虚拟专用网络(Virtual Private Network ,简称VPN)指的是在公用网络上建立专用网络的技术。其之所以称为虚拟网,主要是因为整个VPN网络的任意两个节点之间的连接并没有传统专网所需的端到端的物理链路,而是架构在公用网络服务商所提供的网络平台,如Internet、ATM(异步传输模式〉、Frame Relay (帧中继)等之上的逻辑网络,用户数据在逻辑链路中传输。它涵盖了跨共享网络或公共网络的封装、加密和身份验证链接的专用网络的扩展。
描述
VPN属于远程访问技术,简单地说就是利用公网链路架设私有网络。例如公司员工出差到外地,他想访问企业内网的服务器资源,这种访问就属于远程访问。怎么才能让外地员工访问到内网资源呢?VPN的解决方法是在内网中架设一台VPN服务器,VPN服务器有两块网卡,一块连接内网,一块连接公网。外地员工在当地连上互联网后,通过互联网找到VPN服务器,然后利用VPN服务器作为跳板进入企业内网。为了保证数据安全,VPN服务器和客户机之间的通讯数据都进行了加密处理。有了数据加密,就可以认为数据是在一条专用的数据链路上进行安全传输,就如同专门架设了一个专用网络一样。但实际上VPN使用的是互联网上的公用链路,因此只能称为虚拟专用网。即:VPN实质上就是利用加密技术在公网上封装出一个数据通讯隧道。有了VPN技术,用户无论是在外地出差还是在家中办公,只要能上互联网就能利用VPN非常方便地访问内网资源,这就是为什么VPN在企业中应用得如此广泛。
如果现如今的公网可以描述为一个城市的道路,通信相当于人要从一个地点(A)去另一个地点(B)。传统的访问方式就是走公网,也就相当于在A坐公交车去B,缺点是中间有好多的停顿和不知道的意外,优点是花钱少。专线相当于从A到B之间坐火车去,方便快捷,但是价格高。VPN就相当于从A打车到B,虽然走的也可能是公交的线路,但是没有了停顿和减少了意外,并且也比公交快捷比专线价格实惠。
原理如下两图
在传统的企业网络配置中,要进行异地局域网之间的互连,传统的方法是租用DDN(数字数据网)专线或帧中继。这样的通讯方案必然导致高昂的网络通讯/维护费用。对于移动用户(移动办公人员)与远端个人用户而言,一般通过拨号线路(Internet)进入企业的局域网,而这样必然带来安全上的隐患。
功能与优点
⑴使用VPN可降低成本——通过公用网来建立VPN,就可以节省大量的通信费用,而不必投入大量的人力和物力去安装和维护WAN(广域网)设备和远程访问设备。
⑵传输数据安全可靠——虚拟专用网产品均采用加密及身份验证等安全技术,保证连接用户的可靠性及传输数据的安全和保密性。
⑶连接方便灵活——用户如果想与合作伙伴联网,如果没有虚拟专用网,双方的信息技术部门就必须协商如何在双方之间建立租用线路或帧中继线路,有了虚拟专用网之后,只需双方配置安全连接信息即可。
⑷完全控制——虚拟专用网使用户可以利用ISP的设施和服务,同时又完全掌握着自己网络的控制权。用户只利用ISP提供的网络资源,对于其它的安全设置、网络管理变化可由自己管理。在企业内部也可以自己建立虚拟专用网。
功能
在网络中,服务质量(QoS)是指所能提供的带宽级别。将QoS融入一个VPN,使得管理员可以在网络中完全控制数据流。信息包分类和带宽管理是两种可以实现控制的方法:
信息包分类
信息包分类按重要性将数据分组。数据越重要,它的级别越高。当然,它的操作也会优先于同网络中相对次要的数据。
带宽管理
通过带宽管理,一个VPN管理员可以监控网络中所有输入输出的数据流,可以允许不同的数据包类获得不同的带宽。
其他的带宽控制形式还有:
通信量管理
通信量管理方法的形成是一个服务提供商在Internet通信拥塞中发现的。大量的输入输出数据流排队通过,这使得带宽没有得到合理使用。
公平带宽
公平带宽允许网络中所有用户机会均等地利用带宽访问Internet。通过公平带宽,当应用程序需要用更大的数据流,例如MP3时,它将减少所用带宽以便给其他人访问的机会。
