e-mail 傳送給企業
內部網路的使用者呢?這個問題要從兩個方面來著手,一個是DNS,另一個則是Mail hub,我們以Dual-homed Gateway來作說
明: 

在網際網路上,所有的人都只知道Dual-homed Gateway的存在,在這一方面,Dual-homedGateway的IP是由 ISP所提供的。另一方
面Dual-homed Gateway也連接到內部的網路上,對於內部網路IP的控制,全都是由我們自己來控制。當網際網路上有e-mail送來
時,首先是由Dual-homedGateway接收到。Dual-homed Gateway本身必須設定成Mail Relay。當Mail Relay收到信時,它會無條件的
再轉送到Mail Hub。然後再由Mail Hub來轉發給內部網路使用者。當內部網路的使用者要送e-mail到網際網路上時,信件本身會
先交給Mail Hub來處理,Mail Hub再轉送給Dual-homed Gateway來處理。這時候您一定想到了,當e-mail送到網際網路上時,企業
內部網路有那幾部主機,豈不是一一隨著e-mail通知了網路駭客了嗎?對於這樣的疑慮,則是由Dual-homed Gateway來處
理。Dual-homed Gateway在收到內部網路轉來的信件時,會將內部e-mailaddress上主機的名稱刪除。 

  這樣看起來似乎己經大功告成了,可是仔細一想,當網際網路上的收信人收到e-mail時,他要如何根據一個沒有主機名稱
的e-mail address來回信。另一方面,當企業內部網路上有不止一部mail server時,這時e-mail要如何處理。 

  我們仍然以Dual-homed gateway的架構來作說明。 

  假設Mail Hub的主機名稱為mail,FireWall的主機名稱為fire,而網域名稱為your.domain.name。現在我從mail上要發一封信到
網際網路上,因此發信人全名就是jerry@mail.your.domain.name。收信人接到了這封信之後,當他要回信時,DNS必須知道
your.domain.name所代表的IP address為何。通常我們將your.domain.name設定為跟fire.your.domain.name一樣。因為我們已經將fire
設定為Mail Relay,所有的信件會無條件送到Mail Hub上。在Mail Hub收到這封信之後,他就會根據id將這封信送給jerry了。 

  DNS的設定可以請ISP業者協助,或自行管理DNS Server這樣子第一個問題就解決了。 

現在我們再來看一下第二個問題。 

  如上圖所示,在企業內部網路上共有四個Mail Hub,這時候當網際網路上來了一封信件時,這封信要如何轉送到某一部
Mail Hub的手中呢?假設在企業內部網路上有mail1,mail2,mail3以及mail4等四部主機,在mail1上有一個jerry,另外在mail2上
也有一個jerry。如果這兩個jerry不是同一個人的時候,那麻煩就來了。當網際網路上來了一封信要送給
jerry@your.domain.name,那麼這封信要送給jerry@mail1.your.domain.name還是要送給另一部主機上的 
jerry@mail2.your.domain.name呢? 

老實講,我並沒有這個問題的解答。同樣地,人不會解決的事,電腦也不會解決。關鍵就在主機名稱被拿掉了。沒有主機名
稱,除非在信件的本身另外指明了收信人以資判斷,不然在事前規劃階段就必須避免掉這個問題。一般處理的方式有兩種,一
是在信件處理過程中不將主機名稱拿掉,這樣子的作法會讓企業內部網路的主機訊息曝光。不然就是將主機名稱拿掉,但是同
一個使用者名稱不可;或者由Exchange Server去作設定;亦可解決此問題. 

以出現在兩部內部主機上。 

  如果不將主機名稱拿掉,那麼當信件送到網際網路上時,其發信人名將維持全名。【jerry@mail2.your.domain.name】不管
內部網路上有幾部主機,對外在DNS的設定上,都必須設成跟fire.your.domain.name一樣。這樣子所有來自網際網路上的信件都
會先送到fire上,再轉送給內部的各部主機。 

  如果是採用隱藏主機名稱的方式,那麼必須在一部主機上設定為主要的Mail Hub,所有來自網際網路上的信都會先送到這
部主機上。另外在這部主機上必須建立跟所有主機上使用者名稱相對應的帳戶,再利用Sendmail上,.forward的功能將信件再轉
送到每一部主機上。FireWall的使用,始終都是系統保全和使用方便之間的取捨。 

駭客檔案 

多年前曾經上演過一部電影─〝戰爭遊戲〞,主要內容是描述一位美國少年侵入了國防部的戰管電腦,差一點就引發核戰的過
程。電影下片後,在美國有人作了一個統計,所有的廣域網路使用者當中,其中有三分之二的人其上網經驗不及半年。 

  駭客們透過網際網路,將全世界的電腦****縱在股掌之中。某些國家已經開始將資訊戰列入戰略之中。在這我們要來探討
一下到底這些駭客們是使用那些方法來破壞你的網路保全。 

設法取得您的帳號 

  網際網路的使用者每個人都必須擁有一個帳號,就像在銀行開戶一樣,當你有了帳號之後,你就可以使用銀行所提供的服
務。每一個帳號都會設定一個密碼。當你使用某個帳號進入網路主機時,電腦就會問你密碼,以確定你是帳號的真正擁有者。 

