VPN

VPN(3)VPN全名虚拟专用网络，它是通过在公用网络的基础上加密建立起来的专用私有网络(内网)。vpn在企业和公司应用很广。VPN的远程访问主要通过网关对数据包进行加密和通过数据转换来实现的，并且vpn的分类也有很多种，但大都是以协议类型来分类的。服务器、软件、硬件都可以实现vpn。^[4]

VPN(4)VPN属于远程访问技术，简单地说就是利用公用网络架设专用网络。例如某公司员工出差到外地，他想访问企业内网的服务器资源，这种访问就属于远程访问。

在传统的企业网络配置中，要进行远程访问，传统的方法是租用DDN（数字数据网）专线或帧中继，这样的通讯方案必然导致高昂的网络通讯和维护费用。对于移动用户（移动办公人员）与远端个人用户而言，一般会通过拨号线路（Internet）进入企业的局域网，但这样必然带来安全上的隐患。

让外地员工访问到内网资源，利用VPN的解决方法就是在内网中架设一台VPN服务器。外地员工在当地连上互联网后，通过互联网连接VPN服务器，然后通过VPN服务器进入企业内网。为了保证数据安全，VPN服务器和客户机之间的通讯数据都进行了加密处理。有了数据加密，就可以认为数据是在一条专用的数据链路上进行安全传输，就如同专门架设了一个专用网络一样，但实际上VPN使用的是互联网上的公用链路，因此VPN称为虚拟专用网络，其实质上就是利用加密技术在公网上封装出一个数据通讯隧道。有了VPN技术，用户无论是在外地出差还是在家中办公，只要能上互联网就能利用VPN访问内网资源，这就是VPN在企业中应用得如此广泛的原因。

VPN(3)

1. 通常情况下，VPN网关采取双网卡结构，外网卡使用公网IP接入Internet。
2. 网络一(假定为公网internet)的终端A访问网络二(假定为公司内网)的终端B，其发出的访问数据包的目标地址为终端B的内部IP地址。
3. 网络一的VPN网关在接收到终端A发出的访问数据包时对其目标地址进行检查，如果目标地址属于网络二的地址，则将该数据包进行封装，封装的方式根据所采用的VPN技术不同而不同，同时VPN网关会构造一个新VPN数据包，并将封装后的原数据包作为VPN数据包的负载，VPN数据包的目标地址为网络二的VPN网关的外部地址。
4. 网络一的VPN网关将VPN数据包发送到Internet，由于VPN数据包的目标地址是网络二的VPN网关的外部地址，所以该数据包将被Internet中的路由正确地发送到网络二的VPN网关。
5. 网络二的VPN网关对接收到的数据包进行检查，如果发现该数据包是从网络一的VPN网关发出的，即可判定该数据包为VPN数据包，并对该数据包进行解包处理。解包的过程主要是先将VPN数据包的包头剥离，再将数据包反向处理还原成原始的数据包。
6. 网络二的VPN网关将还原后的原始数据包发送至目标终端B，由于原始数据包的目标地址是终端B的IP，所以该数据包能够被正确地发送到终端B。在终端B看来，它收到的数据包就和从终端A直接发过来的一样。
7. 从终端B返回终端A的数据包处理过程和上述过程一样，这样两个网络内的终端就可以相互通讯了。

通过上述说明可以发现，在VPN网关对数据包进行处理时，有两个参数对于VPN通讯十分重要：原始数据包的目标地址（VPN目标地址）和远程VPN网关地址。根据VPN目标地址，VPN网关能够判断对哪些数据包进行VPN处理，对于不需要处理的数据包通常情况下可直接转发到上级路由；远程VPN网关地址则指定了处理后的VPN数据包发送的目标地址，即VPN隧道的另一端VPN网关地址。由于网络通讯是双向的，在进行VPN通讯时，隧道两端的VPN网关都必须知道VPN目标地址和与此对应的远端VPN网关地址。

