目前較熱門的虛擬私有網路技術有IPsec和SSL虛擬私有網路，雖然IPsec在IPv4網路環境與NAT有建置上的複雜度，但在未來的五年，隨著IPv4的位址用盡和IPsec已成為IPv6協定標準的一部分，使得IPsec在IPv6網路環境上的建置更顯的重要和簡單，所以本論文探討IPsec虛擬私有網路在不同網路環境下的策略研究，以顯示出在IPv6網路環境下的不同網路架構建置IPsec都簡單而且大同小異，不需繁雜的設定步驟。本研究實驗IPsec在IPv6網路環境上使用不同整數運算能力主機時TCP和UDP傳輸資料的輸出量(throughput)，以探討使用不同整數運算能力主機對於IPsec套用認證標頭和加密安全承載資料時效能的差異性。
本論文實驗結果顯示出，在TCP協定上使用IPsec的輸出量為未使用IPsec時的77.04%(較高運算能力主機)和75.46%(較低運算能力主機)，而ARIGA只有未使用IPsec時的四分之ㄧ。同樣的，在UDP協定上，未使用IPsec的輸出量分別為80.31%和75.36%，ARIGA為未使用IPsec的九分之ㄧ。本文效能實驗結果希望能夠泯除在IPv6上使用IPsec導致效能嚴重下降的疑慮。

IPsec VPN and SSL VPN are getting popular nowadays. It is complex when IPsec is established with NAT in the IPv4 network. Future five years, when the IPv4 address is used finished and IPsec have now become a part of IPv6 standard, the establishment which IPsec is in the IPv6 network will be more important and easier. This research is about the policy setting which IPsec VPN is in the different network architecture. There are similar settings even if the network architecture is different. This research also do some experiment to gain the throughput of TCP/UDP data transmission by using different ability host and IPsec is implemented in the IPv6 network. We also research the different of throughput which different host uses the authentication header (AH) and encapsulating security payload (ESP).
With both the AH and the ESP by using TCP, the throughput degrades to about 77.04% (higher ability host) and 75.46% (lower ability host), but ARIGA’s result shows that the throughput degrades to 1/4. When it is by using UDP, the throughput degrades to about 80.31% and 75.36%, but ARIGA’s result shows that the throughput degrades to 1/9. We hope this research can reduce the misgivings which the throughput dropped seriously when IPsec is used in the IPv6 network.

目錄	I
圖目錄	III
表目錄	V
1.導論	1
2.文獻探討	2
2.1 IPSEC	2
2.1.1	IPsec on IPv6	2
2.1.2	IPsec的運作方式	3
2.1.3	IPsec的封包結構	3
2.1.4	IPsec的運作模式	4
2.1.5	IPsec的協定	4
2.1.6	安全關聯(Security Association)	5
2.1.7	AH協定	9
2.1.8	ESP協定	11
2.1.9	ISAKMP(Internet Security Associate Key Manage Protocol)	14
2.1.10	金鑰交換協定(Internet Key Exchange)	16
2.2 SSL (SECURE SOCKET LAYER)	17
2.2.1	SSL紀錄協定(SSL Record Protocol)	17
2.2.2	握手協定(Handshake Protocol)	17
2.3 虛擬私有網路(VIRTUAL PRIVATE NETWORK, VPN)	18
2.3.1	用戶端對用戶端虛擬私有網路	19
2.3.2	用戶端對站台虛擬私有網路	19
2.3.3	站台對站台虛擬私有網路	19
2.3.4	VPN技術	20
