網路功能,工作原理,分類標準,實現方式,VPN技術,常見問題,登入配置,Windows XP,Windows 7,Ubuntu,Android,iOS,OS X,評價,優點,缺點,法律法規,相關檔案,
網路功能
在傳統的企業網路配置中,要進行遠程訪問,傳統的方法是租用
DDN(
數字數據網)專線或
幀中繼,這樣的通訊方案必然導致高昂的網路通訊和維護費用。對於移動用戶(移動辦公人員)與遠端個人用戶而言,一般會通過撥號線路(
Internet)進入企業的
區域網路,但這樣必然帶來安全上的隱患。
讓外地員工訪問到區域網路資源,利用VPN的解決方法就是在區域網路中架設一台VPN
伺服器。外地員工在當地連上網際網路後,通過網際網路連線VPN伺服器,然後通過VPN伺服器進入企業區域網路。為了保證數據安全,VPN伺服器和客戶機之間的通訊數據都進行了
加密處理。有了
數據加密,就可以認為數據是在一條專用的數據鏈路上進行安全傳輸,就如同專門架設了一個專用網路一樣,但實際上VPN使用的是網際網路上的公用鏈路,因此VPN稱為虛擬專用網路,其實質上就是利用
加密技術在公網上封裝出一個
數據通訊隧道。有了VPN技術,用戶無論是在外地出差還是在家中辦公,只要能上網際網路就能利用VPN訪問區域網路資源,這就是VPN在企業中套用得如此廣泛的原因。
工作原理
網路一(假定為公網internet)的終端A訪問網路二(假定為公司區域網路)的終端B,其發出的訪問數據包的目標地址為終端B的內部IP位址。
網路一的VPN網關在接收到終端A發出的訪問數據包時對其目標地址進行檢查,如果目標地址屬於網路二的地址,則將該數據包進行封裝,封裝的方式根據所採用的VPN技術不同而不同,同時VPN網關會構造一個新VPN數據包,並將封裝後的原數據包作為VPN數據包的負載,VPN數據包的目標地址為網路二的VPN網關的外部地址。
網路一的VPN網關將VPN數據包傳送到
Internet,由於VPN數據包的目標地址是網路二的VPN網關的外部地址,所以該數據包將被Internet中的
路由正確地傳送到網路二的VPN網關。
網路二的VPN網關對接收到的數據包進行檢查,如果發現該數據包是從網路一的VPN網關發出的,即可判定該數據包為VPN數據包,並對該數據包進行解包處理。解包的過程主要是先將VPN數據包的包頭剝離,再將數據包反向處理還原成原始的數據包。
網路二的VPN網關將還原後的原始數據包傳送至目標終端B,由於原始數據包的目標地址是終端B的IP,所以該數據包能夠被正確地傳送到終端B。在終端B看來,它收到的數據包就和從終端A直接發過來的一樣。
從終端B返回終端A的數據包處理過程和上述過程一樣,這樣兩個網路內的終端就可以相互通訊了。
通過上述說明可以發現,在
VPN網關對數據包進行處理時,有兩個參數對於VPN通訊十分重要:原始數據包的目標地址(VPN目標地址)和遠程VPN網關地址。根據VPN目標地址,VPN網關能夠判斷對哪些數據包進行VPN處理,對於不需要處理的數據包通常情況下可直接轉發到上級路由;遠程VPN網關地址則指定了處理後的VPN數據包傳送的目標地址,即VPN隧道的另一端VPN網關地址。由於網路通訊是雙向的,在進行VPN通訊時,隧道兩端的VPN網關都必須知道VPN目標地址和與此對應的遠端VPN網關地址。
分類標準
根據不同的劃分標準,VPN可以按幾個標準進行分類劃分:
1、按VPN的協定分類:
VPN的隧道協定主要有三種,
PPTP、
L2TP和
IPSec,其中PPTP和L2TP協定工作在
OSI模型的第二層,又稱為二層隧道協定;IPSec是第三層隧道協定。
2、按VPN的套用分類:
(2)Intranet VPN(內聯網VPN):網關到網關,通過公司的網路架構連線來自同公司的資源;
