读书笔记摘抄新闻资讯
虚拟专用网路
VPN一般指本词条
虚拟专用网路(VPN)的功能是:在公用网路上建立专用网路,进行加密通讯。在企业网路中有广泛套用。VPN网关通过对数据包的加密和数据包目标地址的转换实现远程访问。VPN有多种分类方式,主要是按协定进行分类。VPN可通过伺服器、硬体、软体等多种方式实现。
基本介绍
- 中文名:虚拟专用网路
- 外文名:Virtual Private Network
- 简称:虚拟专网、VPN
- 用途:加密通讯
- 一般类型:4GIPVPN
- 连线协定:PPTP、L2TP、IPSec
网路功能
VPN属于远程访问技术,简单地说就是利用公用网路架设专用网路。例如某公司员工出差到外地,他想访问企业区域网路的伺服器资源,这种访问就属于远程访问。
VPN基本功能
VPN基本功能在传统的企业网路配置中,要进行远程访问,传统的方法是租用DDN(数字数据网)专线或帧中继,这样的通讯方案必然导致高昂的网路通讯和维护费用。对于移动用户(移动办公人员)与远端个人用户而言,一般会通过拨号线路(Internet)进入企业的区域网路,但这样必然带来安全上的隐患。
让外地员工访问到区域网路资源,利用VPN的解决方法就是在区域网路中架设一台VPN伺服器。外地员工在当地连上网际网路后,通过网际网路连线VPN伺服器,然后通过VPN伺服器进入企业区域网路。为了保证数据安全,VPN伺服器和客户机之间的通讯数据都进行了加密处理。有了数据加密,就可以认为数据是在一条专用的数据链路上进行安全传输,就如同专门架设了一个专用网路一样,但实际上VPN使用的是网际网路上的公用链路,因此VPN称为虚拟专用网路,其实质上就是利用加密技术在公网上封装出一个数据通讯隧道。有了VPN技术,用户无论是在外地出差还是在家中办公,只要能上网际网路就能利用VPN访问区域网路资源,这就是VPN在企业中套用得如此广泛的原因。
工作原理
- 通常情况下,VPN网关採取双网卡结构,外网卡使用公网IP接入Internet。
- 网路一(假定为公网internet)的终端A访问网路二(假定为公司区域网路)的终端B,其发出的访问数据包的目标地址为终端B的内部IP位址。
- 网路一的VPN网关在接收到终端A发出的访问数据包时对其目标地址进行检查,如果目标地址属于网路二的地址,则将该数据包进行封装,封装的方式根据所採用的VPN技术不同而不同,同时VPN网关会构造一个新VPN数据包,并将封装后的原数据包作为VPN数据包的负载,VPN数据包的目标地址为网路二的VPN网关的外部地址。
- 网路一的VPN网关将VPN数据包传送到Internet,由于VPN数据包的目标地址是网路二的VPN网关的外部地址,所以该数据包将被Internet中的路由正确地传送到网路二的VPN网关。
- 网路二的VPN网关对接收到的数据包进行检查,如果发现该数据包是从网路一的VPN网关发出的,即可判定该数据包为VPN数据包,并对该数据包进行解包处理。解包的过程主要是先将VPN数据包的包头剥离,再将数据包反向处理还原成原始的数据包。
- 网路二的VPN网关将还原后的原始数据包传送至目标终端B,由于原始数据包的目标地址是终端B的IP,所以该数据包能够被正确地传送到终端B。在终端B看来,它收到的数据包就和从终端A直接发过来的一样。
- 从终端B返回终端A的数据包处理过程和上述过程一样,这样两个网路内的终端就可以相互通讯了。
通过上述说明可以发现,在VPN网关对数据包进行处理时,有两个参数对于VPN通讯十分重要:原始数据包的目标地址(VPN目标地址)和远程VPN网关地址。根据VPN目标地址,VPN网关能够判断对哪些数据包进行VPN处理,对于不需要处理的数据包通常情况下可直接转发到上级路由;远程VPN网关地址则指定了处理后的VPN数据包传送的目标地址,即VPN隧道的另一端VPN网关地址。由于网路通讯是双向的,在进行VPN通讯时,隧道两端的VPN网关都必须知道VPN目标地址和与此对应的远端VPN网关地址。
分类标準
根据不同的划分标準,VPN可以按几个标準进行分类划分:
1、按VPN的协定分类:
VPN的隧道协定主要有三种,PPTP、L2TP和IPSec,其中PPTP和L2TP协定工作在OSI模型的第二层,又称为二层隧道协定;IPSec是第三层隧道协定。
2、按VPN的套用分类:
(1)Access VPN(远程接入VPN):客户端到网关,使用公网作为骨干网在设备之间传输VPN数据流量;
(2)Intranet VPN(内联网VPN):网关到网关,通过公司的网路架构连线来自同公司的资源;
(3)Extranet VPN(外联网VPN):与合作伙伴企业网构成Extranet,将一个公司与另一个公司的资源进行连线。
3、按所用的设备类型进行分类:
网路设备提供商针对不同客户的需求,开发出不同的VPN网路设备,主要为交换机、路由器和防火墙:
(1)路由器式VPN:路由器式VPN部署较容易,只要在路由器上添加VPN服务即可;
(2)交换机式VPN:主要套用于连线用户较少的VPN网路;
(3)防火墙式VPN:防火墙式VPN是最常见的一种VPN的实现方式,许多厂商都提供这种配置类型
4.按照实现原理划分:
(1)重叠VPN:此VPN需要用户自己建立端节点之间的VPN链路,主要包括:GRE、L2TP、IPSec等众多技术。
(2)对等VPN:由网路运营商在主干网上完成VPN通道的建立,主要包括MPLS、VPN技术。
实现方式
VPN的实现有很多种方法,常用的有以下四种:
1.VPN伺服器:在大型区域网路中,可以通过在网路中心搭建VPN伺服器的方法实现VPN。
2.软体VPN:可以通过专用的软体实现VPN。
3.硬体VPN:可以通过专用的硬体实现VPN。
4.集成VPN:某些硬体设备,如路由器、防火墙等,都含有VPN功能,但是一般拥有VPN功能的硬体设备通常都比没有这一功能的要贵。
VPN技术
1.MPLS VPN是一种基于MPLS技术的IP VPN,是在网路路由和交换设备上套用MPLS(Multiprotocol Label Switching,多协定标记交换)技术,简化核心路由器的路由选择方式,利用结合传统路由技术的标记交换实现的IP虚拟专用网路(IP VPN)。MPLS优势在于将二层交换和三层路由技术结合起来,在解决VPN、服务分类和流量工程这些IP网路的重大问题时具有很优异的表现。因此,MPLS VPN在解决企业互连、提供各种新业务方面也越来越被运营商看好,成为在IP网路运营商提供增值业务的重要手段。MPLS VPN又可分为二层MPLS VPN(即MPLS L2 VPN)和三层MPLS VPN(即MPLS L3 VPN)。
2.SSL VPN是以HTTPS(Secure HTTP,安全的HTTP,即支持SSL的HTTP协定)为基础的VPN技术,工作在传输层和套用层之间。SSL VPN充分利用了SSL协定提供的基于证书的身份认证、数据加密和讯息完整性验证机制,可以为套用层之间的通信建立安全连线。SSL VPN广泛套用于基于Web的远程安全接入,为用户远程访问公司内部网路提供了安全保证。
3.IPSec VPN是基于IPSec协定的VPN技术,由IPSec协定提供隧道安全保障。IPSec是一种由IETF设计的端到端的确保基于IP通讯的数据安全性的机制。它为Internet上传输的数据提供了高质量的、可互操作的、基于密码学的安全保证。
常见问题
错误691:提示“由于域上的用户名和/或密码无效而拒绝访问”
- 一般的原因是VPN连线时输入的账户和/或密码不正确,或是没有使用VPN服务的许可权。
- VPN一个账号默认仅限一台电脑使用,检查您的用户名有无登录重複。
- 若您是在使用的途中掉线了,不要急着再次连线,请耐心等待几分钟。
若还是提示错误,请联繫网路管理员。
错误691:提示“连线埠已下线”
- 市面上有一小部分的路由器对VPN支持不好,从而引起错误691、只能连线几台机、经常掉线等多种问题,有时候还会出现错误800。原因是路由器採用NAT方式,不能让VPN协定穿透。
- 如果计算机中开启了系统防火墙,可以先关闭后再重试。
