VPN介绍

虚拟专用网络（Virtual Private Network)

? ? 虚拟专用网络（Virtual Private Network ，简称VPN)指的是在公用网络上建立专用网络的技术。其之所以称为虚拟网，主要是因为整个VPN网络的任意两个节点之间的连接并没有传统专网所需的端到端的物理链路，而是架构在公用网络服务商所提供的网络平台，如Internet、ATM(异步传输模式〉、Frame Relay （帧中继）等之上的逻辑网络，用户数据在逻辑链路中传输。它涵盖了跨共享网络或公共网络的封装、加密和身份验证链接的专用网络的扩展。VPN主要采用了隧道技术、加解密技术、密钥管理技术和使用者与设备身份认证技术。

?

意义

?

　　VPN属于远程访问技术，简单地说就是利用公网链路架设私有网络。例如公司员工出差到外地，他想访问企业内网的服务器资源，这种访问就属于远程访问。怎么才能让外地员工访问到内网资源呢？VPN的解决方法是在内网中架设一台VPN服务器，VPN服务器有两块网卡，一块连接内网，一块连接公网。外地员工在当地连上互联网后，通过互联网找到VPN服务器，然后利用VPN服务器作为跳板进入企业内网。为了保证数据安全，VPN服务器和客户机之间的通讯数据都进行了加密处理。有了数据加密，就可以认为数据是在一条专用的数据链路上进行安全传输，就如同专门架设了一个专用网络一样。但实际上VPN使用的是互联网上的公用链路，因此只能称为虚拟专用网。即：VPN实质上就是利用加密技术在公网上封装出一个数据通讯隧道。有了VPN技术，用户无论是在外地出差还是在家中办公，只要能上互联网就能利用VPN非常方便地访问内网资源，这就是为什么VPN在企业中应用得如此广泛。 ?

　　在传统的企业网络配置中，要进行异地局域网之间的互连，传统的方法是租用dsn（数字数据网）专线或帧中继。这样的通讯方案必然导致高昂的网络通讯/维护费用。对于移动用户（移动办公人员）与远端个人用户而言，一般通过拨号线路（Internet)进入企业的局域网，而这样必然带来安全上的隐患。

　　虚拟专用网的提出就是来解决这些问题：

　　⑴使用VPN可降低成本——通过公用网来建立VPN，就可以节省大量的通信费用，而不必投入大量的人力和物力去安装和维护WAN（广域网）设备和远程访问设备。

　　⑵传输数据安全可靠——虚拟专用网产品均采用加密及身份验证等安全技术，保证连接用户的可靠性及传输数据的安全和保密性。

　　⑶连接方便灵活——用户如果想与合作伙伴联网，如果没有虚拟专用网，双方的信息技术部门就必须协商如何在双方之间建立租用线路或帧中继线路，有了虚拟专用网之后，只需双方配置安全连接信息即可。

　　⑷完全控制——虚拟专用网使用户可以利用ISP的设施和服务，同时又完全掌握着自己网络的控制权。用户只利用ISP提供的网络资源，对于其它的安全设置、网络管理变化可由自己管理。在企业内部也可以自己建立虚拟专用网。

?

?

特点

?

⑴安全保障

　　VPN通过建立一个隧道，利用加密技术对传输数据进行加密，以保证数据的私有性和安全性。

⑵服务质量保证

　　VPN可以为不同要求用户提供不同等级的服务质量保证。

⑶可扩充、灵活性

　　VPN支持通过Internet和Extranet的任何类型的数据流。

⑷可管理性

　　VPN可以从用户和运营商角度方便进行管理。

?

?

?

功能

?

　　在网络中，服务质量（QoS）是指所能提供的带宽级别。将QoS融入一个VPN，使得管理员可以在网络中完全控制数据流。信息包分类和带宽管理是两种可以实现控制的方法：

　　信息包分类

　　信息包分类按重要性将数据分组。数据越重要，它的级别越高。当然，它的操作也会优先于同网络中相对次要的数据。

　　带宽管理

　　通过带宽管理，一个VPN管理员可以监控网络中所有输入输出的数据流，可以允许不同的数据包类获得不同的带宽。

　　其他的带宽控制形式还有：

　　通信量管理

　　通信量管理方法的形成是一个服务提供商在Internet通信拥塞中发现的。大量的输入输出数据流排队通过，这使得带宽没有得到合理使用。

　　公平带宽

　　公平带宽允许网络中所有用户机会均等地利用带宽访问Internet。通过公平带宽，当应用程序需要用更大的数据流，例如MP3时，它将减少所用带宽以便给其他人访问的机会。

　　传输保证

　　传输保证为网络中特殊的服务预留出一部分带宽，例如视频会议，IP电话和现金交易。它判断哪个服务有更高的优先权并分配相应带宽。

　　网络管理员必须管理虚拟个人网络以及使一个组织正常运作所需的资源。因为远程办公还有待发展，VPN管理员在维护带宽上还有许多问题。然而，新技术对QoS的补充将会帮助网络管理员解决这个问题。

?