传输保证
传输保证为网络中特殊的服务预留出一部分带宽,例如视频会议,IP电话和现金交易。它判断哪个服务有更高的优先权并分配相应带宽。
网络管理员必须管理虚拟个人网络以及使一个组织正常运作所需的资源。因为远程办公还有待发展,VPN管理员在维护带宽上还有许多问题。然而,新技术对QoS的补充将会帮助网络管理员解决这个问题。
特点
⑴安全保障
VPN通过建立一个隧道,利用加密技术对传输数据进行加密,以保证数据的私有性和安全性。
⑵服务质量保证
VPN可以为不同要求用户提供不同等级的服务质量保证。
⑶可扩充、灵活性
VPN支持通过Internet和Extranet的任何类型的数据流。
⑷可管理性
VPN可以从用户和运营商角度方便进行管理。
分类
根据不同的划分标准,VPN可以按几个标准进行分类划分
⒈ 按VPN的协议分类
VPN的隧道协议主要有三种,PPTP,L2TP和IPSec,其中PPTP和L2TP协议工作在OSI模型的第二层,又称为二层隧道协议;IPSec是第三层隧道协议,也是最常见的协议。L2TP和IPSec配合使用是目前性能最好,应用最广泛的一种。
⒉ 按VPN的应用分类
1.Access VPN(远程接入VPN):客户端到网关,使用公网作为骨干网在设备之间传输VPN的数据流量;
2.Intranet VPN(内联网VPN):网关到网关,通过公司的网络架构连接来自同公司的资源;
3.Extranet VPN(外联网VPN):与合作伙伴企业网构成Extranet,将一个公司与另一个公司的资源进行连接;
⒊ 按所用的设备类型进行分类:
网络设备提供商针对不同客户的需求,开发出不同的VPN网络设备,主要为交换机,路由器,和防火墙
1.路由器式VPN:路由器式VPN部署较容易,只要在路由器上添加VPN服务即可;
2.交换机式VPN:主要应用于连接用户较少的VPN网络;
3.防火墙式VPN:防火墙式VPN是最常见的一种VPN的实现方式,许多厂商都提供这种配置类型
实现方式
VPN的实现有很多种方法,常用的有以下四种:
1.VPN服务器,在大型局域网中,可以在网络中心通过搭建VPN服务器的方法来实现。
2.软件VPN,可以通过专用的软件来实现VPN。
3.硬件VPN,可以通过专用的硬件来实现VPN。
4.集成VPN,很多的硬件设备,如路由器,防火墙等等,都含有VPN功能,但是一般拥有VPN功能的硬件设备通常都比没有这一功能的要贵。
个人建议,如果是大型局域网的话,购买路由器,交换机等设备时就不需要VPN这一项了。直接在服务器上安装相应的软件就可以了。
技术
隧道技术
实现VPN,最关键部分是在公网上建立虚信道,而建立虚信道是利用隧道技术实现的,IP隧道的建立可以是在链路层和网络层。第二层隧道主要是PPP连接,如PPTP,L2TP,其特点是协议简单,易于加密,适合远程拨号用户;第三层隧道是IPinIP,如IPSec,其可靠性及扩展性优于第二层隧道,但没有前者简单直接。
隧道协议
隧道是利用一种协议传输另一种协议的技术,即用隧道协议来实现VPN功能。为创建隧道,隧道的客户机和服务器必须使用同样的隧道协议
1.PPTP(点到点隧道协议)是一种用于让远程用户拨号连接到本地的ISP,通过因特网安全远程访问公司资源的新型技术。它能将PPP(点到点协议)帧封装成IP数据包,以便能够在基于IP的互联网上进行传输。PPTP使用TCP(传输控制协议)连接的创建,维护,与终止隧道,并使用GRE(通用路由封装)将PPP帧封装成隧道数据。被封装后的PPP帧的有效载荷可以被加密或者压缩或者同时被加密与压缩。
2.L2TP协议:L2TP是PPTP与L2F(第二层转发)的一种综合,它是由思科公司所推出的一种技术。
3.IPSec协议:是一个标准的第三层安全协议,它是在隧道外面再封装,保证了在传输过程中的安全。IPSec的主要特征在于它可以对所有IP级的通信进行加密。
加解密技术
加解密技术是数据通信中一项较成熟的技术,VPN可直接利用现有技术实现加解密。