2.4 IPSEC VPN與SSL VPN的差異性	22
3. IPSEC 策略設計探討	23
3.1	內部網路(INTRANET)	23
3.1.1	內部網路INTRANET(一)	23
3.1.2	內部網路INTRANET(二)	25
3.1.3	中心點到分支點架構	26
3.2	商業網路(EXTRANET)	26
3.2.1.	單一站台的商業網路(Single Site Hosts Extranet)	27
3.2.2.	站台間的商業網路(Each Site Hosts Extranet)	28
4.	IPSEC效能分析	31
4.1.	實驗目的	31
4.2.	實驗環境	31
4.3.	實驗結果	32
4.4.	效能比較	33
4.4.1.	TCP Stream	33
4.4.2.	UDP Stream	35
4.4.3.	Host #1 V.S Host #2	36
4.4.4.	本論文V.S ARIGA	38
5.	結論	40
參考文獻	41
附錄A 軟體環境	43
A-1 TCP_CLIENT程式	43
A-2 TCP_SERVER程式	45
A-3 UDP_CLIENT程式	46
A-4 UDP_SERVER程式	49
圖目錄
圖2-1：IPV6 封包傳送架構	2
圖2-2：IPV6 標頭的架構	3
圖2-3：IPV6 AH和ESP延伸標頭封包	3
圖2-4：IPSEC表頭的位置	3
圖2-5：IPSEC 傳輸模式	4
圖2-6：IPSEC 通道模式	4
圖2-7：IPSEC實作結構	5
圖2-8：IPSEC 安全關聯和安全策略資料庫關係圖 (通道模式)	8
圖2-9：AH 標頭格式	9
圖2-10：SHA-1為例之認證資料	10
圖2-11：AH 於TRANSPORT MODE的IPV4封包示意圖	10
圖2-12：AH於傳輸模式的IPV6封包示意圖	11
圖2-13：AH於通道模式的IPV4/IPV6封包示意圖	11
圖2-14：ESP封包格式	12
圖2-15：ESP 於傳輸模式的IPV4封包示意圖	13
圖2-16：ESP 於傳輸模式的IPV6封包示意圖	13
圖2-17：ESP 於通道模式的IPV4/IPV6封包示意圖	14
圖2-18：ISAKMP標頭格式	14
圖2-19：SSL協定架構	17
圖2-20：握手協定流程	18
圖2-21：用戶端對用戶端虛擬私有網路	19
圖2-22：用戶端對站台虛擬私有網路	19
圖2-23：站台對站台虛擬私有網路	20
圖2-24： 點對點通道通訊協定封包架構	20
圖2-25：第二層通道通訊協定封包架構	21
圖3-1：內部網路網路架構圖	23
圖3-2：單一站台商業網路架構圖	27
圖3-3：EACH SITE EXTRANET網路架構圖	28
圖4-1：本論文實驗架構	32
圖4-2：TCP STREAM OF HOST #1	33
圖4-3：TCP STREAM OF HOST #2	34
圖4-4：UDP STREAM OF HOST #1	35
圖4-5：UDP STREAM OF HOST #2	35
圖4-6：IPV6 TCP STREAM	36
圖4-7：IPV6 UDP STREAM	36
圖4-8：ARIGA實驗架構	38
圖4-9：IPV6 TCP STREAM (SEIJI ARIGA)	38
圖4-10：IPV6 UDP STREAM (SEIJI ARIGA)	39
 
表目錄
表2-1：IPSEC與SSL 虛擬私有網路的差異性	22
表3-1：OFFICE A與OFFICE B、C之間通訊保護的策略	23
表3-2：OFFICE A與MAIN OFFICE之間通訊保護的策略	24
表3-3：MAIN OFFICE與OFFICE A、B、C之間通訊保護的策略	24
表3-4：四間辦公室與行動工作者之間通訊保護的策略	24
表3-5：行動工作者與四間辦公室之間通訊保護的策略	25
表3-6：OFFICE A與MAIN OFFICE之間通訊保護的策略	25
表3-7：行動工作者與四間辦公室之間通訊保護的策略	26
表3-8：商業網路與其他公司之間的策略	27
表3-9：各公司與EXTRANET之間的策略	28
表3-10：A公司商業網路與各公司商業網路之間的策略	29
表3-11：B公司商業網路與各公司商業網路之間的策略	29
表3-12：CA-BASED 策略	29
表4-1：IPV6 TCP STREAM (HOST#1)	32
表4-2：IPV6 TCP STREAM (HOST#2)	32
表4-3：IPV6 UDP STREAM (HOST#1)	33
表4-4：IPV6 UDP STREAM (HOST#2)	33
表4-5：各演算法與NO IPSEC效能比(TCP STREAM)	34
表4-6：各演算法與NO IPSEC效能比(UDP STREAM)	35
表4-7：HOST #2/HOST #1 (TCP STREAM)	37
表4-8：HOST #2/HOST #1 (UDP STREAM)	37

[1]	A. Valencia, K. Hamzeh, A. Rubens, T. Kolar, M. Littlewood, W. M. Townsley, J. Taarud, G. S. Pall, B. Palter and W. Verthein，”Layer Two Tunneling Protocol (L2TP)”， RFC 2661, 1999.