VPN(3)根据不同的划分标准，VPN可以按几个标准进行分类划分：

1、按VPN的协议分类：

VPN的隧道协议主要有三种，PPTP、L2TP和IPSec，其中PPTP和L2TP协议工作在OSI模型的第二层，又称为二层隧道协议；IPSec是第三层隧道协议。

2、按VPN的应用分类：

（1）Access VPN（远程接入VPN）：客户端到网关，使用公网作为骨干网在设备之间传输VPN数据流量；

（2）Intranet VPN（内联网VPN）：网关到网关，通过公司的网络架构连接来自同公司的资源；

（3）Extranet VPN（外联网VPN）：与合作伙伴企业网构成Extranet，将一个公司与另一个公司的资源进行连接。

3、按所用的设备类型进行分类：

网络设备提供商针对不同客户的需求，开发出不同的VPN网络设备，主要为交换机、路由器和防火墙：

（1）路由器式VPN：路由器式VPN部署较容易，只要在路由器上添加VPN服务即可；

（2）交换机式VPN：主要应用于连接用户较少的VPN网络；

（3）防火墙式VPN：防火墙式VPN是最常见的一种VPN的实现方式，许多厂商都提供这种配置类型

4．按照实现原理划分：

（1）重叠VPN：此VPN需要用户自己建立端节点之间的VPN链路，主要包括：GRE、L2TP、IPSec等众多技术。

（2）对等VPN：由网络运营商在主干网上完成VPN通道的建立，主要包括MPLS、VPN技术。

VPN的实现有很多种方法，常用的有以下四种：

1．VPN服务器：在大型局域网中，可以通过在网络中心搭建VPN服务器的方法实现VPN。

2．软件VPN：可以通过专用的软件实现VPN。

3．硬件VPN：可以通过专用的硬件实现VPN。

4．集成VPN：某些硬件设备，如路由器、防火墙等，都含有VPN功能，但是一般拥有VPN功能的硬件设备通常都比没有这一功能的要贵。

VPN(3)1．MPLS VPN是一种基于MPLS技术的IP VPN，是在网络路由和交换设备上应用MPLS（Multiprotocol Label Switching，多协议标记交换）技术，简化核心路由器的路由选择方式，利用结合传统路由技术的标记交换实现的IP虚拟专用网络（IP VPN）。MPLS优势在于将二层交换和三层路由技术结合起来，在解决VPN、服务分类和流量工程这些IP网络的重大问题时具有很优异的表现。因此，MPLS VPN在解决企业互连、提供各种新业务方面也越来越被运营商看好，成为在IP网络运营商提供增值业务的重要手段。MPLS VPN又可分为二层MPLS VPN（即MPLS L2 VPN）和三层MPLS VPN（即MPLS L3 VPN）。

2．SSL VPN是以HTTPS（Secure HTTP，安全的HTTP，即支持SSL的HTTP协议）为基础的VPN技术，工作在传输层和应用层之间。SSL VPN充分利用了SSL协议提供的基于证书的身份认证、数据加密和消息完整性验证机制，可以为应用层之间的通信建立安全连接。SSL VPN广泛应用于基于Web的远程安全接入，为用户远程访问公司内部网络提供了安全保证。

3．IPSec VPN是基于IPSec协议的VPN技术，由IPSec协议提供隧道安全保障。IPSec是一种由IETF设计的端到端的确保基于IP通讯的数据安全性的机制。它为Internet上传输的数据提供了高质量的、可互操作的、基于密码学的安全保证。

VPN(3)错误691：提示“由于域上的用户名和/或密码无效而拒绝访问”

1. 一般的原因是VPN连接时输入的账户和/或密码不正确，或是没有使用VPN服务的权限。
2. VPN一个账号默认仅限一台电脑使用，检查您的用户名有无登录重复。
3. 若您是在使用的途中掉线了，不要急着再次连接，请耐心等待几分钟。

若还是提示错误，请联系网络管理员。

错误691：提示“端口已断开连接”

1. 市面上有一小部分的路由器对VPN支持不好，从而引起错误691、只能连接几台机、经常掉线等多种问题，有时候还会出现错误800。原因是路由器采用NAT方式，不能让VPN协议穿透。
2. 如果计算机中开启了系统防火墙，可以先关闭后再重试。
3. 如果偶尔出现，重拨几次，或者重新启动计算机及路由器后再重试。
4. 如果是通过局域网或者通过路由器上网的用户，请网络管理员在服务器或者路由器上打开UDP端口1701~1704。
5. 如果路由器中不能设置，可以尝试将计算机直接连到外网，用单机拨号方式连接互联网，再重试VPN拨号。
6. 部分网络如校园网、广电网、长城宽带、宽带通，容易出现691错误，需要与网络接入部门联系。
7. 安装了简化版的操作系统容易缺少相关组件，可以下载安装错误691注册表文件。