密匙管理技术
密匙管理技术的主要任务是如何在公用数据网上安全地传递密匙而不被窃取。
身份认证技术
使用者与设备认证技术最常用的是使用者名称与密码或卡片式认证等方式。
常见问题
错误691
提示是“由于域上的用户名和/或密码无效而拒绝访问”
1、一般是因为VPN拨号时的账户和密码不正确,或没有使用VPN服务的权限。
2、vpn一个账号默认只限制一台电脑使用,检查您的用户名有无登陆重复。
3、若您是在使用的途中掉线了,不要急着连代理,请耐心等待2分钟。
若还是提示错误,及时把您的用户名提供给在线客服,给您解决。
提示是“端口已断开连接
1、691错误是因为你连接VPN的电脑处于内网通过路由器上网.
市面上有一小部份的路由器对VPN支持不好,从而引起错误691,只能连接几台机,经常掉线等多种问题.
有时候还会出现错误800,这些问题并不是贵的路由器就不会出现. 这是因为路由器采用的NAT方式问题. 不能让VPN协议穿透.
2、如果计算机中开启了系统防火墙,可以先关闭后再重试;
3、如果偶尔出现,重拨几次,或者重新启动计算机及路由器后再重试;
4、如果是通过局域网或者通过路由器上网的用户,请网管在服务器或者路由器上打开UDP端口1701~1704;
5、如果路由器中不能设置,可以尝试将计算机直接连到外网,用单机拨号方式连接互联网,再重试VPN拨号;
6、部分网络如校园网、广电网、长城宽带、宽带通,也容易出现691错误,需要与网络接入部门联系。
7、安装了简化版的操作系统 (WINXP/ⅥSTA)缺少相关组件,下载安装错误691注册表文件
错误721
提示是“远程计算机没反应”
这种情况有可能网络延迟造成的,可以多连几次试试,如果还是不行,可以尝试以下解决方法。
1、单击“开始”,然后单击“运行”。
2、在“打开”框中,键入 regedit.exe,然后单击“确定”。
3、在注册表编辑器中,找到以下子项
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Class/{4D36E972-E325-11CE-BFC1-08002bE10318}/<000x>
其中 <000x> 是 WAN 微型端口 (PPTP) 驱动程序的网络适配器。
4、在“编辑”菜单上,指向“新建”,然后单击“DWORD 值”。
5、键入 ValidateAddress,然后按 Enter。该值的默认设置为“1”(打开);因此,您可以通过将其设置为“0”将其关闭。
6、退出注册表编辑器。
7、重新启动计算机
错误742/741
提示是“远程服务器不支持加密”
1、点击网上邻居→选择VPN连接用鼠标点击右键属性→点击安全
2、在 数据加密(D): 选择 没有加密也可以连接
3、W7下点击网络共享中心—更改适配器—点击VPN链接图标—查看属性安全数据加密—选择没有加密也可以连接
错误800
提示是“不能建立VPN连接,VPN服务器不能到达”
1、如果计算机中开启了系统防火墙,可以先关闭后再重试。
2、如果有安装路由器的用户,也建议重启一下路由器。
3、部分网络如校园网、广电网、长城宽带、宽带通,也容易出现800错误,需要与网络接入部门联系。
4、桌面右键单击“我的电脑”或“计算机”选择打开管理,在服务和应用程序中,点击“服务”,
找到 IPsec Policy Agent服务,检查有没有禁用该服务。改为自动,服务状态已启动。
错误619
原因:
1、有可能您的机器开了防火墙(包括XP自带的)
解决办法:关闭防火墙,或者设置防火墙允许udp 1701端口
2、有可能您的机器使用路由器上网
解决办法:关闭路由器防火墙,或者映射1701端口 选择udp 路由器的品牌太多太多了,基本所有的路由器都支持VPN服务的,记住选择udp模式
3、如果您的机器无以上两种现象存在,但是还出现619错误
解决办法:关掉QQ,关掉所有正在使用网络的软件,重起然后重新进行连接。
为什么连上国外VPN后打开国内网页速度很慢?