(3)Extranet VPN(外聯網VPN):與合作夥伴企業網構成Extranet,將一個公司與另一個公司的資源進行連線。
3、按所用的設備類型進行分類:
網路設備提供商針對不同客戶的需求,開發出不同的VPN網路設備,主要為
交換機、
路由器和
防火牆:
(1)路由器式VPN:路由器式VPN部署較容易,只要在路由器上添加VPN服務即可;
(2)交換機式VPN:主要套用於連線用戶較少的VPN網路;
(3)防火牆式VPN:防火牆式VPN是最常見的一種VPN的實現方式,許多廠商都提供這種配置類型
4.按照實現原理劃分:
(2)對等VPN:由
網路運營商在主幹網上完成VPN通道的建立,主要包括
MPLS、VPN技術。
實現方式
VPN的實現有很多種方法,常用的有以下四種:
1.VPN伺服器:在大型區域網路中,可以通過在網路中心搭建VPN伺服器的方法實現VPN。
2.軟體VPN:可以通過專用的軟體實現VPN。
3.硬體VPN:可以通過專用的硬體實現VPN。
4.集成VPN:某些硬體設備,如
路由器、
防火牆等,都含有VPN功能,但是一般擁有VPN功能的硬體設備通常都比沒有這一功能的要貴。
VPN技術
1.MPLS VPN是一種基於MPLS技術的IP VPN,是在網路路由和交換設備上套用MPLS(Multiprotocol Label Switching,多協定標記交換)技術,簡化核心路由器的路由選擇方式,利用結合傳統路由技術的標記交換實現的IP虛擬專用網路(IP VPN)。MPLS優勢在於將二層交換和三層路由技術結合起來,在解決VPN、服務分類和流量工程這些IP網路的重大問題時具有很優異的表現。因此,MPLS VPN在解決企業互連、提供各種新業務方面也越來越被運營商看好,成為在IP網路運營商提供增值業務的重要手段。MPLS VPN又可分為二層MPLS VPN(即MPLS L2 VPN)和三層MPLS VPN(即MPLS L3 VPN)。
2.SSL VPN是以HTTPS(Secure HTTP,安全的HTTP,即支持SSL的HTTP協定)為基礎的VPN技術,工作在傳輸層和套用層之間。SSL VPN充分利用了SSL協定提供的基於證書的身份認證、數據加密和訊息完整性驗證機制,可以為套用層之間的通信建立安全連線。SSL VPN廣泛套用於基於Web的遠程安全接入,為用戶遠程訪問公司內部網路提供了安全保證。
3.IPSec VPN是基於IPSec協定的VPN技術,由IPSec協定提供隧道安全保障。IPSec是一種由IETF設計的端到端的確保基於IP通訊的數據安全性的機制。它為Internet上傳輸的數據提供了高質量的、可互操作的、基於密碼學的安全保證。
常見問題
錯誤691:提示“由於域上的用戶名和/或密碼無效而拒絕訪問”
一般的原因是VPN連線時輸入的賬戶和/或密碼不正確,或是沒有使用VPN服務的許可權。
VPN一個賬號默認僅限一台電腦使用,檢查您的用戶名有無登錄重複。
若您是在使用的途中掉線了,不要急著再次連線,請耐心等待幾分鐘。
若還是提示錯誤,請聯繫網路管理員。
錯誤691:提示“連線埠已下線”
市面上有一小部分的
路由器對VPN支持不好,從而引起錯誤691、只能連線幾台機、經常掉線等多種問題,有時候還會出現錯誤800。原因是路由器採用
NAT方式,不能讓VPN協定穿透。
如果計算機中開啟了系統防火牆,可以先關閉後再重試。
如果偶爾出現,重撥幾次,或者重新啟動計算機及路由器後再重試。
如果是通過區域網路或者通過路由器上網的用戶,請網路管理員在伺服器或者路由器上打開UDP連線埠1701~1704。
如果路由器中不能設定,可以嘗試將計算機直接連到外網,用單機撥號方式連線網際網路,再重試VPN撥號。
安裝了簡化版的作業系統容易缺少相關組件,可以下載安裝錯誤691註冊表檔案。