[2]	B.Carpenter and K.Moore, ” Connection of IPv6 Domains via IPv4 Clouds”, RFC3056, 2001
[3]	D.Harkins. and D.Carrel ,”The Internet Key Exchange(IKE)”, RFC2409, 1998
[4]	Internet Engineering Task Force: http://www.ietf.org/
[5]	D.Harkins and N.Doraswamy , “IPsec: The new security standard for the Internet, intranets, and virtual private networks”, Second Edition, Prentice Hall PTR, 2002
[6]	K. Egevang and P. Francis，“The IP Network Address Translator (NAT) ”，RFC 1631, 1994
[7]	K.Nakahara,” Building VPN using IPv6”, http://www.ipv6style.jp/building/20030506/, 2003
[8]	K.Hamzeh, G.S. Pall, W.Verthein, J.Taarud and W. Andrew Little，“Point-to-Point Tunneling Protocol (PPTP)”，RFC 2637, 1999.
[9]	D.Maughan, M.Schertler, M.Schneider and J.Turner, “Internet Security Association and Key Management Protocol(ISAKMP)”,RFC2408, 1998
[10]	W.Stallings , “Network Security Essentials : Applications and Standards”, Second Edition, Prentice Hall, 2002
[11]	H.Orman, “The Oakley Key Determination Protocol”, RFC 2412, 1998
[12]	P.Feguson and G.Huston, ”What is VPN?”, http://www.employees.org/~ferguson/vpn.pdf , 1998
[13]	R.Hinden and S,Deering, “IP Version 6 Addressing Architecture”, RFC 2373 , 1998
[14]	S.Deering and R.Hinden, “Internet Protocol, Version 6 Specifications”, RFC 2460 , 1998
[15]	S.Kent and R.Atkinson, “IP Authentication Header”, RFC 2402, 1998
[16]	S.Kent and R.Atkinson, “IP Encapsulating Security Payload (ESP)” , RFC 2406 , 1998
[17]	S.Kent and R.Atkinson, “Security Architecture for the Internet Protocol”, RFC 2401, 1998
[18]	Seiji ARIGA, Masaki MINAMI, Hiroshi ESAKI and Jun MURAI, ”Performance Evaluation of Data Transmission Using IPsec over IPv6 Network”, INET, Japan, 2000
[19]	P.Srisuresh and K.Egevang ,”Traditional IP Network Address Translator(Traditional NAT)”, RFC 3022, 2001
[20]	林宸堂，”IPsec VPN 的難題：Firewall 與 NAT 的配置”，網路通訊雜誌，十月號，2001
[21]	張瑞雄等人，IPv6新世代網際網路協定暨整合技術，旗標出版股份有限公司，2004
[22]	葉輝煌，”動態IP網路中實行IPsec VPN”， 國立台灣科技大學資訊工程研究所碩士論文，2005
[23]	萩野純一郎著、賴紅燕譯， IPv6網路程式設計，博碩文化股份有限公司，2004
[24]	賴溪松、韓亮、張真誠，近代密碼學及其應用，旗標出版股份有限公司，2004
[25]	謝佳男、朱勇正、陳懷恩 ，IPv6解析，美商歐萊禮，2003.