  在電影〝戰爭遊戲〞中,男主角為了要破解系統的密碼,調閱了所有關於系統設計者的資料,最後才發現密碼就是系統設
計者的么折獨子的名字。 

駭客族最慣用的技倆 

  有一招是駭客們常用的手法,他們偽裝成為市場調查員,然後徘徊在公司附近,一有機會就詢問你個人的資訊,記下你的
車牌號碼、身份證字號。然後就用這些資料找出你的密碼。所以當下次再有人莫明其妙地問你個人問題時,那時就要請您提高
警覺了。 

密碼設計規則太過簡易 

  前一陣子,國內某大ISP業者〝Xinet〞上頻頻傳出有人密碼被破解、帳號被盜用的事件。ISP的系統管理者,每天要接受許
多的申請書,設立許多帳號。每天都要傷腦筋為這些帳號設定密碼,有的系統管理者乾脆弄了一些規則,只要將這些規則套用
在號上就可以得到密碼。很不幸地,〝Xinet〞系統管理者所設的規則實在太簡單了。 

〝password〞就能破解半數電腦 

  實際上,每一個使用者都可以隨時改變自已的密碼。但是當你在設定密碼時,卻也大意不得。曾經有一位駭客表示,只要
用password這個字,就可以打開全美一半的電腦。當然這個數字是有點誇張,但是其實大多數人在設定密碼時,想法都大同小
異。 

駭客們最常用來破解密碼的單字 

  love sex secret demo games test account intro password alpha hello kill beta dollar dead system computer work yes no please ok okay god 
superuser aid help 以及公司名稱等。如果你所使用的密碼是在上列之中,那麼奉勸閣下還是再換一個密碼吧! 


============================================================ 

什麼是Layer 2 Switch (第二層交換器) 

如圖所示OSI標準將通訊分為7層(Layer),包括 Physical,Logic,Network,Transport,Session,Present及Application等,每層各司
其職,最高層的應用程式(如WWW / HTTP)逐層透過解析與封包而由第一層(如Ethernet)之傳輸媒介載送信號傳至接收端;值得
注意的是TCP/IP的通信協定與各種應用程式通常省略了第五及第六二層,故只有五層。而Layer 2 Switch顧名思義,即是在區域
網路通訊傳輸中僅以第二層(MAC層)的資訊來作為傳輸與資料交換之依據,通常此類交換器先以學習的方式(Learning) 在每一個
port 紀錄該區段的MAC Address再根據MAC層封包中的目的地位址(Destination Address,DA)傳送該封包至目的地的port (或區
段),其他port (或區段)將不會收到該封包,若目的地位址仍然在該(或區段),則封包將不會被傳送。Layer 2 的Switch由於只判
斷第二層的資訊故其處理效能佳,且其有效隔絕區段間非往來封包(及獨享頻寬),大大提昇網路的傳輸效能,且因技術與ASIC
晶片的功能日益強化,目前較高檔的Layer 2 Switch 每個port 均可達到Wiring Speed 的傳輸率(Ethernet 為14880pps,Fast Ethernet 
為148800pps)。 

============================================================ 

Layer 3 Switch (第三層交換器) 

Layer 3 Switch 又稱為IP Switch 或Switch Router, 意即其工作於第三層網路層的通信協定(如IP),並藉由解析第三層表頭(Header)將
封包傳至目的地,有別於傳統的路由器以軟體的方式來執行路由運算與傳送,Layer 3 Switch是以硬體的方式(通常由專屬ASIC
構成)來加速路由運算與封包傳送率並結合Layer 2 的彈性設定,因此其效能通常可達每秒數百萬封包(Million packet per second)的
傳送率,並具備數十個至上百個以上的高速乙太網路(Fast Ethernet)連接埠,或數個至數十個超高速乙太網路(Gigabit Ethernet)連
接埠之容量。 

傳統路由器通常可處理Multiprotocal 多重協定路由運算(如IP,IPX AppleTalk,DEC Net...etc)但Layer 3 Switch 通常只處理IP 及
IPX,此乃為簡化設計,降低路由運算與軟體的複雜性以提昇效能,並配合網路協定發展的單純化(多重協定慢慢簡化至IP一種
協定)趨勢所致。 

由於Layer 2 的Switch 並無法有效的阻絕廣播域(Broadcast Domain)如ARP (Address Resolution Protocol)及Win95/98 中大量使用的
NetBEUI協定均大量使用廣播封包,因此就算Layer 2 Switch 以VLAN (Virtual LAN)的方式(虛擬網路)將經常要通訊的群組構成一
廣播域(Broadcast Domain)來試圖降低broadcast封包對網路層的影響,但仍無法完全避免廣播風暴問題(同一個VLAN間仍會產生
廣播風暴),再加上現今網路(尤其是Campus內部間流量及對外的Internet/Intranet流量)已不是80/20規則(80%流量在本地,20%是
外地),而是漸漸成為20/80規則,且加上Client/Server 及Distributor Server之運用,因此單靠Layer 2 Switch或傳統Router路由器便
無法符合對效能(傳統路由器變成瓶頸)及Intranet上對安全顧忌(Layer 2 Broadcast Domain,對因廣播而使資訊傳送被盜取的安全
疑慮)之要求,因此Layer 3 Switch便大量興起,初期只運用Core端(骨****),現在的趨勢已漸漸走向桌面(Layer 3 down to 
desktop)。 