錯誤721:提示“遠程計算機沒反應”
這種情況可能是網路延遲造成的,可以多連幾次試試,如果還是不行,可以嘗試以下解決方法:
單擊“開始”,然後單擊“運行”。
在“運行”中,鍵入regedit.exe,然後單擊“確定”。
在
註冊表編輯器中,找到以下子項:HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Class/{4D36E972-E325-11CE-BFC1-08002bE10318}/<000x>,其中<000x>是WAN微型連線埠(PPTP)驅動程式的網路適配器。
在“編輯”選單上,指向“新建”,然後單擊“DWORD 值”。
鍵入ValidateAddress,然後按 Enter。該值的默認設定為“1”(打開);因此,您可以通過將其設定為“0”將其關閉。
退出註冊表編輯器。
重新啟動計算機。
錯誤742/741:提示“遠程伺服器不支持加密”
選擇VPN連線,右鍵屬性,點擊安全。
在數據加密項選擇“沒有加密也可以連線”(Win7下點擊網路共享中心—更改適配器—點擊VPN連線圖示—查看屬性—安全數據加密—選擇“沒有加密也可以連線”)。
錯誤800:提示是“不能建立VPN連線,VPN伺服器不能到達”
如果計算機中開啟了系統防火牆,可以先關閉後再重試。
如果有安裝路由器的用戶,建議重啟一下路由器。
部分網路如校園網、廣電網、長城寬頻、寬頻通,容易出現800錯誤,需要與網路接入部門聯繫。
桌面右鍵單擊“我的電腦”或“計算機”,打開“管理”,在“服務和應用程式”中,點擊“服務”,找到“IPsec Policy Agent”服務,檢查有沒有禁用該服務。如果為禁用狀態則改為自動狀態,啟動該服務。
錯誤619
如果打開了
防火牆(包括系統自帶的):關閉防火牆,或者設定防火牆允許UDP 1701連線埠。
使用路由器上網:不使用路由器,或者映射UDP 1701連線埠。
如果無以上兩種現象存在,但是還出現619錯誤:關閉所有正在使用網路的軟體,重新啟動計算機然後重新進行連線。
連上國外VPN後打開國區域網路頁速度很慢
因為連線上了VPN的國外線路,本地網路出口已經變更為了國家頻寬出口,因此在連線VPN的狀態下訪問國內的網頁速度是比較慢的,可簡單理解成:因為線路的傳輸需要從國內到國外,再從國外返回國內。而如果是訪問國外網頁的話,此時線路方式從國內直接傳輸到國外是相對最快的。而且還取決於您所選的線路距離,如果您選擇的是美國的線路,那么訪問國內的網頁肯定較慢。
移動終端連線不上
當前網路是3G網路:3G網路通常都不穩定,不保證每次都可以連線上。
如果正在辦公室使用公司的無線網路但連不上VPN或發生無法回響PPTP伺服器錯誤:請詳細諮詢相關人員所處的網路寬頻服務商是否支持VPN,其次看所處的網路路由器是否禁止了VPN連線埠。
電腦上可以連線VPN,但手機就不行:請確認電腦中的VPN是否處於“正在連線”的狀態,如果是,請先斷開電腦中的,再次連線手機試試。請注意一個賬號不能同時登錄在兩個設備中。
錯誤789
連線嘗試失敗,因為安全層在初始化與遠程計算機的協商時遇到一個處理錯誤
1. 單擊“開始”,單擊“運行”,鍵入“regedit”,然後單擊“確定”
2. 找到下面的註冊表子項,然後單擊它:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rasman\Parameters
3. 在“編輯”選單上,單擊“新建”->“DWORD值”
4. 在“名稱”框中,鍵入“ProhibitIpSec”
5. 在“數值數據”框中,鍵入“1”,然後單擊“確定”
6. 退出註冊表編輯器,然後重新啟動計算機
登入配置
Windows XP
建立一個新連線;
選擇“連線到我工作的地方的網路”;
