基本信息
VPN的英文全稱是“Virtual Private Network”,翻譯過來就是“虛拟專用網絡”。顧名思義,虛拟專用網絡我們可以把它理解成是虛拟出來的企業内部專線。它可以通過特殊的加密的通訊協議在連接在Internet上的位于不同地方的兩個或多個企業内部網之間建立一條專有的通訊線路,就好比是架設了一條專線一樣,但是它并不需要真正n
的去鋪設光纜之類的物理線路。這就好比去電信局申請專線,但是不用給鋪設線路的費用,也不用購買路由器等硬件設備。VPN技術原是路由器具有的重要技術之一,目前在交換機,防火牆設備或WINDOWS2000等軟件裡也都支持VPN功能,一句話,VPN的核心就是在利用公共網絡建立虛拟私有網。
虛拟專用網(VPN)被定義為通過一個公用網絡(通常是因特網)建立一個臨時的、安全的連接,是一條穿過混亂的公用網絡的安全、穩定的隧道。虛拟專用網是對企業??司分支機構、商業夥伴及供應商同公司的内部網建立可信的安全連接,并保證數據的安全傳輸。虛拟專用網可用于不斷增長的移動用戶的全球因特網接入,以實現安全連接;可用于實現企業網站之間安全通信的虛拟專用線路,用于經濟有效地連接到商業夥伴和用戶的安全外聯網虛拟專用網。下面我們結合本站有關思科及微軟關于VPN方面的文章為大家介紹這方面的資訊,更多更豐富的相關方面内容我們将在以後日子裡進行補充。
針對不同的用戶要求,VPN有三種解決方案:遠程訪問虛拟網(Access VPN)、企業内部虛拟網(Intranet VPN)和企業擴展虛拟網(Extranet VPN),這三種類型的VPN分别與傳統的遠程訪問網絡、企業内部的Intranet以及企業網和相關合作夥伴的企業網所構成的Extranet(外部擴展)相對應。
目前很多單位都面臨着這樣的挑戰:分公司、經銷商、合作夥伴、客戶和外地出差人員要求随時經過公用網訪問公司的資源,這些資源包括:公司的内部資料、辦公OA、ERP系統、CRM系統、項目管理系統等。現在很多公司通過使用IPSec VPN來保證公司總部和分支機構以及移動工作人員之間安全連接。
對于很多IPSec VPN用戶來說,IPSec VPN的解決方案的高成本和複雜的結構是很頭疼的。存在如下事實:在部署和使用軟硬件客戶端的時候,需要大量的評價、部署、培訓、升級和支持,對于用戶來說,這些無論是在經濟上和技術上都是個很大的負擔,将遠程解決方案和昂貴的内部應用相集成,對任何IT專業人員來說都是嚴峻的挑戰。由于受到以上IPSec VPN的限制,大量的企業都認為IPSec VPN是一個成本高、複雜程度高,甚至是一個無法實施的方案。為了保持競争力,消除企業内部信息孤島,很多公司需要在與企業相關的不同的組織和個人之間傳遞信息,所以很多公司需要找一種實施簡便,不需改變現有網絡結構,運營成本低的解決方案。
虛拟專用網絡-工作原理
通常情況下,VPN網關采取雙網卡結構,外網卡使用公網IP接入Internet。網絡一(假定為公網internet)的終端A訪問網絡二(假定為公司内網)的終端B,其發出的訪問數據包的目标地址為終端B的内部IP地址。網絡二的VPN網關在接收到終端A發出的訪問數據包時對其目标地址進行檢查,如果目标地址屬于網絡二的地址,則将該數據包進行封裝,封裝的方式根據所采用的VPN技術不同而不同,同時VPN網關會構造一個新VPN數據包,并将封裝後的原數據包作為VPN數據包的負載,VPN數據包的目标地址為網絡二的VPN網關的外部地址。