因为连接上了VPN的国外线路,您的本地网络出口已经变更为了国家带宽出口,因此您在连接VPN的状态下访问国内的网页速度是比较慢的,可简单理解成:因为线路的传输需要从国内到国外,再从国外返回国内。而如果是访问国外网页的话,此时线路方式从国内直接传输到国外是相对最快的。而且还取决于您所选的线路距离,如果您选择的是美国的线路,那么访问国内的网页肯定较慢。如果是台湾,香港就比较快了。
优点缺陷
优点
1、VPN能够让移动员工、远程员工、商务合作伙伴和其他人利用本地可用的高速宽带网连接(如DSL、有线电视或者WiFi网络)连接到企业网络。此外,高速宽带网连接提供一种成本效率高的连接远程办公室的方法。
2、设计良好的宽带VPN是模块化的和可升级的。这种技术能够让应用者使用一种很容易设置的互联网基础设施,让新的用户迅速和轻松地添加到这个网络。这种能力意味着企业不用增加额外的基础设施就可以提供大量的容量和应用。
3、VPN能提供高水平的安全,使用高级的加密和身份识别协议保护数据避免受到窥探,阻止数据窃贼和其他非授权用户接触这种数据。
缺点
1、企业不能直接控制基于互联网的VPN的可靠性和性能。机构必须依靠提供VPN的互联网服务提供商保证服务的运行。这个因素使企业与互联网服务提供商讨价还价签署一个服务级协议非常重要,要签署一个保证各种性能指标的协议。
2、企业创建和部署VPN线路并不容易。这种技术需要高水平地理解网络和安全问题,需要认真的规划和配置。因此,选择互联网服务提供商负责运行VPN的大多数事情是一个好主意。
3、不同厂商的VPN产品和解决方案总是不兼容的,因为许多厂商不愿意或者不能遵守VPN技术标准。因此,混合使用不同厂商的产品可能会出现技术问题。另一方面,使用一家供应商的设备可能会提高成本。
4、当使用无线设备时,VPN有安全风险。在接入点之间漫游特别容易出问题。当用户在接入点之间漫游的时候,任何使用高级加密技术的解决方案都可能被攻破。幸运的是有一些能够解决这个缺陷的第三方解决方案。
VPN相关设置
设置VPN虚拟连接将分为PC电脑端与移动设备两个方面:
WindowsXP
设置步骤1:建立一个新连接
设置步骤2:连接到我工作的地方的网络
设置步骤3:虚拟私人网络连接
设置步骤4:设定连接名称(例如:VPN)
设置步骤5:不要拨接起始连线
设置步骤6:输入主机名称
设置步骤7:完成新增连线,勾选“将这个连线的捷径加到我的桌面“()以便日后方便连线
设置步骤8:输入账号,密码,即可按连线。
Windows 7
1,在画面右下角,点选网路连线,然后选择“打开网络共享中心” 2,在弹出的对话窗口中,选择“设置新的连接或网络”
3,选择“连接到工作区”
4,然后选择“使用我的Internet连接(VPN),通过Internet使用虚拟专用网络(VPN)来连接”,然后单击“我将稍后设置 Internet连接”
5,在“Internet 地址”里,填上VPN提供的IP地址
如果你没有现成的VPN代理,建议到网上找一个免费VPN代理。填好IP后,其它东西都不用管它,直接点击下一步。目标名称VPN连接
6,填VPN的用户名和密码,我们先不要填,点“创建”
7,到这里就完成的连接设置导向。点击“关闭”。
8,回到桌面右键点击“网络”->“属性”,再点击一下左边的“更改适配器设置”。
9,找到我们刚才建好的“VPN 连接”双击打开。
10,填上VPN提供的VPN用户名和密码,“域”可以不用填写。然后点击属性->安全。
11,在“数据加密”这一项选中“可选加密(没有加密也可以连接)”选好后点击“确定”。VPN类型自动,使用这些协议选择CHAP,MS-CHAP v2
12,整个Windows7 VPN过程都设置完成了。点击“连接”就可以上网冲浪了。