選擇“虛擬專用網路連線”;
設定連線名稱(例如:VPN);
輸入主機名稱或公網IP位址;
完成新增連線,勾選“將這個連線的捷徑加到我的桌面”(以便日後連線);
輸入賬號,密碼,即可連線。
Windows 7
在畫面右下角,點選網路連線,然後選擇“打開網路共享中心”;
在彈出的對話視窗中,選擇“設定新的連線或網路”;
選擇“連線到工作區”,然後選擇“使用我的Internet連線(VPN),通過Internet使用虛擬專用網路(VPN)來連線”,然後單擊“我將稍後設定Internet連線”;
在“Internet 地址”里,填上VPN提供的IP位址。填好IP後,其它東西都不用管它,直接點擊下一步。目標名稱填寫“VPN連線”;
填VPN的用戶名和密碼,先不要填,點“創建”;
到這裡就完成的連線設定導向。點擊“關閉”。;
回到桌面右鍵點擊“網路”->“屬性”,再點擊一下左邊的“更改適配器設定”;
找到剛才建好的“VPN連線”並雙擊打開;
填寫提供的VPN用戶名和密碼,“域”可以不用填寫。然後點擊屬性->安全;
在“數據加密”這一項選中“可選加密(沒有加密也可以連線)”選好後點擊“確定”。VPN類型自動,使用這些協定選擇CHAP,MS-CHAP v2;
整個Windows7 VPN過程都設定完成了。點擊“連線”就可以了。
Ubuntu
1.畫面右上角最右端圖示單擊,選擇“系統設定”
2.選擇“網路”,選擇添加網路,接口VPN,創建。
Android
打開手機主選單,選擇“設定”;
選擇“無線和網路”;
選擇“虛擬專用網設定”;
選擇“添加虛擬專用網”;
選擇PPTP方式;
輸入虛擬專用網名稱(如VPN);
填寫伺服器域名,點擊“確定”。然後按menu鍵,保存設定;
點擊打開剛剛建好的連線,填寫用戶名和密碼,點擊“連線”。
iOS
點擊桌面上的“設定”圖示進入設定;
點擊“通用”進入通用設定;
點擊“網路”,進入網路設定;
點擊“VPN”進入設定;
點擊“添加VPN配置”;
在協定類型上選擇“PPTP”,在“描述”欄中填入“VPN”,在伺服器欄中填入伺服器域名,在賬戶和密碼欄中填入用戶名和密碼,其他設定保持不變,然後點擊“存儲”。;
點擊“VPN”開關,就會開啟連線,連線成功後,右上角會出現小圖示。
OS X
從系統列選單打開系統設定,選擇“網路”;
在新對話框中選擇“添加”,然後從下拉選單選擇“VPN”;
從VPN類型下拉選單中選擇PPTP。填寫服務名稱,點擊“創建”按鈕;
在配置下拉選單中選擇“增加配置”;
填寫伺服器地址,用戶名;
點擊“認證配置”按鈕,在彈出的對話框中選擇“密碼”單選框,並輸入密碼;
回到主設定框,點擊“套用”保存設定即可。
評價
優點
VPN能夠讓移動員工、遠程員工、商務合作夥伴和其他人利用本地可用的高速寬頻網連線(如
DSL、有線電視或者
WiFi網路)連線到企業網路。此外,高速寬頻網連線提供一種成本效率高的連線遠程辦公室的方法。
設計良好的寬頻VPN是模組化的和可升級的。VPN能夠讓套用者使用一種很容易設定的網際網路基礎設施,讓新的用戶迅速和輕鬆地添加到這個網路。這種能力意味著企業不用增加額外的基礎設施就可以提供大量的容量和套用。
VPN能提供高水平的安全,使用高級的
加密和身份識別協定保護數據避免受到窺探,阻止數據竊賊和其他非授權用戶接觸這種數據。
完全控制,虛擬專用網使用戶可以利用ISP的設施和服務,同時又完全掌握著自己網路的控制權。用戶只利用ISP提供的網路資源,對於其它的安全設定、網路管理變化可由自己管理。在企業內部也可以自己建立虛擬專用網。
缺點
企業不能直接控制基於網際網路的VPN的可靠性和性能。機構必須依靠提供VPN的網際網路服務提供商保證服務的運行。這個因素使企業與網際網路服務提供商簽署一個服務級協定非常重要,要簽署一個保證各種性能指標的協定。