如同傳統路由器(Router),Layer 3 Switch的每一個連接埠(port)都是一個子網路(Subnet),而一個子網路就單獨是一個Broadcast 
Domain廣播域,因此每一個port的廣播封包並不會流竄到另一個port,其僅負責傳送要跨越子網路的封包(Routing Forward),並
以目的地的IP位址(目的地子網路的網路號碼)來決定封包要轉送至哪一個port,並以Routing Protocol(如RIP或OSPF)來交換Routing 
Table並學習網路拓蹼,其通常存放於Layer 3 Switch的Routing Forward Data-Base(FDB),並以硬體及Route Cache的方式來加速IP 
table lookup並予以定址與更新(目前大多以ASICIC來執行),因此才得以提昇運算效能達成Wiring Speed Forward之目的。 

Layer 3 Switch通常提供較大頻寬的交換核心(Switch Fabric)以提供較大的容量(Port Capacity)與較高的交換效能,近來各廠家並不
斷附以Layer 3 Switch更強大的支援能力,如Class of Service(服務等級優先權),Quality of Service(服務品質保證),Policy 
Management(策略分級品質與頻寬管制與管理),Multicast Routing(群組廣播路由傳送)等功能,以符合網路環境的快速變化與應
用。 

============================================================ 

About VPN 

在Intranet和遠端存取網路上部署關鍵性商業應用程式,將能協助企業提高客戶滿意度、流暢商業程序和擴展市場,增強企業的
競爭優勢;然而,相關設備、WAN線路及管理成本往往形成公司沉重的負荷,無法符合他們要求的快速投資報酬。現在,虛擬
專線網路(Virtual Private Network;VPN)便是為傳統專線網路提供一項經濟的替代方案。 

就企業擴展而言,VPN經濟實惠的網路延伸,讓企業更輕鬆開拓新商機,得以在全球部署分公司而無需負擔全球投資;就企業
溝通而言,VPN可以大幅降低差旅員工的連接成本,將intranets延伸到分支辦公室,並使您可透過extranets來與關鍵夥伴及客戶
建立通訊。 

何謂VPN? 

虛擬專線網路(Virtual Private Network;VPN)是一種讓公共網路(例如Internet)變成像是內部專線網路的方法,同時提供您一如內
部網路的功能,例如安全性與優先性。VPN使您利用公用網路來建立與遠端使用者、分支辦公室及夥伴建立專屬連接。 

傳統WAN要求公司採購和維護多種專線,並包括設備和人員的投資。以傳統WAN模式延伸網路的方法,對您的公司而言可能
無法負擔其沉重的成本。相對的,VPN是建置在一個公共網路之上。您可以選擇聘請外界專家(服務供應商或加值經銷商)管
理,讓您得以專注於本身的核心商業。 

當您有了VPN之後能做什麼? 

如果您現在有一個VPN,就可以延伸公司觸角以達到更高商業效率,同時提高客戶滿意度。您只需負擔原先的WAN的數分之一
成本,就可以用一個VPN提供一如昂貴WAN的功能。讓我們來看一些例子: 

.改善通訊效能:延伸內部電子郵件、Internet存取和中央資料庫服務,以支援遠辦公室使用者。 

.員工差旅:如果您的員工能夠從任何地方存取網路,他們就可以更快地回應電子郵件、回覆客戶問題、將銷售訂單直接輸入
公司資料庫。由於資訊在線上流通,因此您可以為全球員工提供24小時全年無休的存取服務。 

.有效技術支援:技術人員透過電話或無線方式存取網路,將服務請求下載到現場運算設備,以免除每日來回維修中心取單、
交件的差旅時間。同時,總部的客戶支援人員也可以獲得立即的工作進度回報。 

.家庭辦公室:透過成本效益的存取能力將中央服務延伸到員工家庭,以提高生產力和士氣。 

.流暢作業程序:淘汰緩慢且耗費成本的紙張作業程序,將資源規劃、資料庫管理及其他關鍵性商業活動放在總公司的Intranet
伺服器,讓這些資源立即提供給全球分支辦公室人員存取,充份發揮投資效益並掌握更大的競爭優勢。 

.供應鏈管理:為供應商和廠商提供直接的線上存取,可以協助您更有效管理庫存,並降低採購、交貨和應付款等相關作業成
本。 

VPN提供您那些效益? 