- 如果偶尔出现,重拨几次,或者重新启动计算机及路由器后再重试。
- 如果是通过区域网路或者通过路由器上网的用户,请网路管理员在伺服器或者路由器上打开UDP连线埠1701~1704。
- 如果路由器中不能设定,可以尝试将计算机直接连到外网,用单机拨号方式连线网际网路,再重试VPN拨号。
- 部分网路如校园网、广电网、长城宽频、宽频通,容易出现691错误,需要与网路接入部门联繫。
- 安装了简化版的作业系统容易缺少相关组件,可以下载安装错误691注册表档案。
错误721:提示“远程计算机没反应”
- 这种情况可能是网路延迟造成的,可以多连几次试试,如果还是不行,可以尝试以下解决方法:
- 单击“开始”,然后单击“运行”。
- 在“运行”中,键入regedit.exe,然后单击“确定”。
- 在注册表编辑器中,找到以下子项:HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Class/{4D36E972-E325-11CE-BFC1-08002bE10318}/<000x>,其中<000x>是WAN微型连线埠(PPTP)驱动程式的网路适配器。
- 在“编辑”选单上,指向“新建”,然后单击“DWORD 值”。
- 键入ValidateAddress,然后按 Enter。该值的默认设定为“1”(打开);因此,您可以通过将其设定为“0”将其关闭。
- 退出注册表编辑器。
- 重新启动计算机。
错误742/741:提示“远程伺服器不支持加密”
- 选择VPN连线,右键属性,点击安全。
- 在数据加密项选择“没有加密也可以连线”(Win7下点击网路共享中心—更改适配器—点击VPN连线图示—查看属性—安全数据加密—选择“没有加密也可以连线”)。
错误800:提示是“不能建立VPN连线,VPN伺服器不能到达”
- 如果计算机中开启了系统防火墙,可以先关闭后再重试。
- 如果有安装路由器的用户,建议重启一下路由器。
- 部分网路如校园网、广电网、长城宽频、宽频通,容易出现800错误,需要与网路接入部门联繫。
- 桌面右键单击“我的电脑”或“计算机”,打开“管理”,在“服务和应用程式”中,点击“服务”,找到“IPsec Policy Agent”服务,检查有没有禁用该服务。如果为禁用状态则改为自动状态,启动该服务。
错误619
- 如果打开了防火墙(包括系统自带的):关闭防火墙,或者设定防火墙允许UDP 1701连线埠。
- 使用路由器上网:不使用路由器,或者映射UDP 1701连线埠。
- 如果无以上两种现象存在,但是还出现619错误:关闭所有正在使用网路的软体,重新启动计算机然后重新进行连线。
连上国外VPN后打开国区域网路页速度很慢
因为连线上了VPN的国外线路,本地网路出口已经变更为了国家频宽出口,因此在连线VPN的状态下访问国内的网页速度是比较慢的,可简单理解成:因为线路的传输需要从国内到国外,再从国外返回国内。而如果是访问国外网页的话,此时线路方式从国内直接传输到国外是相对最快的。而且还取决于您所选的线路距离,如果您选择的是美国的线路,那幺访问国内的网页肯定较慢。
移动终端连线不上
- 当前网路是3G网路:3G网路通常都不稳定,不保证每次都可以连线上。
- 如果正在办公室使用公司的无线网路但连不上VPN或发生无法回响PPTP伺服器错误:请详细谘询相关人员所处的网路宽频服务商是否支持VPN,其次看所处的网路路由器是否禁止了VPN连线埠。
- 电脑上可以连线VPN,但手机就不行:请确认电脑中的VPN是否处于“正在连线”的状态,如果是,请先断开电脑中的,再次连线手机试试。请注意一个账号不能同时登录在两个设备中。
错误789
连线尝试失败,因为安全层在初始化与远程计算机的协商时遇到一个处理错误
1. 单击“开始”,单击“运行”,键入“regedit”,然后单击“确定”
2. 找到下面的注册表子项,然后单击它:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rasman\Parameters