错误721：提示“远程计算机没反应”

1. 这种情况可能是网络延迟造成的，可以多连几次试试，如果还是不行，可以尝试以下解决方法：
2. 单击“开始”，然后单击“运行”。
3. 在“运行”中，键入regedit.exe，然后单击“确定”。
4. 在注册表编辑器中，找到以下子项：HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Class/{4D36E972-E325-11CE-BFC1-08002bE10318}/<000x>，其中<000x>是WAN微型端口（PPTP）驱动程序的网络适配器。
5. 在“编辑”菜单上，指向“新建”，然后单击“DWORD 值”。
6. 键入ValidateAddress，然后按 Enter。该值的默认设置为“1”（打开）；因此，您可以通过将其设置为“0”将其关闭。
7. 退出注册表编辑器。
8. 重新启动计算机。

错误742/741：提示“远程服务器不支持加密”

1. 选择VPN连接，右键属性，点击安全。
2. 在数据加密项选择“没有加密也可以连接”（Win7下点击网络共享中心—更改适配器—点击VPN连接图标—查看属性—安全数据加密—选择“没有加密也可以连接”）。

错误800：提示是“不能建立VPN连接，VPN服务器不能到达”

1. 如果计算机中开启了系统防火墙，可以先关闭后再重试。
2. 如果有安装路由器的用户，建议重启一下路由器。
3. 部分网络如校园网、广电网、长城宽带、宽带通，容易出现800错误，需要与网络接入部门联系。
4. 桌面右键单击“我的电脑”或“计算机”，打开“管理”，在“服务和应用程序”中，点击“服务”，找到“IPsec Policy Agent”服务，检查有没有禁用该服务。如果为禁用状态则改为自动状态，启动该服务。

错误619

1. 如果打开了防火墙（包括系统自带的）：关闭防火墙，或者设置防火墙允许UDP 1701端口。
2. 使用路由器上网：不使用路由器，或者映射UDP 1701端口。
3. 如果无以上两种现象存在，但是还出现619错误：关闭所有正在使用网络的软件，重新启动计算机然后重新进行连接。

连上国外VPN后打开国内网页速度很慢

因为连接上了VPN的国外线路，本地网络出口已经变更为了国家带宽出口，因此在连接VPN的状态下访问国内的网页速度是比较慢的，可简单理解成：因为线路的传输需要从国内到国外，再从国外返回国内。而如果是访问国外网页的话，此时线路方式从国内直接传输到国外是相对最快的。而且还取决于您所选的线路距离，如果您选择的是美国的线路，那么访问国内的网页肯定较慢。

移动终端连接不上

1. 当前网络是3G网络：3G网络通常都不稳定，不保证每次都可以连接上。
2. 如果正在办公室使用公司的无线网络但连不上VPN或发生无法响应PPTP服务器错误：请详细咨询相关人员所处的网络宽带服务商是否支持VPN，其次看所处的网络路由器是否禁止了VPN端口。
3. 电脑上可以连接VPN，但手机就不行：请确认电脑中的VPN是否处于“正在连接”的状态，如果是，请先断开电脑中的，再次连接手机试试。请注意一个账号不能同时登录在两个设备中。

错误789

连接尝试失败，因为安全层在初始化与远程计算机的协商时遇到一个处理错误

1. 单击“开始”，单击“运行”，键入“regedit”，然后单击“确定”

2. 找到下面的注册表子项，然后单击它：

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rasman\Parameters

3. 在“编辑”菜单上，单击“新建”->“DWORD值”

4. 在“名称”框中，键入“ProhibitIpSec”

5. 在“数值数据”框中，键入“1”，然后单击“确定”