?

?

分类

?

　　根据不同的划分标准，VPN可以按几个标准进行分类划分

　　⒈ 按VPN的协议分类

　　VPN的隧道协议主要有三种，PPTP，L2TP和IPSec，其中PPTP和L2TP协议工作在OSI模型的第二层，又称为二层隧道协议；IPSec是第三层隧道协议，也是最常见的协议。L2TP和IPSec配合使用是目前性能最好，应用最广泛的一种。

　　⒉ 按VPN的应用分类：

　　1） Access VPN（远程接入VPN）：客户端到网关，使用公网作为骨干网在设备之间传输VPN的数据流量；

　　2）Intranet VPN（内联网VPN）：网关到网关，通过公司的网络架构连接来自同公司的资源；

　　3） Extranet VPN（外联网VPN）：与合作伙伴企业网构成Extranet，将一个公司与另一个公司的资源进行连接；

　　⒊ 按所用的设备类型进行分类：

　　网络设备提供商针对不同客户的需求，开发出不同的VPN网络设备，主要为交换机，路由器，和防火墙

　　1）路由器式VPN：路由器式VPN部署较容易，只要在路由器上添加VPN服务即可；

　　2）交换机式VPN：主要应用于连接用户较少的VPN网络；

　　3）防火墙式VPN：防火墙式VPN是最常见的一种VPN的实现方式，许多厂商都提供这种配置类型

VPN的实现方式

　　VPN的实现有很多种方法，常用的有以下四种：

　　1）VPN服务器，在大型局域网中，可以在网络中心通过搭建VPN服务器的方法来实现。

　　2）软件VPN，可以通过专用的软件来实现VPN。

　　3）硬件VPN，可以通过专用的硬件来实现VPN。

　　4）集成VPN，很多的硬件设备，如路由器，防火墙等等，都含有VPN功能，但是一般拥有VPN功能的硬件设备通常都比没有这一功能的要贵。

　　个人建议，如果是大型局域网的话，购买路由器，交换机等设备时就不需要VPN这一项了。直接在服务器上安装相应的软件就可以了。

?

?

?

?

技术

?

　　⒈隧道技术

　　实现VPN，最关键部分是在公网上建立虚信道，而建立虚信道是利用隧道技术实现的，IP隧道的建立可以是在链路层和网络层。第二层隧道主要是PPP连接，如PPTP，L2TP，其特点是协议简单，易于加密，适合远程拨号用户；第三层隧道是IPinIP，如IPSec，其可靠性及扩展性优于第二层隧道，但没有前者简单直接。

　　⒉ 隧道协议

　　隧道是利用一种协议传输另一种协议的技术，即用隧道协议来实现VPN功能。为创建隧道，隧道的客户机和服务器必须使用同样的隧道协议。

　　1）PPTP（点到点隧道协议）是一种用于让远程用户拨号连接到本地的ISP，通过因特网安全远程访问公司资源的新型技术。它能将PPP（点到点协议）帧封装成IP数据包，以便能够在基于IP的互联网上进行传输。PPTP使用TCP（传输控制协议）连接的创建，维护，与终止隧道，并使用GRE(通用路由封装）将PPP帧封装成隧道数据。被封装后的PPP帧的有效载荷可以被加密或者压缩或者同时被加密与压缩。

　　2） L2TP协议：L2TP是PPTP与L2F（第二层转发）的一种综合，他是由思科公司所推出的一种技术。

　　3）IPSec协议：是一个标准的第三层安全协议，它是在隧道外面再封装，保证了在传输过程中的安全。IPSec的主要特征在于它可以对所有IP级的通信进行加密。　

　　⒊加解密技术。

　　加解密技术是数据通信中一项较成熟的技术，VPN可直接利用现有技术实现加解密。

　　⒋密匙管理技术

　　密匙管理技术的主要任务是如何在公用数据网上安全地传递密匙而不被窃取。

　　⒌使用者与设备身份认证技术。

　　使用者与设备认证技术最常用的是使用者名称与密码或卡片式认证等方式。

?