VPN為您的企業提供真實且立即的效益。您可以使用VPN簡化SOHO和行動使用者的遠端存取,將Intranets延伸到分支辦公室,
甚至為關鍵客戶和夥伴部署extranets,這一切的成本遠低於採購專用WAN線路與設備並自行管理服務的方法。VPN屬於服務供
應商所有,並接受其管理,能夠在同一網路上為許多企業組織服務,利用軟體區隔交通讓各公司保有私密的通訊交通。 

VPN為您提供的效益包括: 

.降低經常成本:根據Strategic Networks指出,VPN和專線網路相比可以提供高達60% 的成本節省,並且顯著減少SOHO使用者
的撥接費用,VPN允許行動使用者和SOHO族透過POP進入網路,免除透過長途電話撥入中央數據機的電話費用。Intranet和
extranet VPN不再需要架設專線,而服務供應商將可以把省下的線路費用回饋給您。 

.降低設備成本:存取伺服器、大型主****網路路由器和交換器都由服務供應商管理,將可免除設備支出。您不需要採購、設
定或管理複雜的數據機群。客戶端設備通常由服務供應商或加值經銷商提供低價的租賃,以享有更大的升級彈性。 

.降低管理和支援成本:經濟規模讓服務供應商能夠幫您節省可觀的內部管理和支援成本,委外服務可減少或免除內部人員需
求。再者,您將享有24小時全年無休的服務與支援,由技術經驗豐富的人員快速解您的問題。 

.擴充連接方案:遠端存取、intranets和extranets可以到達Internet所能及的任何地方。大多數Internet都採用Cisco產品建置,因為
Cisco提供業界最強且最可靠的產品。Internet本質上是一種具備備援能力的網路,任一節點都可以經由數種通路到達。這些特性
加上以Cisco為基礎的VPN方案,滿足您any-to-any連接性的科技與頻寬需求,並提供無中斷的服務支援無法預測交通流量的Web
應用程式。Cisco產品的模組化元件提供經濟且便捷的方案,支援頻寬和速度需求與日俱增的網路存取。 

.無時空限制的存取:VPN用戶擁有相同的中央服務存取和邏輯觀,包括電子郵件、目錄、內部和外部Web網站、安全性和商
業關鍵性應用程式,並且可以透過多重媒介存取(LAN、數據機、xDSL或cable modem),而完全不需要觸及複雜的基底網路科
技。 

您可以節省多少成本?(投資報酬案例) 

VPN的主要效益是降低網路成本。您可以預期多大的投資報酬?雖然投資報酬率因地方和國家的不同而異,不過根據Emst and 
Young公司研究報告的例子顯示VPN和傳統WAN方案相比提供顯著的成本節省。 

一家保險公司希望支援25處遠端銷售辦公室撥入一台中央伺服器。 

傳統WAN方案: 
5-port 終端伺服器 $3,000 
25位使用者長途電話費(每天90分鐘,每分鐘0.07美元) $4,725/月 
一年總成本 $59,700 

VPN方案: 
CSU/DSU、路由器、T1 Internet 連接 $6,000 
VPN伺服器安裝、25台VPN client安裝(每台client 100美元,伺服器軟體5,000美元) $75,000 
一條T1線路使用費 $2,500/月 
25位使用者ISP服務月費(每位20美元) $500/月 
一年總成本 $49,500 
投資報酬:六個月(經常費用節省$1,725/月) 


============================================================ 
虛擬私有網路 --- VPN(Virtual Private Network) 

一、引言 

網路的建構及擴展已漸漸地改變企業經營的模式,傳統的工作環境及上下游廠商的關係將隨著網際網路的普及而有所更動;尤
其在虛擬私有網路(Virtual Private Network,VPN) 的架設之下,更會有革命性的變化。企業員工不再受限於固定的上班場所,而
是只要能連結上企業網路的地方均可辦公。同時,商場競爭的壓力也會迫使相當多的產業尋求與其上下游廠商相結合,以類似
一個大企業體系網路的方式運作(即所謂之Extranet),來增加其競爭優勢。 

上述的改變將會使企業的營運更加快速,產生更大的產值;而在此同時,卻也意謂著傳統固接式的企業網路連結架構將不敷所
需。在外出差的員工及配合廠商都將期待透過網際網路的途徑來存取企業內部的資訊,企業廣域網路架構也勢必需將VPN的功
能納入其中。 

依據美國Gartner Group的預測,在西元2003年時,幾乎所有的企業均會實際架設VPN的廣域網路方案。如此的動機其實是顯而
易見的:VPN最能滿足未來廣域網路多樣化的需求。此外,VPN的好處也很輕易的便能說服企業加以實際應用;相較於長途專
線,較低的建置成本,較快的回收期間及較為彈性的功能等優點,使VPN時代的來臨已是不爭的事實了。 


二、何謂VPN 

VPN,“虛擬私有網路”,簡易的說法,即是指在公眾網路架構上所建立的企業網路,且此企業網路擁有與私有網路相同的安
全、管理及效能等條件。VPN乃是原有專線式企業私有廣域網路的替代方案,VPN並不是改變原有廣域網路的一些特性,諸如
多重協定的支援、高可靠性及高擴充度,而是使用更為符合成本效益的方式來達成這些特性。 

VPN可以分成三大項目,分別為遠端存取(Remote Access)、Intranets 及Extranets。遠端存取VPN乃是連結移動用戶(Mobile User)及
小型的分公司,透過電話撥接上網來存取企業網路資源。Intranet VPN是利用Internet來將固定地點的總公司及分公司加以連結,
成為一個企業總體網路。而Extranet VPN則是將Intranet VPN的連結再擴展到企業的經營夥伴,如供應商及客戶,以達到協力廠
商彼此資訊共享的目的。 