企業創建和部署VPN線路並不容易。這種技術需要高水平地理解網路和安全問題,需要認真的規劃和配置。因此,選擇網際網路服務提供商負責運行VPN的大多數事情是一個好主意。
不同廠商的VPN產品和解決方案總是不兼容的,因為許多廠商不願意或者不能遵守VPN技術標準。因此,混合使用不同廠商的產品可能會出現技術問題。另一方面,使用一家供應商的設備可能會提高成本。
當使用無線設備時,VPN有安全風險。在接入點之間漫遊特別容易出問題。當用戶在接入點之間漫遊的時候,任何使用高級加密技術的解決方案都可能被攻破。
法律法規
2003年4月,
信息產業部頒發了《電信業務分類目錄》,取消了國際電信業務的分類,同時將虛擬專用網業務自基礎電信業務中分離出來,成為獨立的增值電信業務分類。但是此處的“虛擬專用網”概念與行業內的VPN業務是不一樣的。新的《電信業務分類目錄》中對該分類的解釋是:國內
網際網路虛擬專用網業務(IP-VPN)是指經營者利用自有的或租用公用網際網路網路資源,採用
TCP/IP協定,為國內用戶定製網際網路閉合用戶群網路的服務。這種分類的解釋強調了兩個特點,一個是利用網際網路網路資源,一個是採用TCP/IP協定。這種解釋是與當時的市場狀況所對應的,當時關注的是基於互連網的
IPSec VPN,雖然該解釋可以基本涵蓋後出現的
SSL VPN模式,但並沒有關注
MPLS VPN。
2003年8月,信息產業部發布《關於組織開展國內多方通信服務等三項電信業務商用試驗的通知》,就“國內多方通信服務業務”、“線上數據處理與交易處理業務”、“國內網際網路虛擬專用網業務”等三項增值電信業務組織開展商用試驗,有效期至2004年8月底。
2004年11月,信息產業部發布《關於繼續開展國內多方通信服務等三項增值電信業務商用試驗的通告》,決定將以上三項增值電信業務商用試驗期延長一年,至2005年8月31日。
2006年1月,信息產業部發布《關於兩項增值電信業務及國內多方通信服務的通告》,正式開放“國內網際網路虛擬專用網業務”和“線上數據處理與交易處理業務”兩項增值電信業務,上述兩項增值電信業務由商用試驗轉為正式商用。
2008年,正式頒發IP-VPN業務牌照。名為IPSec VPN的中國“國內網際網路虛擬專用網”增值電信業務許可證自其誕生之日起即以MPLS VPN為發展方向,導致VPN市場無規可循,實際上是在“灰色運營”。
2013年,
工業與信息化部公布的《電信業務分類目錄(徵求意見稿)》中仍然沒有對此作出任何改變。
2015年1月27日,工信部回應VPN被封事件,表示一些不良信息應該按照中國法律進行管理。
工信部此前發布規定,在中國提供VPN服務的公司必須登記註冊,否則將“不會受到中國法律的保護”。
相關檔案
2017年1月,工信部出台了《關於清理規範網際網路網路結構服務市場的通知》,《通知》主要是為了更好地規範市場的行為,規範的對象主要是未經電信主管部門批准,無國際通信業務經營資質的企業和個人,租用國際專線或者VPN,違規開展跨境電信業務經營活動。這些規定主要是對那些無證經營的、不符合規範的進行清理,對於依法依規的企業和個人不會帶來什麼影響。
關於VPN的問題,工信部信息通信發展司司長聞庫補充稱,在中國經營相關業務應該按照中國的法律法規來進行申請許可,這實際上在全世界很多國家都是這樣做的。在美國、在歐洲、在亞洲都是這樣做的,各個國家的管理方式也不盡相同。在中國三大運營商給老百姓提供服務方面做了大量工作,網速不斷提升,取得了很好的成效。
聞庫表示,特別是數字經濟方面,大街小巷特別是捷運口邊上的共享腳踏車等等,說明網路覆蓋是非常完善的,套用是日益廣泛的。同時我們也會關注老百姓的一些需求。但是通過網路來傳播有害甚至是暴恐信息,是中國法律所不允許的。