?

?

?

常见问题与解决方案

?

　　错误691的提示是“由于域上的用户名和/或密码无效而拒绝访问”　　

1、一般是因为VPN拨号时的帐户和密码不正确，或没有使用VPN服务的权限。

　　2、vpn一个帐号默认只限制一台电脑使用，检查您的用户名有无登陆重复。

　　3、若您是在使用的途中掉线了，不要急着连代理，请耐心等待2分钟。

　　若还是提示错误，及时把您的用户名提供给在线客服，给您解决。

　　错误619的提示是“端口已断开连接”

　　1、619错误是因为你连接VPN的电脑处于内网通过路由器上网.

　　市面上有一小部份的路由器对VPN支持不好，从而引起错误619，只能连接几台机，经常掉线等多种问题.

　　有时候还会出现错误800，这些问题并不是贵的路由器就不会出现. 这是因为路由器采用的NAT方式问题. 不能让VPN协议穿透.

　　2、如果计算机中开启了系统防火墙，可以先关闭后再重试；

　　3、如果偶尔出现，重拨几次，或者重新启动计算机及路由器后再重试；

　　4、如果是通过局域网或者通过路由器上网的用户，请网管在服务器或者路由器上打开UDP端口1701～1704；

　　5、如果路由器中不能设置，可以尝试将计算机直接连到外网，用单机拨号方式连接互联网，再重试VPN拨号；

　　6、部分网络如校园网、广电网、长城宽带、宽带通，也容易出现619错误，需要与网络接入部门联系。

　　7、安装了简化版的操作系统 （WINXP/ⅥSTA）缺少相关组件，下载安装错误619注册表文件

　　错误721的提示是“远程计算机没反应”

　　这种情况有可能网络延迟造成的，可以多连几次试试，如果还是不行，可以尝试以下解决方法。

　　1、单击“开始”，然后单击“运行”。

　　2、在“打开”框中，键入 regedit，然后单击“确定”。

　　3、在注册表编辑器中，找到以下子项

　　HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlClass{4D36E972-E325-11CE-BFC1-08002bE10318}<000x>

　　其中 <000x> 是 WAN 微型端口 (PPTP) 驱动程序的网络适配器。

　　4、在“编辑”菜单上，指向“新建”，然后单击“DWORD 值”。

　　5、键入 ValidateAddress，然后按 Enter。该值的默认设置为“1”（打开）；因此，您可以通过将其设置为“0”将其关闭。

　　6、退出注册表编辑器。

　　7、重新启动计算机

　　错误742/741的提示是“远程服务器不支持加密”

　　1、点击网上邻居→选择VPN连接用鼠标点击右键属性→点击安全

　　2、在 数据加密—): 选择 没有加密也可以连接

　　3、W7下点击网络共享中心—更改适配器—点击VPN链接图标—查看属性安全数据加密—选择没有加密也可以连接

　　错误800的提示是“不能建立VPN连接，VPN服务器不能到达”

　　1、如果计算机中开启了系统防火墙，可以先关闭后再重试。

　　2、如果有安装路由器的用户，也建议重启一下路由器。

　　3、部分网络如校园网、广电网、长城宽带、宽带通，也容易出现800错误，需要与网络接入部门联系。

　　4、桌面右键单击“我的电脑”或“计算机”选择打开管理，在服务和应用程序中，点击“服务”，

　　找到 IPsec Policy Agent服务，检查有没有禁用该服务。改为自动，服务状态已启动。

?

?

?

?

?

市场

?

　　目前VPN市场较之前有了更大的发展，各类公司、工作室出品的VPN品牌多达上百种，在繁杂的VPN市场让使用的客户难以挑选总体来说分为三类：

公司出品类：

　　此类产品性能好，稳定性强，客户群多，常见有迅游网游加速器、91VPN、搜狐VPN网络加速器专业从事国际网游加速,产品经历了四年的市场考验,尤其针对台服魔兽,暗黑3、激战2等游戏,效果显著，全国各一线城市均设有节点，能够彻底解决网游延迟过高，登录困难，频繁掉线等问题，彻底实现了电信，网通，铁通，教育网，移动等不同用户网络环境的互联互通，并且提供有全平台支持(Win7/Vista/XP 32/64位系统 Mac系统),保证加速效果；四川迅游网络科技股份有限公司出品的迅游网游加速器，客户量庞大，常与大型国内游戏商合作，资金和技术实力雄厚，但是国外线路一般；91网游加速器是上海91网游科技有限公司出品，为最早进入VPN市场的一个品牌，价格较为便宜，使用人数也比较多，多年积累了相应的品牌效应；搜狐VPN是北京搜狐网络科技有限公司开发出来的全新的VPN品牌，以线路多（近6500）速度快，全球国家数量齐全，完美支持国内外视频及游戏而而迅速发展起来，价格较91贵，定位于中高端客户及企业客户，上市近一年以积累相当的人气和客户，有后来居上之势。