三、 為何要用VPN 

相較於傳統的專線式網路連結,VPN的架構至少提供了下列的幾項優點: 
(1). 成本較低。VPN的架設在設備的使用量及廣域網路的頻寬使用上均較專線式的架構節省,故能使企業網路的總成本(Total 
Cost of Ownership) 降低。根據分析,在LAN-to-LAN的連結上,VPN將較專線式的架構成本節省20% ~ 40%左右;而就遠端存取
(Remote Access)而言,VPN更能比直接撥接至企業內部網路節省60% ~ 80%的成本。 

(2). 網路架構彈性較大。VPN較專線式的架構來的有彈性,當有必要將網路擴充或是變更網路架構時,VPN可以輕易的達成;
相對的,傳統的專線式架構便需大費周章了。 

(3). 管理方便。較少的網路設備及實體線路,使網路的管理較為輕鬆;不論分公司或是遠端存取用戶再多,均只需透過Internet
的路徑進入企業網路。 


四、構成VPN的要件 

VPN網路的形成,必定要有幾個重要的要素及條件,以確保資料能被安全、及時的傳輸於公眾網路之上。這些要件分別是: 

(1). VPN平台的擴展性(Platform Scalability) 

VPN的平台需要具備完整的擴展性,大至企業總部的設備,小至各分公司,甚至個人撥接用戶,均可被包含於整體的VPN架構
中。同時,VPN的平台亦需保留有對未來廣域網路頻寬擴充及連結架構更新的彈性。 

(2). 安全(Security) 

過去企業的網路架構,多以封閉式的專線連結為主;其主要考量即是在於資料傳輸的”安全性”。若在安全性不能被保障的狀
況下,一旦企業重要資料被駭客或有心人士所竊取,將對企業造成難以彌補的傷害及損失。這樣的危機考量,絕對是較網路建
置成本、便利性等因素來的更為重要,且不可替代。所以在VPN架構中的各項安全機制,諸如通道(Tunneling)、加密
(Encryption)、認證(Authentication)、防火牆(Firewall)及駭客偵防系統(Intrusion Detection)等技術,便成為VPN技術中最為重要的一
環。 

VPN的建置中,必需透過上述的各項網路安全技術,確保資料在公眾網路中傳輸時不致於被竊取,或是縱使被竊取了,對方亦
無法讀取封包內所傳送的資料。如此才可讓VPN的架構,取代傳統的專線式網路連結,而仍然讓企業的資料傳輸擁有相同的”
安全性”保障。 

(3). VPN服務 

頻寬的管理及服務品質(Quality of Service,QoS)服務的提供,來確保資料透過公眾網路傳輸時的及時性,避免網路的阻塞,並
提供封包資料的等級分類及傳送。 


五、VPN安全項目介紹 

如上節所述,資料在公眾網路中傳輸的安全性乃是VPN架構中,相當重要的一個因素;這些相關的技術包括通道(Tunneling)、
加密(Encryption)、封包認證(Packet Authentication)、防火牆(Firewall)、使用者認證(User Authentication)及入侵偵防系統(Intrusion 
Detection),分述如下: 

(1). Tunneling & Encryption 

藉由對資料加密的通道點對點傳輸技術,VPN可以確保非授權的用戶無法於公眾上讀取到他人的機密文件。通道技術讓企業能
建立邏輯上的點對點網路連結,而加密技術則是將欲傳送的資料加以編碼、計算,使得唯有發送者及接收者能夠解讀其中的意
義。 

一般常見的通道技術協定為Layer 2 Tunneling Protocol (L2TP)、Layer 2 Forwarding (L2F)、Generic Routing Encapsulation (GRE)及IP 
Security (IPSec)。而加密的技術則依加密鑰匙的長度不同,有DES及3DES等,至於加密鑰匙的管理,則可配合相關的管理伺服器
(Certificate Authentication Server,CA Server)來達成。 

(2). Packet Authentication 

當VPN的虛擬通道建立,資料要開始於通道上傳輸時,為了確保資料的完整性及確認其未被駭客修改過,便需利用一些封包認
證的協定來達到此目的。常見的技術如AH、ESP、MD-5及SHA等協定。傳送者及接收者於加密通道建立時便需溝通好依何種封
包認證技術來做資料的傳輸,故當接收者收到資料封包之後,便可利用事先約定好的封包認證方式來檢查封包是否在公眾網路
傳輸時被修改過。 

(3). Firewall & Intrusion Detection 

提供網路安全,便不能不談到防火牆及偵防系統,尤其在VPN的網路架構下,這些功能的建立更是不可或缺的。透過防火牆及
偵防系統,可以將可能的駭客入侵或是非授權用戶阻隔於企業網路之外,以保障企業網路的安全。 

(4). User Authentication 

VPN既然允許遠端的用戶透過網際網路來進入企業網路內部存取資料,對於使用者身份的確認及權限的管理便極為重要。使用
完整的安全認證伺服器(Authentication, Authorization and Accounting Server),便可加強使用者的認證管理,以確保機密資料不會
被非相關人員所讀取。 


