站對站 VPN：類型、需求和設定

站對站 VPN 是什麼？

站對站虛擬私人網路（VPN）是兩個或多個獨立網路之間的安全 VPN 連線。它不是保護個別裝置，而是保護整個區域網路（LAN）之間的通訊，例如公司總部和分公司。

此類型的 VPN 就像廣域網路（WAN），讓不同地點的團隊可以存取共用資源，就像在同一個區域網路一樣。然而，與其他類型的 WAN 不同，站對站 VPN 會在多個 LAN 之間建立安全的 VPN 通道。它通常用於：

• 連線地理位置遙遠的公司辦公室。
• 保護內部基礎架構與遠端資料中心之間的連結。
• 確保合作夥伴公司之間的安全通訊。

站對站 VPN 與遠端存取 VPN

雖然站對站 VPN 和遠端存取 VPN 都使用加密來保護資料，但它們的用途不同。站對站 VPN 連結整個網路，例如連結公司總部與遠端分公司或雲端環境。它保持開啟，在網路層級進行管理，專為固定地點之間的一致通訊而設計。另一方面，遠端存取 VPN 適用於需要從遠端安全連線至中央網路的個人使用者，例如在家工作或出門在外的員工。它需要用戶端軟體，最適合特定使用者的隨選存取。

站對站 VPN 的類型

根據連線網路之間的信任關係，站對站 VPN 主要有兩種類型：

基於內聯網的站對站 VPN

基於內聯網的站對站 VPN 連結屬於同一組織的網路，例如公司總部和分公司。此設定允許使用單一管理控制，在內部部門和不同地點之間進行安全順暢的通訊。

基於外聯網的站對站 VPN

基於外聯網的站對站 VPN 連結不同組織之間的網路，例如公司與其商業夥伴或供應商。它可以限制和控制共用資源的存取權，同時在雙方之間維持嚴格的安全邊界。

站對站 VPN 如何運作？

站對站 VPN 透過在兩個 VPN 閘道（通常是路由器或防火牆）之間建立加密通道來運作，這些閘道位於不同的實體站點。這些閘道使用預先共用的金鑰或數位憑證互相驗證，並使用 IPSec 套件中的協定協商安全連線，IPSec 套件會處理加密、完整性檢查和通道路由。此過程以 IKE（網際網路金鑰交換）協商開始，第一階段建立安全通道，第二階段設定實際 IPSec 通道的參數，以傳送資料。

通道建立後，兩個站點之間的流量便可透過公共網際網路或私人連結（如多協定標籤交換 MPLS）安全地流通。VPN 閘道會自動處理所有的加密和解密，讓雙方的使用者可以像在同一個本機網路上一樣進行通訊。使用者必須設定適當的路由，讓資料知道哪些流量應通過 VPN 通道。常用的連接埠包括 IKE 的 UDP 500、用於 NAT 穿越的 UDP 4500，以及用於加密有效負載的協定 50（ESP）。如需詳細的部署步驟，請務必根據所選平台（如 Cisco、Fortinet、AWS 等）參閱特定供應商的說明文件。

站對站 VPN 的優勢和限制

優勢

站對站 VPN 對各種規模組織的優勢包括：

• 加強資料安全性。站對站 VPN 會加密使用者或不同地點之間傳輸的資料（這就是上述提到的加密 VPN 通道）。這表示，如果不法份子攔截網站間傳輸中的資料，在沒有適當的解密金鑰的情況下，他們就只能看到無法破譯的程式碼。

• 簡化資源分享。雖然這是大多數 WAN 的優點，但在此仍值得一提。站對站 VPN 可讓全球各地的員工溝通、分享資源，並安全存取敏感資料。只要每個人都能存取設立閘道的地點，這是在分散各地的工作團隊中維持協同效應的絕佳方式。

• 容易使用。使用站對站 VPN 的好處之一，就是它不仰賴用戶端/伺服器模式。與其要求企業網路上的所有使用者在其裝置上安裝特定的用戶端軟體，他們只需連上 VPN 閘道，即可開始受惠於前述的資料安全性。在特定作業系統和裝置與 VPN 軟體不相容的罕見情況下，使用非用戶端模式也會有所幫助。

限制

站對站 VPN 也有一些限制，使用者應當牢記：

• 不適合遠端工作。自 2020 年以來，遠端工作已變得更為常態化。因此，許多員工在家裡或工作空間工作，無法存取指定的 VPN 閘道。任何依賴自由工作者的組織也是一樣，他們很少能夠實際存取 VPN 所連線的網站。

• 有限的安全和隱私保障。無論您的 VPN 協定有多安全，站對站 VPN 只能保護閘道之間傳輸的資料。這些閘道兩側的區域網路不一定安全，無法免於網路罪犯和窺探者的攻擊，因此一旦資訊被解密並傳送至網站的特定裝置，就可能會曝光。這正是用戶端/伺服器 VPN 的優勢所在，因為來自個別用戶端安裝裝置的資料通常都會經過加密。

• 分散部署與管理。雖然許多公司都採用 VPN 解決方案來強化網路安全性，但大多數公司還是偏好可從中央控制點部署和管理的系統。集中管理可改善技術故障排除和安全性。設定站對站 VPN 會涉及不同站點的不同團隊，使得集中管理變得更加困難。

如何設定站對站 VPN

設定站對站 VPN 會因平台不同而略有差異，但一般步驟如下：

1. 1.確定本機與遠端子網路：定義網站之間需要通訊的 IP 範圍。
2. 2.部署和設定 VPN 閘道：在每一端安裝或設定防火牆、路由器或虛擬裝置。
3. 3.設定 IPSec 通道設定：選擇加密標準（例如 AES）、驗證（例如 PSK 或憑證）和 IKE 版本（建議使用 IKEv2）。
4. 4.設定防火牆規則和 NAT 政策：允許 VPN 流量通過正確的連接埠，並防止可能會破壞通道的位址轉換。
5. 5.設定路由：使用靜態或動態路由（例如開放式最短路徑優先 OSPF、邊界閘道器協定 BGP）透過通道傳送流量。
6. 6.測試通道：驗證 IKE 兩個階段都成功完成，並確保網站之間的流量可以流通。

站對站 VPN 設定的主要考量因素

• 公共 IP 位址：每個 VPN 閘道都需要一個靜態、可路由的公用 IP，以建立可靠的通道。動態 IP 可能會導致連線問題，並使設定變得複雜。

• 裝置相容性：確保兩端都支援相同的通訊協定，例如 IPSec 和 IKEv2。硬體或韌體不相容可能導致協商失敗。

• IP 位址規劃：避免網站間的子網路重疊，以防止路由衝突。使用清楚定義和分割的 IP 範圍，以方便管理。

• 路由設計：決定使用靜態路由或動態協定（如 BGP 或 OSPF）。動態路由可改善擴充性和故障轉移處理。

• 傳輸方式：根據效能與預算需求，選擇公共網際網路或私人連結（如 MPLS）。公共連結較便宜，但可能需要備援計畫。

• 雲端整合：連線 AWS、Azure 或 GCP 等供應商時，請遵循其特定的 VPN 設定指引。雲端組態通常包括路由和通道數量的限制。

• 安全性與韌性：使用強大的加密、存取控制和預先共用金鑰或憑證。使用次要通道或故障轉移閘道進行備援規劃。