6. 退出注册表编辑器，然后重新启动计算机

1. 建立一个新连接；
2. 选择“连接到我工作的地方的网络”；
3. 选择“虚拟专用网络连接”；
4. 设定连接名称（例如：VPN）；
5. 输入主机名称或公网IP地址；
6. 完成新增连接，勾选“将这个连接的快捷方式加到我的桌面”（以便日后连接）；
7. 输入账号，密码，即可连接。

1. 在画面右下角，点选网络连接，然后选择“打开网络共享中心”；
2. 在弹出的对话窗口中，选择“设置新的连接或网络”；
3. 选择“连接到工作区”，然后选择“使用我的Internet连接（VPN），通过Internet使用虚拟专用网络（VPN）来连接”，然后单击“我将稍后设置Internet连接”；
4. 在“Internet 地址”里，填上VPN提供的IP地址。填好IP后，其它东西都不用管它，直接点击下一步。目标名称填写“VPN连接”；
5. 填VPN的用户名和密码，先不要填，点“创建”；
6. 到这里就完成的连接设置导向。点击“关闭”。；
7. 回到桌面右键点击“网络”->“属性”，再点击一下左边的“更改适配器设置”；
8. 找到刚才建好的“VPN连接”并双击打开；
9. 填写提供的VPN用户名和密码，“域”可以不用填写。然后点击属性->安全；
10. 在“数据加密”这一项选中“可选加密（没有加密也可以连接）”选好后点击“确定”。VPN类型自动，使用这些协议选择CHAP，MS-CHAP v2；
11. 整个Windows7 VPN过程都设置完成了。点击“连接”就可以了。

1.画面右上角最右端图标单击，选择“系统设置”

2.选择“网络”，选择添加网络，接口VPN，创建。

1. 打开手机主菜单，选择“设置”；
2. 选择“无线和网络”；
3. 选择“虚拟专用网设置”；
4. 选择“添加虚拟专用网”；
5. 选择PPTP方式；
6. 输入虚拟专用网名称（如VPN）；
7. 填写服务器域名，点击“确定”。然后按menu键，保存设置；
8. 点击打开刚刚建好的连接，填写用户名和密码，点击“连接”。

1. 点击桌面上的“设置”图标进入设置；
2. 点击“通用”进入通用设置；
3. 点击“网络”，进入网络设置；
4. 点击“VPN”进入设置；
5. 点击“添加VPN配置”；
6. 在协议类型上选择“PPTP”，在“描述”栏中填入“VPN”，在服务器栏中填入服务器域名，在账户和密码栏中填入用户名和密码，其他设置保持不变，然后点击“存储”。；
7. 点击“VPN”开关，就会开启连接，连接成功后，右上角会出现小图标。

1. 从任务栏菜单打开系统设置，选择“网络”；
2. 在新对话框中选择“添加”，然后从下拉菜单选择“VPN”；
3. 从VPN类型下拉菜单中选择PPTP。填写服务名称，点击“创建”按钮；
4. 在配置下拉菜单中选择“增加配置”；
5. 填写服务器地址，用户名；
6. 点击“认证配置”按钮，在弹出的对话框中选择“密码”单选框，并输入密码；
7. 回到主设置框，点击“应用”保存设置即可。

1. VPN能够让移动员工、远程员工、商务合作伙伴和其他人利用本地可用的高速宽带网连接（如DSL、有线电视或者WiFi网络）连接到企业网络。此外，高速宽带网连接提供一种成本效率高的连接远程办公室的方法。
2. 设计良好的宽带VPN是模块化的和可升级的。VPN能够让应用者使用一种很容易设置的互联网基础设施，让新的用户迅速和轻松地添加到这个网络。这种能力意味着企业不用增加额外的基础设施就可以提供大量的容量和应用。
3. VPN能提供高水平的安全，使用高级的加密和身份识别协议保护数据避免受到窥探，阻止数据窃贼和其他非授权用户接触这种数据。
4. 完全控制，虚拟专用网使用户可以利用ISP的设施和服务，同时又完全掌握着自己网络的控制权。用户只利用ISP提供的网络资源，对于其它的安全设置、网络管理变化可由自己管理。在企业内部也可以自己建立虚拟专用网。