以上都为主流的系统设置方法,对于其他系统的用户具体可以参照如上系统相关方案,基本设置步骤都是一样的。对于不想设置的用户,也可以下载专业的VPN软件来一键完成,如:75加速器等。
Android设备
第一步:打开手机主菜单,选择“设置”。
第二步:选择“无线和网络”
第三步:选择“虚拟专用网设置”
第四步:选择“添加虚拟专用网”
第五步:选择下图中的第一项,即PPTP方式
第六步:输入虚拟专用网名称(如VPN)
第七步:填写服务器域名,点击“确定”。然后按menu键,保存设置。
第八步:点击打开刚刚建好的连接,填写你购买的用户名和密码,点击“连接”
设置完毕,稍等即可。
iOS设备
第一步:点击桌面上的“设置”图标进入设置
第二步:点击“通用”进入通用设置
第三步:点击“网络”,进入网络设置
第四步:点击“V-P-N”进入设置
第五步:点击“添加V-P-N配置”
第六步:按照下面的示意图,在协议类型上选择“PPTP”,在“描述”栏中填入“VPN”,在服务器栏中填入服务器域名,在账户和密码栏中填入您购买的用户名和密码,其他设置保持不变,然后点击“存储”。确认一下各项设置是否都跟下图一样,包括“加密级别”为“自动":
第七步:点击“VPN”开关,就会开启连接,连接成功后,iphone右上角会出现小图标
苹果电脑OS X
第一步:从任务栏菜单打开系统设置,选择“网络”
第二步:在新对话框中选择“添加”,然后从下拉菜单选择“VPN”
第三步:从VPN类型下拉菜单中选择PPTP。填写服务名称,点解“创建”按钮
第四步:在配置下拉菜单中选择“增加配置”
第五步:填写服务器地址,用户名
第六步:点击“认证配置”按钮,在弹出的对话框中选择“密码”单选框,并输入密码。
第七步:回到主设置框,点击“应用”保存设置即可
关于移动终端连接不上的问题
1、您的当前网络是3G网络环境吗?如果是的话,3G网络通常都不稳定,不保证每次都可以连接上的。
2、您正在办公室使用公司的无线网络连不上VPN?发生无法相应PPTP服务器错误?请详细咨询相关人员,所处的网络宽带服务商是否支持VPN,其次看所处的网络路由器是否禁止了VPN端口。但可以确定的是电信网络是绝对支持VPN的。
3、我电脑上可以连接VPN,但手机就不行?请确认电脑中的VPN目前是否处于“正在连接”的状态,如果是,请先断开电脑中的,再次连接手机试试。请注意一个帐号不能同时登录在两个设备中。
VPN的作用
虚拟专用网(VPN)被定义为通过一个公用网络(通常是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。虚拟专用网是对企业内部网的扩展。
虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。通过将数据流转移到低成本的压网络上,一个企业的虚拟专用网解决方案将大幅度地减少用户花费在城域网和远程网络连接上的费用。同时,这将简化网络的设计和管理,加速连接新的用户和网站。另外,虚拟专用网还可以保护现有的网络投资。随着用户的商业服务不断发展,企业的虚拟专用网解决方案可以使用户将精力集中到自己的生意上,而不是网络上。虚拟专用网可用于不断增长的移动用户的全球因特网接入,以实现安全连接;可用于实现企业网站之间安全通信的虚拟专用线路,用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。
目前很多单位都面临着这样的挑战:分公司、经销商、合作伙伴、客户和外地出差人员要求随时经过公用网访问公司的资源,这些资源包括:公司的内部资料、办公OA、ERP系统、CRM系统、项目管理系统等。现在很多公司通过使用IPSec VPN来保证公司总部和分支机构以及移动工作人员之间安全连接。