3. 在“编辑”选单上,单击“新建”->“DWORD值”
4. 在“名称”框中,键入“ProhibitIpSec”
5. 在“数值数据”框中,键入“1”,然后单击“确定”
6. 退出注册表编辑器,然后重新启动计算机
登入配置
Windows XP
- 建立一个新连线;
- 选择“连线到我工作的地方的网路”;
- 选择“虚拟专用网路连线”;
- 设定连线名称(例如:VPN);
- 输入主机名称或公网IP位址;
- 完成新增连线,勾选“将这个连线的捷径加到我的桌面”(以便日后连线);
- 输入账号,密码,即可连线。
Windows 7
- 在画面右下角,点选网路连线,然后选择“打开网路共享中心”;
- 在弹出的对话视窗中,选择“设定新的连线或网路”;
- 选择“连线到工作区”,然后选择“使用我的Internet连线(VPN),通过Internet使用虚拟专用网路(VPN)来连线”,然后单击“我将稍后设定Internet连线”;
- 在“Internet 地址”里,填上VPN提供的IP位址。填好IP后,其它东西都不用管它,直接点击下一步。目标名称填写“VPN连线”;
- 填VPN的用户名和密码,先不要填,点“创建”;
- 到这里就完成的连线设定导向。点击“关闭”。;
- 回到桌面右键点击“网路”->“属性”,再点击一下左边的“更改适配器设定”;
- 找到刚才建好的“VPN连线”并双击打开;
- 填写提供的VPN用户名和密码,“域”可以不用填写。然后点击属性->安全;
- 在“数据加密”这一项选中“可选加密(没有加密也可以连线)”选好后点击“确定”。VPN类型自动,使用这些协定选择CHAP,MS-CHAP v2;
- 整个Windows7 VPN过程都设定完成了。点击“连线”就可以了。
Ubuntu
1.画面右上角最右端图示单击,选择“系统设定”
2.选择“网路”,选择添加网路,接口VPN,创建。
Android
- 打开手机主选单,选择“设定”;
- 选择“无线和网路”;
- 选择“虚拟专用网设定”;
- 选择“添加虚拟专用网”;
- 选择PPTP方式;
- 输入虚拟专用网名称(如VPN);
- 填写伺服器域名,点击“确定”。然后按menu键,保存设定;
- 点击打开刚刚建好的连线,填写用户名和密码,点击“连线”。
iOS
- 点击桌面上的“设定”图示进入设定;
- 点击“通用”进入通用设定;
- 点击“网路”,进入网路设定;
- 点击“VPN”进入设定;
- 点击“添加VPN配置”;
- 在协定类型上选择“PPTP”,在“描述”栏中填入“VPN”,在伺服器栏中填入伺服器域名,在账户和密码栏中填入用户名和密码,其他设定保持不变,然后点击“存储”。;
- 点击“VPN”开关,就会开启连线,连线成功后,右上角会出现小图示。
OS X
- 从系统列选单打开系统设定,选择“网路”;
- 在新对话框中选择“添加”,然后从下拉选单选择“VPN”;
- 从VPN类型下拉选单中选择PPTP。填写服务名称,点击“创建”按钮;
- 在配置下拉选单中选择“增加配置”;
- 填写伺服器地址,用户名;
- 点击“认证配置”按钮,在弹出的对话框中选择“密码”单选框,并输入密码;
- 回到主设定框,点击“套用”保存设定即可。
评价
优点
- VPN能够让移动员工、远程员工、商务合作伙伴和其他人利用本地可用的高速宽频网连线(如DSL、有线电视或者WiFi网路)连线到企业网路。此外,高速宽频网连线提供一种成本效率高的连线远程办公室的方法。
- 设计良好的宽频VPN是模组化的和可升级的。VPN能够让套用者使用一种很容易设定的网际网路基础设施,让新的用户迅速和轻鬆地添加到这个网路。这种能力意味着企业不用增加额外的基础设施就可以提供大量的容量和套用。
- VPN能提供高水平的安全,使用高级的加密和身份识别协定保护数据避免受到窥探,阻止数据窃贼和其他非授权用户接触这种数据。
- 完全控制,虚拟专用网使用户可以利用ISP的设施和服务,同时又完全掌握着自己网路的控制权。用户只利用ISP提供的网路资源,对于其它的安全设定、网路管理变化可由自己管理。在企业内部也可以自己建立虚拟专用网。