1. 企业不能直接控制基于互联网的VPN的可靠性和性能。机构必须依靠提供VPN的互联网服务提供商保证服务的运行。这个因素使企业与互联网服务提供商签署一个服务级协议非常重要，要签署一个保证各种性能指标的协议。
2. 企业创建和部署VPN线路并不容易。这种技术需要高水平地理解网络和安全问题，需要认真的规划和配置。因此，选择互联网服务提供商负责运行VPN的大多数事情是一个好主意。
3. 不同厂商的VPN产品和解决方案总是不兼容的，因为许多厂商不愿意或者不能遵守VPN技术标准。因此，混合使用不同厂商的产品可能会出现技术问题。另一方面，使用一家供应商的设备可能会提高成本。
4. 当使用无线设备时，VPN有安全风险。在接入点之间漫游特别容易出问题。当用户在接入点之间漫游的时候，任何使用高级加密技术的解决方案都可能被攻破。

VPN(3)2003年4月，信息产业部颁发了《电信业务分类目录》，取消了国际电信业务的分类，同时将虚拟专用网业务自基础电信业务中分离出来，成为独立的增值电信业务分类。但是此处的“虚拟专用网”概念与行业内的VPN业务是不一样的。新的《电信业务分类目录》中对该分类的解释是：国内因特网虚拟专用网业务（IP-VPN）是指经营者利用自有的或租用公用因特网网络资源，采用TCP/IP协议，为国内用户定制因特网闭合用户群网络的服务。这种分类的解释强调了两个特点，一个是利用因特网网络资源，一个是采用TCP/IP协议。这种解释是与当时的市场状况所对应的，当时关注的是基于互连网的IPSecVPN，虽然该解释可以基本涵盖后出现的SSLVPN模式，但并没有关注MPLSVPN。

2003年8月，信息产业部发布《关于组织开展国内多方通信服务等三项电信业务商用试验的通知》，就“国内多方通信服务业务”、“在线数据处理与交易处理业务”、“国内因特网虚拟专用网业务”等三项增值电信业务组织开展商用试验，有效期至2004年8月底。

2004年11月，信息产业部发布《关于继续开展国内多方通信服务等三项增值电信业务商用试验的通告》，决定将以上三项增值电信业务商用试验期延长一年，至2005年8月31日。

2006年1月，信息产业部发布《关于两项增值电信业务及国内多方通信服务的通告》，正式开放“国内因特网虚拟专用网业务”和“在线数据处理与交易处理业务”两项增值电信业务，上述两项增值电信业务由商用试验转为正式商用。

2008年，正式颁发IP-VPN业务牌照。名为IPSec VPN的中国“国内因特网虚拟专用网”增值电信业务许可证自其诞生之日起即以MPLS VPN为发展方向，导致VPN市场无规可循，实际上是在“灰色运营”。

2013年，工业与信息化部公布的《电信业务分类目录（征求意见稿）》中仍然没有对此作出任何改变。

2015年1月27日，工信部回应VPN被封事件，表示一些不良信息应该按照中国法律进行管理。

工信部此前发布规定，在中国提供VPN服务的公司必须登记注册，否则将“不会受到中国法律的保护”。^[5]

2017年1月，工信部出台了《关于清理规范互联网网络结构服务市场的通知》，《通知》主要是为了更好地规范市场的行为，规范的对象主要是未经电信主管部门批准，无国际通信业务经营资质的企业和个人，租用国际专线或者VPN，违规开展跨境电信业务经营活动。这些规定主要是对那些无证经营的、不符合规范的进行清理，对于依法依规的企业和个人不会带来什么影响。

关于VPN的问题，工信部信息通信发展司司长闻库补充称，在中国经营相关业务应该按照中国的法律法规来进行申请许可，这实际上在全世界很多国家都是这样做的。在美国、在欧洲、在亚洲都是这样做的，各个国家的管理方式也不尽相同。在中国三大运营商给老百姓提供服务方面做了大量工作，网速不断提升，取得了很好的成效。

闻库表示，特别是数字经济方面，大街小巷特别是地铁口边上的共享单车等等，说明网络覆盖是非常完善的，应用是日益广泛的。同时我们也会关注老百姓的一些需求。但是通过网络来传播有害甚至是暴恐信息，是中国法律所不允许的。