六、VPN的產品種類 

市面上VPN產品相當多,不過可以區分成三大種類,分別是硬體式的VPN系統,軟體式的VPN產品以及與防火牆相結合的VPN
系統;分述如下。 

(1). 硬體式的VPN系統 

最常見的硬體式的VPN設備便是VPN加密的路由器(VPN Router)。因為這些設備將加解密的鑰匙儲存於記憶體中,故較不易被損
壞,同時加解密的速度亦較快;尤其是專線頻寬較高之企業,硬體式的設備應是較佳的選擇。此外,若再****配個人用戶使用
的VPN軟體(VPN Client Software),則其功能亦與軟體式的VPN產品相近。 

(2). 軟體式的VPN產品 

軟體式的VPN產品乃是架設於伺服器及作業平台之上,可以提供較為彈性的功能,例如依據目的地位址或通訊協定來建立VPN
通道。相對的,硬體式的VPN系統則多數依據位址目的地來建立VPN通道,將傳輸的所有通訊協定均加密。 

然而,軟體式的VPN產品通常較難以管理;需要對作業系統、VPN軟體及相關之網路安全機制均有相當程度的了解,才能真正
管理好VPN系統。同時,有些VPN軟體亦需要對路由路徑表(Routing Table)及網路IP位址規劃(Network Address Scheme)加以修
改。 

(3). 與防火牆相結合的VPN系統 

與防火牆相結合的VPN系統自然承襲了防火牆安全功能的優點,使進出的交通均能受到較佳的限制及保護,以及強化的認證功
能。一般而言,相當多的VPN廠商並沒有提供對於其作業系統的安全保護。若是採用硬體式且具有VPN功能的防火牆設備,則
本身便已對其運作的作業系統做了補強作用(Harden O.S),事先將所有不必要及有危險的服務(Service)均加以去除,以確保此
VPN設備不會被駭客所入侵,而導致整體VPN系統功能無法運作。 

同時擁有VPN及防火牆功能的設備,對於網路的安全建構有相當大的好處,只需一台機器便可擁有兩項不可或缺的功能,建置
成本明顯降低,且管理的負擔亦較輕。 


七、VPN的注意事項 

(1). 企業對於VPN的建構及應用上,並不應該將原有的廣域網路架構完全替換掉,而是要在既有的廣域網路架構上加上VPN的
功能,改變網路的邏輯架構,進而得到VPN節省成本、具彈性且易於管理的優點。若是完全引進新的VPN設備而不利用現有之
廣域網路設備來做為VPN之節點,則勢必使建置之成本倍增,且增加網路架構之複雜性;反之,若能使用現有的路由器
(Router)、防火牆(Firewall)等設備,使之成為VPN的節點,則可大幅降低VPN的建置成本,並且易於管理。 

(2). VPN的資料均需在加密之後,才由公眾網路傳送至接收端,再由接收端設備加以解密。故每一個封包在整個傳輸過程中均
需被加、解密一次,而加密、解密均是相當消耗VPN設備運算能力的工作。因此,VPN設備的加解密速度表現,快者可達
100Mega,慢者則只有幾Mega的速度,亦是在架設VPN時必需要謹慎考量的因素。如上節所述,硬體式的VPN產品在運作效能
上會比軟體VPN產品有較佳的表現。故在使用量較大、對加解密及傳輸速度在意的用戶,應以硬體式的VPN產品,如VPN路由
器及擁有VPN功能之硬體防火牆為較佳之考量。 

(3). 考量VPN產品的連結相容性,未來的VPN產品均會以IETE所公怖的IPSec協定為標準,來作為彼此資料加解密、傳輸的依
據。然而到目前為止,在實際的應用上,不同廠牌的VPN產品仍常會有連結上無法完全相容的問題。故就現實面而言,仍應以
同一廠牌之VPN產品做為企業體VPN 建置的設備,所需面臨的困難最少。也因為如此,選擇足夠規模、能夠提供完整的VPN解
決方案的廠商,亦成立VPN建構中重要的課題。而所謂的VPN完整解決方案極是包括本文所提及之遠端撥接(Remote Access,
Client-to-LAN VPN)、Intranet VPN & Extranet VPN (LAN-to-LAN VPN)等架構,以及擴充性佳、完整網路安全功能、以及VPN服務
(QoS Service)等項目。 

(4). 在VPN架構安全考量的使用者認證部份,若能以集中式的管理方式(Centralized Management)來運作,必能減少網路管理的負
擔。網路上需要有認證機制的設備,除了VPN產品之外,亦有防火牆及遠端撥接伺服器(Remote Access Server)等設備。若所有這
些設備均能透過單一的安全認證伺服器來做認證的工作,則無論未來網路如何擴充,永遠只需一套認證伺服器即可滿足需求。 


============================================================ 

語音/資料網路整合(Voice over IP --- VoIP) 

一、背 景 

電話一向是人際溝通最快速、方便的管道,隨著社會的快速進步,電話連絡也成為企業經營的重要方式及業務推廣的利器。然
而,動輒數萬元的電話帳單,卻常令企業管理者心疼不已;如何降低電話費用遂成了公司行政管理的重要議題。 

另一方面,企業網路的架設及網際網路的盛行,提供了資料的快速存取及工作效率的提升。而新一代的網路環境更將多媒體的
傳輸納入其中,語音、視訊及資料整合的架構,代表了未來訊息傳輸的潮流。於是,企業紛紛的注意到了資料/語音兩大系統
整合的可能性,將傳統的電話通訊費用移入既有的電腦網路固接費用中,有效的節省了行政費用的開銷。 