缺点
- 企业不能直接控制基于网际网路的VPN的可靠性和性能。机构必须依靠提供VPN的网际网路服务提供商保证服务的运行。这个因素使企业与网际网路服务提供商签署一个服务级协定非常重要,要签署一个保证各种性能指标的协定。
- 企业创建和部署VPN线路并不容易。这种技术需要高水平地理解网路和安全问题,需要认真的规划和配置。因此,选择网际网路服务提供商负责运行VPN的大多数事情是一个好主意。
- 不同厂商的VPN产品和解决方案总是不兼容的,因为许多厂商不愿意或者不能遵守VPN技术标準。因此,混合使用不同厂商的产品可能会出现技术问题。另一方面,使用一家供应商的设备可能会提高成本。
- 当使用无线设备时,VPN有安全风险。在接入点之间漫游特别容易出问题。当用户在接入点之间漫游的时候,任何使用高级加密技术的解决方案都可能被攻破。
法律法规
2003年4月,信息产业部颁发了《电信业务分类目录》,取消了国际电信业务的分类,同时将虚拟专用网业务自基础电信业务中分离出来,成为独立的增值电信业务分类。但是此处的“虚拟专用网”概念与行业内的VPN业务是不一样的。新的《电信业务分类目录》中对该分类的解释是:国内网际网路虚拟专用网业务(IP-VPN)是指经营者利用自有的或租用公用网际网路网路资源,採用TCP/IP协定,为国内用户定製网际网路闭合用户群网路的服务。这种分类的解释强调了两个特点,一个是利用网际网路网路资源,一个是採用TCP/IP协定。这种解释是与当时的市场状况所对应的,当时关注的是基于互连网的IPSec VPN,虽然该解释可以基本涵盖后出现的SSL VPN模式,但并没有关注MPLS VPN。
2003年8月,信息产业部发布《关于组织开展国内多方通信服务等三项电信业务商用试验的通知》,就“国内多方通信服务业务”、“线上数据处理与交易处理业务”、“国内网际网路虚拟专用网业务”等三项增值电信业务组织开展商用试验,有效期至2004年8月底。
2004年11月,信息产业部发布《关于继续开展国内多方通信服务等三项增值电信业务商用试验的通告》,决定将以上三项增值电信业务商用试验期延长一年,至2005年8月31日。
2006年1月,信息产业部发布《关于两项增值电信业务及国内多方通信服务的通告》,正式开放“国内网际网路虚拟专用网业务”和“线上数据处理与交易处理业务”两项增值电信业务,上述两项增值电信业务由商用试验转为正式商用。
2008年,正式颁发IP-VPN业务牌照。名为IPSec VPN的中国“国内网际网路虚拟专用网”增值电信业务许可证自其诞生之日起即以MPLS VPN为发展方向,导致VPN市场无规可循,实际上是在“灰色运营”。
2013年,工业与信息化部公布的《电信业务分类目录(徵求意见稿)》中仍然没有对此作出任何改变。
2015年1月27日,工信部回应VPN被封事件,表示一些不良信息应该按照中国法律进行管理。
工信部此前发布规定,在中国提供VPN服务的公司必须登记注册,否则将“不会受到中国法律的保护”。
相关档案
2017年1月,工信部出台了《关于清理规範网际网路网路结构服务市场的通知》,《通知》主要是为了更好地规範市场的行为,规範的对象主要是未经电信主管部门批准,无国际通信业务经营资质的企业和个人,租用国际专线或者VPN,违规开展跨境电信业务经营活动。这些规定主要是对那些无证经营的、不符合规範的进行清理,对于依法依规的企业和个人不会带来什幺影响。
关于VPN的问题,工信部信息通信发展司司长闻库补充称,在中国经营相关业务应该按照中国的法律法规来进行申请许可,这实际上在全世界很多国家都是这样做的。在美国、在欧洲、在亚洲都是这样做的,各个国家的管理方式也不尽相同。在中国三大运营商给老百姓提供服务方面做了大量工作,网速不断提升,取得了很好的成效。
闻库表示,特别是数字经济方面,大街小巷特别是捷运口边上的共享脚踏车等等,说明网路覆盖是非常完善的,套用是日益广泛的。同时我们也会关注老百姓的一些需求。但是通过网路来传播有害甚至是暴恐信息,是中国法律所不允许的。