網絡二的VPN網關将VPN數據包發送到Internet,由于VPN數據包的目标地址是網絡一的VPN網關的外部地址,所以該數據包将被Internet中的路由正确地發送到網絡二的VPN網關。網絡二的VPN網關對接收到的數據包進行檢查,如果發現該數據包是從網絡一的VPN網關發出的,即可判定該數據包為VPN數據包,并對該數據包進行解包處理。解包的過程主要是先将VPN數據包的包頭剝離,再将數據包反向處理還原成原始的數據包。網絡二的VPN網關将還原後的原始數據包發送至目标終端B,由于原始數據包的目标地址是終端B的IP,所以該數據包能夠被正确地發送到終端B。
在終端B看來,它收到的數據包就和從終端A直接發過來的一樣。從終端B返回終端A的數據包處理過程和上述過程一樣,這樣兩個網絡内的終端就可以相互通訊了。通過上述說明可以發現,在VPN網關對數據包進行處理時,有兩個參數對于VPN通訊十分重要:原始數據包的目标地址(VPN目标地址)和遠程VPN網關地址。根據VPN目标地址,VPN網關能夠判斷對哪些數據包進行VPN處理,對于不需要處理的數據包通常情況下可直接轉發到上級路由;遠程VPN網關地址則指定了處理後的VPN數據包發送的目标地址,即VPN隧道的另一端VPN網關地址。由于網絡通訊是雙向的,在進行VPN通訊時,隧道兩端的VPN網關都必須知道VPN目标地址和與此對應的遠端VPN網關地址。
虛拟專用網絡-信息簡介
虛拟專用網絡(Virtual Private Network ,簡稱VPN)指的是在公用網絡上建立專用網絡的技術。其之所以稱為虛拟網,主要是因為整個VPN網絡的任意兩個節點之間的連接并沒有傳統專網所需的端到端的物理鍊路,而是架構在公用網絡服務商所提供的網絡平台,如Internet、ATM(異步傳輸模式〉、Frame Relay (幀中繼)等之上的邏輯網絡,用戶數據在邏輯鍊路中傳輸。它涵蓋了跨共享網絡或公共網絡的封裝、加密和身份驗證鍊接的專用網絡的擴展。VPN主要采用了隧道技術、加解密技術、密鑰管理技術和使用者與設備身份認證技術。
虛拟專用網絡-VPN功能
在網絡中,服務質量(QoS)是指所能提供的帶寬級别。将QoS融入一個VPN,使得管理員可以在網絡中完全控制數據流。信息包分類和帶寬管理是兩種可以實現控制的方法:
信息包分類
信息包分類按重要性将數據分組。數據越重要,它的級别越高。當然,它的操作也會優先于同網絡中相對次要的數據。
帶寬管理
通過帶寬管理,一個VPN管理員可以監控網絡中所有輸入輸出的數據流,可以允許不同的數據包類獲得不同的帶寬。
其他的帶寬控制形式還有:
通信量管理
通信量管理方法的形成是一個服務提供商在Internet通信擁塞中發現的。大量的輸入輸出數據流排隊通過,這使得帶寬沒有得到合理使用。
公平帶寬
公平帶寬允許網絡中所有用戶機會均等地利用帶寬訪問Internet。通過公平帶寬,當應用程序需要用更大的數據流,例如MP3時,它将減少所用帶寬以便給其他人訪問的機會。
傳輸保證
傳輸保證為網絡中特殊的服務預留出一部分帶寬,例如視頻會議,IP電話和現金交易。它判斷哪個服務有更高的優先權并分配相應帶寬。
網絡管理員必須管理虛拟個人網絡以及使一個組織正常運作所需的資源。因為遠程辦公還有待發展,VPN管理員在維護帶寬上還有許多問題。然而,新技術對QoS的補充将會幫助網絡管理員解決這個問題。
虛拟專用網絡-意義介紹
