小情境：

你在校外租屋，要連回學校/公司的 Git、NAS、內部 Wiki。VPN 到底幫你「變成內網的人」的？哪種做法對你最穩？真的有「越加密越安全」這麼簡單嗎？

1.VPN到底在做什麼？

• 隧道（Tunneling）：把原本要在公網走的封包「裝箱」，送進一條虛擬通道。
• 加密（Encryption）：在通道裡加密資料，避免被旁邊偷看/竄改。
• 認證（Authentication）：雙方先確認「你真的是你、我真的是我」再溝通（例如 IKEv2 的雙向認證）。

這些事由不同協定/實作分工完成：例如 IPsec（配 IKEv2）在 L3 做隧道與加解密；OpenVPN 用 TLS 建控制通道 + 資料通道；WireGuard 走 L3、把密碼學做得更精簡。

2. 兩種常見拓樸：Remote-Access vs Site-to-Site

• Remote-Access（遠端人員回內網）：最符合學生/在家上班。你的筆電 ↔ 校園/公司 VPN 閘道。
• Site-to-Site（站點到站點）：兩個網段長期互通（例如總部 ↔ 分校/分公司）。

Full Tunnel vs Split Tunnel（怎麼走路由）

• 全通道（Full）：你的所有流量都先進 VPN 再出去——可視性/管控最完整，但走遠路會比較慢。
• 分流（Split）：只有「內網目的地」走 VPN，其它照原路上網——延遲較小，但要小心資料/查詢「露出」到公網。

3. 三大協定/實作怎麼選？

不是「誰最安全」的二選一，而是環境與維運的取捨：有標準網通設備/異廠互通多 → IPsec；想快上、客製 → OpenVPN；行動網/低負載高可用 → WireGuard。

本篇名詞

• Remote-Access / Site-to-Site：個人入內網／兩網段長期互通。
• Full / Split Tunnel：全部流量走 VPN／只把內網目的地走 VPN。
• IKEv2：IPsec 的密鑰交換/認證協定。
• WireGuard：現代化、極簡的 L3 VPN 實作。
• OpenVPN：以 TLS 為基礎的 VPN，分控制通道/資料通道。

小結

在了解 VPN 的加密與認證原理後，在下集會介紹零信任架構，說明如何從「進了 VPN 就是自己人」轉變為持續驗證與最小權限，一步步升級你的網絡安全！