二、架 構 

簡易的VoIP架構可以用附圖一表示,語音的類比訊號由電話機、傳真機或PBX傳至路由器,將其轉換成IP的封包,透過專線、
Frame Relay或ISDN等廣域網路傳輸方式傳至遠端的路由器;遠端的路由器再將IP的封包轉回成語音的類比訊號後,傳至電話
機、傳真機或PBX,再送至使用者端。 



三、問 題 
將語音結合入資料網路的最大困難點,便是在於語音傳輸的延遲,人們可接受的聲音延遲約為200ms(即0.2秒),超過此一範
圍,便會使通話雙方感到不自然。扣除起、迄兩端封包轉換所需的50∼60ms,實際語音封包的傳輸時間最多只剩下140ms了。
因此,如何快速且順暢的讓語音封包通過IP的網路,便是VoIP的首要條件了。 


四、解決方法:品質服務保證 (QoS) 

QoS的目的便是提供網路必要的頻寬及立即的傳送,欲達到QoS的工具及協定相當多,分述如下: 

1.RSVP(頻寬保留協定-----Resource reservation protocol) 
RSVP是第一個業界標準的品質保證協定,能在資料流所經過的路徑上,動態的保留住所需的頻寬,以利資料及時的通過。 

2.WFQ (比重公平佇列 --- Weighted fair queuing) 
WFQ能確保資料於佇列中等待的時間不致於過長。藉由動態的調整封包的優先順序,將小型的封包及等待較久的封包排定較優
先的傳輸順序,以保證需要即時傳輸的語音小封包不會被大的資料封包阻擋住,而傳不到網路的另一端。 

3.資料及表頭(Header)的壓縮 
網路的頻寬即代表費用,尤其是廣域網路的資源更是彌足珍貴,利用先進的壓縮技術將封包壓縮,便是VoIP不可或缺的技術。
傳統的語言類比訊號封包大小為64K,透過G.729的壓縮技術,便能將其壓成8K大小的封包,以利廣域網路傳送;此外,在語音
封包外層的IP表頭的壓縮也可使廣域網路交通的有效資料傳輸比率大幅的提高。當路由器接到語音服務的要求時,會將網路頻
寬保留給語音使用,當語音的服務完成時,所有頻寬又保留給資料使用。這種應用方式比原有利用多工器(MUX),所提供的多
重服務功能網路的方式更具彈性。同時將路由器和語音的整合,將可以更完整將所有提供的服務作稽核管理,並且透過專屬網
管軟體,提出各種報表,以提供企業做成本分析。此外,因為路由器和其他網路服務整合至同一的BOX,也同時將路由器的技
術和其他網路服務的技術做互相整合。 

============================================================ 

QoS Policy Management 

電腦資訊的傳輸,由以往的Mainframe/Terminal的大型主機架構,在80年代轉變成新的Client/Server網路;個人PC開始成為商業生
產的應用工具,而網路也成為企業不可或缺的架構。90年代Frame Relay及相關廣域網路的發展,更讓企業得以藉由遠距離的資
訊傳輸來得到更快的訊息傳遞,提高員工生產力。此時,企業網路的管理人員面對的是各種不同的網路傳輸,諸如e-mail、
ftp、http等資料以及一些”mission-critical”的商業應用,如ERP、SNA等等。雖然有些複雜及繁忙,但至少是可以預測的資料流
量;故仍能游刃有餘,確保這些傳輸均能”和平相處”的達成任務。 

然而,電子商務及服務的興起卻打破的既有的生態平衡,電腦網際網路的資料流量隨著電子商務、多媒體資訊傳輸、大量檔案
下載等應用呈現大幅的成長;瞬間大量,且無法預估的資料傳輸更影響了企業網路的使用效能。更重要的是,這些新的應用有
著竭盡所能爭取頻寬,並將其完全吞噬的傾向;如不加以限制,勢將造成其他如ERP、 Voice等應用產生斷訊或是嚴重延遲的結
果。此時,網路管理人員便需要有新的措施來預防這樣的現象發生,相關的措施可能有: 

1. 嚴格限制不准使用消耗高頻寬的相關網際網路應用 
2. 加大頻寬來提供更多的服務資訊 
3. 使用新的QoS機制來加以管理 

嚴格限制不准使用消耗高頻寬的相關網際網路應用,雖然可以達到效果,但卻與企業提供員工好的服務及福利的目標背道而
馳。同時,拒絕了新的網路應用亦可以限制的企業的發展,讓公司無法跟上新的科技及產業驅勢。而加大頻寬雖能解決現有頻
寬不足的問題,確不能保證能夠解決網路效能不足的問題。加大後的頻寬仍有可能被特定的應用佔領,無法改善頻寬分配不均
的問題。而持續的提高頻寬亦不符合企業資訊的有效運用原則,非常昂貴的專線費用支出,絕非企業所能負荷,或願意負荷
的。 

  因此,使用新的QoS機制來加以管理企業的頻寬,便成為網路管理者的最佳選擇。QoS設備建構於網路之上,並不需更動
到網路的整體架構及規劃。它能自動偵測、分類及報告出網路上的應用資料流。管理人員即可運用這些資訊訂出頻寬管理策
略,以及不同應用資料流的傳輸優先順序;同時,亦可透過管理軟體即時的監看制定出的策略之執行成果。 