⑴使用VPN可降低成本——通過公用網來建立VPN,就可以節省大量的通信費用,而不必投入大量的人力和物力去安裝和維護WAN(廣域網)設備和遠程訪問設備。⑵傳輸數據安全可靠——虛拟專用網産品均采用加密及身份驗證等安全技術,保證連接用戶的可靠性及傳輸數據的安全和保密性。⑶連接方便靈活——用戶如果想與合作夥伴聯網,如果沒有虛拟專用網,雙方的信息技術部門就必須協商如何在雙方之間建立租用線路或幀中繼線路,有了虛拟專用網之後,隻需雙方配置安全連接信息即可。⑷完全控制——虛拟專用網使用戶可以利用ISP的設施和服務,同時又完全掌握着自己網絡的控制權。用戶隻利用ISP提供的網絡資源,對于其它的安全設置、網絡管理變化可由自己管理。在企業内部也可以自己建立虛拟專用網。
虛拟專用網絡-常見問題
一般的原因是VPN連接時輸入的賬戶和/或密碼不正确,或是沒有使用VPN服務的權限。n
VPN一個賬号默認僅限一台電腦使用,檢查您的用戶名有無登錄重複。n
若您是在使用的途中掉線了,不要急着再次連接,請耐心等待幾分鐘。n
若還是提示錯誤,請聯系網絡管理員。n
錯誤691:提示“端口已斷開連接”n
市面上有一小部分的路由器對VPN支持不好,從而引起錯誤691、隻能連接幾台機、經常掉線等多種問題,有時候還會出現錯誤800。原因是路由器采用NAT方式,不能讓VPN協議穿透。n
如果計算機中開啟了系統防火牆,可以先關閉後再重試。n
如果偶爾出現,重撥幾次,或者重新啟動計算機及路由器後再重試。n
如果是通過局域網或者通過路由器上網的用戶,請網絡管理員在服務器或者路由器上打開UDP端口1701~1704。n
如果路由器中不能設置,可以嘗試将計算機直接連到外網,用單機撥号方式連接互聯網,再重試VPN撥号。n
部分網絡如校園網、廣電網、長城寬帶、寬帶通,容易出現691錯誤,需要與網絡接入部門聯系。n
安裝了簡化版的操作系統容易缺少相關組件,可以下載安裝錯誤691注冊表文件。n
這種情況可能是網絡延遲造成的,可以多連幾次試試,如果還是不行,可以嘗試以下解決方法:n
單擊“開始”,然後單擊“運行”。n
在“運行”中,鍵入regedit.exe,然後單擊“确定”。n
在注冊表編輯器中,找到以下子項:HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Class/{4D36E972-E325-11CE-BFC1-08002bE10318}/<000x>,其中<000x>是WAN微型端口(PPTP)驅動程序的網絡适配器。n
在“編輯”菜單上,指向“新建”,然後單擊“DWORD值”。n
鍵入ValidateAddress,然後按Enter。該值的默認設置為“1”(打開);因此,您可以通過将其設置為“0”将其關閉。n
退出注冊表編輯器。n
重新啟動計算機。n
選擇VPN連接,右鍵屬性,點擊安全。n
在數據加密項選擇“沒有加密也可以連接”(Win7下點擊網絡共享中心—更改适配器—點擊VPN連接圖标—查看屬性—安全數據加密—選擇“沒有加密也可以連接”)。n
如果計算機中開啟了系統防火牆,可以先關閉後再重試。n
如果有安裝路由器的用戶,建議重啟一下路由器。n
部分網絡如校園網、廣電網、長城寬帶、寬帶通,容易出現800錯誤,需要與網絡接入部門聯系。n
桌面右鍵單擊“我的電腦”或“計算機”,打開“管理”,在“服務和應用程序”中,點擊“服務”,找到“IPsec Policy Agent”服務,檢查有沒有禁用該服務。如果為禁用狀态則改為自動狀态,啟動該服務。n
錯誤619n
如果打開了防火牆(包括系統自帶的):關閉防火牆,或者設置防火牆允許UDP 1701端口。n