工作室出品类

　　此类为早先的游戏工作室为自身的游戏开发的VPN品牌，能满足自身的需求，此类品牌较多：类似有56VPN、sosoVPN,白金VPN等一大批

网页形式出品类

　　此类主要是为以网站论坛形式或改变形式出售，服务器数量较少，主要为国内人士提供国外浏览服务。

?

?

?

?

?

?

?

虚拟私人网络，亦称为虚拟专用网络（英文Virtual Private Network，简称VPN），是一种常用于连接中、大型企业或团体与团体间的私人网络的通讯方法。虚拟私人网络的讯息透过公用的网络架构（例如：互联网）来传送内联网的网络讯息。

?

虚拟私人网络利用已加密的通道协议（Tunneling Protocol）来达到保密、传送端认证、讯息准确性等私人讯息安全效果。若使用得法，这种技术可以用不安全的网络（例如：互联网）来传送可靠、安全的讯息。需要注意的是，加密讯息与否是可以控制的。没有加密的虚拟私人网络讯息依然有被窃取的危险。

以日常生活的例子来比喻，虚拟私人网络就像：甲公司某部门的A想寄信去乙公司某部门的B。A已知B的地址及部门，但公司与公司之间的信不能注明部门名称。于是，A请自己的秘书把指定B所属部门的信（A可以选择是否以密码与B通讯）放在寄去乙公司地址的大信封中。当乙公司的秘书收到从甲公司寄到乙公司的信件后，该秘书便会把放在该大信封内的指定部门信件以公司内部邮件方式寄给B。同样地，B会以同样的方式回信给A。

在以上例子中，A及B是身处不同公司（内联网络）的计算机（或相关机器），透过一般邮寄方式（公用网络）寄信给对方，再由对方的秘书（例如：支援虚拟私人网络的路由器或防火墙）以公司内部信件（内部网络）的方式寄至对方本人。请注意，在虚拟私人网络中，因应网络架构，秘书及收信人可以是同一人。许多现在的操作系统，例如Windows及Linux等因应所用传输协议，已有能力不用透过其它网络设备便能达到虚拟私人网络连接。

?

直到20世纪90年代末，计算机网络上的计算机通过非常昂贵的专线和/或拨号连线互连。视站点间的距离，花费可达数千美元（56kbps连线）或上万美元（T1）。

由于避免了租用多条各自连接互联网的专线的需要，虚拟私人网络可减少网络开支。用户可以安全地交换私密数据，这使昂贵的专线变得多余。[1]

?

?

安全的虚拟私人网络使用加密穿隧协议，通过阻止截听与嗅探来提供机密性，还允许发送者身份验证，以阻止身份伪造，同时通过防止信息被修改提供消息完整性。

?

?

某些虚拟私人网络不使用加密保护数据。虽然虚拟私人网络通常都会提供安全性，但未加密的虚拟私人网络严格来说不属于“安全”或“可信”的类别。例如，一条通过GRE协议在两台主机间建立的隧道属于虚拟私人网络，但既不安全也不可信。 除以上的GRE协议例子外，原生的明文穿隧协议包括L2TP（不带IPsec时）和PPTP（不使用微软点对点加密(MPPE)时）。

?

?

常用的虚拟私人网络协定有：

L2F

L2TP

PPTP

IPsec

SSL VPN

Cisco VPN

OpenVPN

?

?

由于中华人民共和国于中国大陆境内对于海外网络的限制及封锁，所以中国大陆兴盛起以采用免费或付费的虚拟私人网络（VPN）进行海外网络连线服务的方法进行翻_墙，或许多外商公司欲连线回海外网站也多自行架设VPN或采用付费的VPN服务。 但因中国大陆有许多免费之VPN资源为盗取自国外企业宽带线路[来源请求]，或故意架设VPN截取封包以盗取中国大陆企业资讯，因此多以采用较有知名度之香港或台湾VPN服务网站公司较多。