QoS Policy Management功能簡介 

  一般的Traffic Shaping,Queuing,Policy Management 或是Caching 的產品,或許能夠增加網路的效能,但卻不能保證重要網
路應用的穩定運作及反應速度(Consistent response time)。新一代的智慧型QoS解決方案,需要具備完整且多樣化的功能,諸如: 

1. Wire-Speed Traffic Classification 
能夠根據使用者設定的策略做資料的分類,及時的將資料傳送出去。 

2. Tranparent / Non-single point failure 
設備的引進使用,應不影響的一般使用者及網路上其他設備的設定(即是對使用者為Transparent),以減少所需的設定至最低。同
時,如果因任何原因而當機時,系統應自動變成如同一條網路線,雖然頻寬管理的功能喪失了,但不會影響總體網路的運作效
能。 

3. Traffic Management / Bandwidth and Latency Policy Setting 
頻寬管理機制,共有TCP Rate Shaping、Class-based Queuing、Fail Allocation of Bandwidth及Packet-size Optimization等四種;完整的
架構出最佳化的頻寬控管功能: 

A. TCP Rate Shaping: 
TCP Rate Shaping為一專為TCP/IP交通設計的管理法則,它會告知資料傳送者適時的減少資料傳輸量,來使得TCP資料流(TCP 
Flow)傳送更加平順,以便達到將TCP交通的瞬間巨量(Burst)情形降至最低。這些突如其來的巨量交通會造成路由器的交通阻
塞,嚴重影響到一些無法接受傳輸延遲的網路應用(Latency-Sensitive Application)。 

然而,TCP Rate Shaping只是很粗略的控制傳輸的訊框大小(Window Size),對於低速的專線並無法有效的達到準確的頻寬管理。
同時,一般所謂重要的應用 (Mission-Critical Application)的封包均是相當短而快的傳輸連結,TCP Rate Shaping無法對其有所幫
助。此外,TCP Rate Shaping 只能控制TCP的交通,對於Non-TCP 的交通則無法管理;而根據統計,網路上的交通約有48%為
TCP的交通,約有52%為Non-TCP 的交通。 

B. Class-based Queuing (CBQ) 
Class-based Queuing(CBQ)乃依據不同的Class等級提供不同的Traffic Queuing,它可補足TCP Rate Shaping只能管理TCP交通的問
題,支援TCP及Non-TCP的交通管理,並且能管控到網路交通的封包階層(Packet Level),故能更有效的控制低速頻寬的傳輸。 

C. Fail Allocation of Bandwidth 
CBQ雖能補強TCP Rate Shaping之不足,然而仍有其問題所在。因為CBQ只針對Class來作頻寬的分配,並不能保證同一Class中的
不同交通傳輸(Traffic Flow) 能獲得相等的頻寬資源;所以仍可能產生某些屬於高優先權(High Priority)的使用者依然得不到頻寬
的現象。為確保對同一Class中所有使用者的公平對待,需要有法則來將一個Class所制定的頻寬平均分配到每個交通流。 

D. Packet-size Optimization 
Packet-size Optimization能將傳輸的Packet -size最佳化,例如將e-mail傳遞大檔案的Packet -size縮小,來避免這些大檔案將頻寬佔
住,使一些小封包傳不出去;以確保如TN3270 、VoIP等無法接受傳輸延遲的網路應用(Latency-Sensitive Application)交通的品質
保障。 

上述的各種機制,如果單靠部分方法,則勢必影響頻寬管理的效果。例如,若只有TCP Rate Shaping的功能,則對於Non-TCP,
或是較低速的頻寬時,其結果將會大打折扣。(全球目前的專線頻寬有88%是128K以下的低速頻寬;網路上的交通約有48%為
TCP的交通,約有52%為Non-TCP 的交通)。若是以上四種機制能夠完整應用,便能對網路上的交通做到真正完全的控管,達到
頻寬控制的精準性(Bandwidth Accuracy )以及資源公平分配(Distribution Fairness)等效果。 

4. Policy-Smart Web Caching 
Web Caching功能能夠有效的降低HTTP交通的高頻寬需求,以提供更多的頻寬資源給予”Mission-Critical”及”Latency-
Sensitive”的應用,藉以在有限的頻寬中提供使用者最快的服務。而且,Web Caching可以依據每一個策略(Policy)可以設定為”
Enable Caching”或是”Disable Caching”。QoSWorks 的 Caching 功能乃是”Transparent Caching”,完全不需更改路由器、使用
者電腦或是交換器的設計。 

5. Practical Traffic Monitoring / Reporting / Remote Management 
簡易的設定/管理/監視系統,透過標準的瀏覽器(Browser),管理者可以相當容易的設定如Traffic prioritization、Bandwidth 
allocation、 Setting policies for admission control、Specifying burst/session bandwidth等相關策略,做到對網路上交通流量的及時監控
(Real-Time Monitor);分析每個應用/服務所使用的頻寬及狀況。同時,亦能提供報表及分析資料,使管理者能夠輕易的了解頻
寬的真正使用的及時資訊。