使用路由器上網:不使用路由器,或者映射UDP 1701端口。n
如果無以上兩種現象存在,但是還出現619錯誤:關閉所有正在使用網絡的軟件,重新啟動計算機然後重新進行連接。n
連上國外VPN後打開國内網頁速度很慢n
因為連接上了VPN的國外線路,本地網絡出口已經變更為了國家帶寬出口,因此在連接VPN的狀态下訪問國内的網頁速度是比較慢的,可簡單理解成:因為線路的傳輸需要從國内到國外,再從國外返回國内。而如果是訪問國外網頁的話,此時線路方式從國内直接傳輸到國外是相對最快的。而且還取決于您所選的線路距離,如果您選擇的是美國的線路,那麼訪問國内的網頁肯定較慢。n
移動終端連接不上n
當前網絡是3G網絡:3G網絡通常都不穩定,不保證每次都可以連接上。n
如果正在辦公室使用公司的無線網絡但連不上VPN或發生無法響應PPTP服務器錯誤:請詳細咨詢相關人員所處的網絡寬帶服務商是否支持VPN,其次看所處的網絡路由器是否禁止了VPN端口。n
電腦上可以連接VPN,但手機就不行:請确認電腦中的VPN是否處于“正在連接”的狀态,如果是,請先斷開電腦中的,再次連接手機試試。請注意一個賬号不能同時登錄在兩個設備中。n
錯誤789n
連接嘗試失敗,因為安全層在初始化與遠程計算機的協商時遇到一個處理錯誤n
1. 單擊“開始”,單擊“運行”,鍵入“regedit”,然後單擊“确定”n
2. 找到下面的注冊表子項,然後單擊它:n
HKEY_LOCAL_MACHINESystemCurrentControlSetServicesRasmanParametersn
3. 在“編輯”菜單上,單擊“新建”->“DWORD值”n
4. 在“名稱”框中,鍵入“ProhibitIpSec”n
5. 在“數值數據”框中,鍵入“1”,然後單擊“确定”n
6. 退出注冊表編輯器,然後重新啟動計算機n
虛拟專用網絡-各個系統下VPN的登陸配置
WindowsXPn
建立一個新連接;n
選擇“連接到我工作的地方的網絡”;n
選擇“虛拟專用網絡連接”;n
設定連接名稱(例如:VPN);n
輸入主機名稱或公網IP地址;n
完成新增連接,勾選“将這個連接的快捷方式加到我的桌面”(以便日後連接);n
輸入賬号,密碼,即可連接。n
Windows7n
在畫面右下角,點選網絡連接,然後選擇“打開網絡共享中心”;n
在彈出的對話窗口中,選擇“設置新的連接或網絡”;n
選擇“連接到工作區”,然後選擇“使用我的Internet連接(VPN),通過Internet使用虛拟專用網絡(VPN)來連接”,然後單擊“我将稍後設置Internet連接”;n
在“Internet 地址”裡,填上VPN提供的IP地址。填好IP後,其它東西都不用管它,直接點擊下一步。目标名稱填寫“VPN連接”;n
填VPN的用戶名和密碼,先不要填,點“創建”;n
到這裡就完成的連接設置導向。點擊“關閉”。;n
回到桌面右鍵點擊“網絡”->“屬性”,再點擊一下左邊的“更改适配器設置”;n
找到剛才建好的“VPN連接”并雙擊打開;n
填寫提供的VPN用戶名和密碼,“域”可以不用填寫。然後點擊屬性->安全;n
在“數據加密”這一項選中“可選加密(沒有加密也可以連接)”選好後點擊“确定”。VPN類型自動,使用這些協議選擇CHAP,MS-CHAP v2;n
整個Windows7 VPN過程都設置完成了。點擊“連接”就可以了。n
Ubuntun
1.畫面右上角最右端圖标單擊,選擇“系統設置”n
