虛擬私人網路 (VPN) 是跨越私人或公用網路 (例如網際網路) 的點對點連線。VPN 用戶端使用稱為「通道通訊協定」的特殊 TCP/IP 通訊協定,可在兩部電腦之間建立用來傳送資料的安全通道。從兩部參與的電腦觀點來看,兩部電腦之間有專用的點對點連結,而事實上資料像其他任何封包一樣都是透過網際網路來路由。在典型的 VPN 部署中,用戶端會透過網際網路初始對遠端存取伺服器的虛擬點對點連線。遠端存取伺服器會回應呼叫、驗證呼叫者,然後在 VPN 用戶端與組織的私人網路之間傳輸資料。
為了模擬點對點連結,會使用標頭封裝或包裝資料。此標頭提供路由資訊,讓資料可周遊共用或公用網路,以連線其端點。為了模擬私人連結,傳送的資料基於機密性需要經過加密。如需此 Windows 版本支援的通道通訊協定之相關資訊,請參閱
如需安裝需求,請參閱安裝 RRAS 為 VPN 伺服器的需求。
VPN 連線
VPN 連線有兩種類型:
遠端存取 VPN
遠端存取 VPN 連線可讓在家中或差旅中工作的使用者,使用公用網路 (例如網際網路) 提供的基礎結構存取私人網路上的伺服器。從使用者的觀點來看,VPN 是用戶端電腦與組織伺服器之間的點對點連線。共用或公用網路的基礎結構並無相關,因為在邏輯上就像是透過專用的私人連結傳送資料。
站台對站台 VPN
站台對站台 VPN 連線 (有時稱為路由器對路由器 VPN 連線) 可讓組織擁有不同辦公室之間的路由連線,或在協助維護安全通訊時透過公用網路與其他組織建立路由連線。如下圖所示,透過網際網路連線網路時,啟用 VPN 的路由器透過 VPN 連線將封包轉送至另一個啟用 VPN 的路由器。對路由器而言,VPN 連線在邏輯上像是專用的資料連結層連結。
站台對站台 VPN 連線連接兩個私人網路。VPN 伺服器提供此 VPN 伺服器所連接之網路的路由連線。呼叫路由器會對接聽路由器進行自我驗證,而且基於相互驗證,接聽路由器也會對呼叫路由器進行自我驗證。在站台對站台 VPN 連線中,從任一路由器透過 VPN 連線傳送的封包通常不是源自路由器。
透過網際網路連接兩個遠端站台的 VPN
VPN 連線的內容
- 封裝。使用含有路由資訊的標頭封裝私人資料,使資料可周遊轉送網路。如需封裝範例,請參閱
VPN 通道通訊協定 (可能為英文網頁) (https://go.microsoft.com/fwlink/?linkid=140602)。 - 驗證。VPN 連線的驗證採用三種不同形式:
- 使用點對點通訊協定 (PPP) 驗證執行使用者等級驗證。若要建立 VPN 連線,VPN 伺服器會驗證使用 PPP 使用者等級驗證方法嘗試連線的 VPN 用戶端,確認該 VPN 用戶端擁有適當的授權。如果使用相互驗證,VPN 用戶端也會驗證 VPN 伺服器,以防止偽裝為 VPN 伺服器的電腦。
- 使用網際網路金鑰交換 (IKE) 執行電腦等級驗證。若要建立網際網路通訊協定安全性 (IPsec) 的安全性關聯 (SA),VPN 用戶端與 VPN 伺服器會使用 IKE 通訊協定交換電腦憑證或預先共用金鑰。在任一狀況下,VPN 用戶端與伺服器都會在電腦等級相互驗證。強烈建議您採用電腦憑證驗證,因為它是更為強式的驗證方法。第二層通道通訊協定 (L2TP)/IPsec 或 IKE 第 2 版連線使用電腦等級驗證。
- 資料來源驗證和資料完整性。為了確認在 VPN 連線上傳送的資料源自連線的另一端,而且在轉送時未被修改,資料會包含加密編譯總和檢查碼,它以傳送者和接收者才知道的加密金鑰為基礎。資料來源驗證和資料完整性僅用於 L2TP/IPsec 與 IKE 第 2 版連線。
- 使用點對點通訊協定 (PPP) 驗證執行使用者等級驗證。若要建立 VPN 連線,VPN 伺服器會驗證使用 PPP 使用者等級驗證方法嘗試連線的 VPN 用戶端,確認該 VPN 用戶端擁有適當的授權。如果使用相互驗證,VPN 用戶端也會驗證 VPN 伺服器,以防止偽裝為 VPN 伺服器的電腦。
- 資料加密。若要確保資料在周遊共用或公用轉送網路時的機密性,資料會由傳送者加密,然後由接收者解密。加密及解密程序與使用一般加密金鑰的傳送者和接收者都有關係。
沒有一般加密金鑰的使用者都無法辨識在轉送網路中透過 VPN 連線傳送而被攔截的封包。加密金鑰的長度是重要的安全性參數。您可以使用計算技術決定加密金鑰長度。不過,當加密金鑰變長時,這種技術需要更多計算能力與計算時間。因此,重要的是使用最大的可能金鑰大小來確保資料機密性。