2.選擇“網絡”,選擇添加網絡,接口VPN,創建。n
Androidn
打開手機主菜單,選擇“設置”;n
選擇“無線和網絡”;n
選擇“虛拟專用網設置”;n
選擇“添加虛拟專用網”;n
選擇PPTP方式;n
輸入虛拟專用網名稱(如VPN);n
填寫服務器域名,點擊“确定”。然後按menu鍵,保存設置;n
點擊打開剛剛建好的連接,填寫用戶名和密碼,點擊“連接”。n
iOSn
點擊桌面上的“設置”圖标進入設置;n
點擊“通用”進入通用設置;n
點擊“網絡”,進入網絡設置;n
點擊“VPN”進入設置;n
點擊“添加VPN配置”;n
在協議類型上選擇“PPTP”,在“描述”欄中填入“VPN”,在服務器欄中填入服務器域名,在賬戶和密碼欄中填入用戶名和密碼,其他設置保持不變,然後點擊“存儲”。;n
點擊“VPN”開關,就會開啟連接,連接成功後,右上角會出現小圖标。n
OSXn
從任務欄菜單打開系統設置,選擇“網絡”;n
在新對話框中選擇“添加”,然後從下拉菜單選擇“VPN”;n
從VPN類型下拉菜單中選擇PPTP。填寫服務名稱,點擊“創建”按鈕;n
在配置下拉菜單中選擇“增加配置”;n
填寫服務器地址,用戶名;n
點擊“認證配置”按鈕,在彈出的對話框中選擇“密碼”單選框,并輸入密碼;n
回到主設置框,點擊“應用”保存設置即可。n
虛拟專用網絡-相關法律法規
2003年4月,信息産業部頒發了《電信業務分類目錄》,取消了國際電信業務的分類,同時将虛拟專用網業務自基礎電信業務中分離出來,成為獨立的增值電信業務分類。但是此處的“虛拟專用網”概念與行業内的VPN業務是不一樣的。新的《電信業務分類目錄》中對該分類的解釋是:國内因特網虛拟專用網業務(IP-VPN)是指經營者利用自有的或租用公用因特網網絡資源,采用TCP/IP協議,為國内用戶定制因特網閉合用戶群網絡的服務。這種分類的解釋強調了兩個特點,一個是利用因特網網絡資源,一個是采用TCP/IP協議。這種解釋是與當時的市場狀況所對應的,當時關注的是基于互連網的IPSec VPN,雖然該解釋可以基本涵蓋後出現的SSL VPN模式,但并沒有關注MPLS VPN。
2003年8月,信息産業部發布《關于組織開展國内多方通信服務等三項電信業務商用試驗的通知》,就“國内多方通信服務業務”、“在線數據處理與交易處理業務”、“國内因特網虛拟專用網業務”等三項增值電信業務組織開展商用試驗,有效期至2004年8月底。
2004年11月,信息産業部發布《關于繼續開展國内多方通信服務等三項增值電信業務商用試驗的通告》,決定将以上三項增值電信業務商用試驗期延長一年,至2005年8月31日。
2006年1月,信息産業部發布《關于兩項增值電信業務及國内多方通信服務的通告》,正式開放“國内因特網虛拟專用網業務”和“在線數據處理與交易處理業務”兩項增值電信業務,上述兩項增值電信業務由商用試驗轉為正式商用。
2008年,正式頒發IP-VPN業務牌照。名為IPSec VPN的中國“國内因特網虛拟專用網”增值電信業務許可證自其誕生之日起即以MPLS VPN為發展方向,導緻VPN市場無規可循,實際上是在“灰色運營”。
2013年,工業與信息化部公布的《電信業務分類目錄(征求意見稿)》中仍然沒有對此作出任何改變。
2015年1月27日,工信部回應VPN被封事件,表示一些不良信息應該按照中國法律進行管理。
工信部此前發布規定,在中國提供VPN服務的公司必須登記注冊,否則将“不會受到中國法律的保護”。
