虛擬專用網絡(Virtual Private Network,VPN),其功能是在公用網絡上建立專用網絡,進行加密通信。VPN網關通過對數據包的加密和數據包目標地址的轉換實現遠程訪問,VPN可通過服務器、硬件、軟件等多種方式實現。VPN有多種分類方式,主要是按協議分類。
通過VPN技術,可以實現企業間不同網絡的組件和資源之間的相互連接,它能夠利用國際互聯網或其他公共互聯網的基礎設施為用戶創建隧道,并提供與專用網絡一樣的安全和功能保障。虛擬專用網絡允許遠程通信方、銷售人員或企業分支結構使用國際互聯網等公共互聯網的路由基礎設計,以安全的方式與位于企業內部的服務器建立連接。
基本功能
VPN屬于遠程訪問技術,簡單地說就是利用公用網絡架設專用網絡。例如某公司員工出差到外地,他想訪問企業內網的服務器資源,這種訪問就屬于遠程訪問。再比如,在咖啡館使用公共WiFi瀏覽購物網站時,若未啟用VPN,同一公共WiFi網絡下的其他用戶可能監測到所訪問的網站信息,甚至竊取賬號密碼;啟用VPN后,數據通過加密隧道傳輸,其他用戶無法獲取具體內容,也無法識別用戶的實際位置。
在傳統的企業網絡配置中,要進行遠程訪問,傳統的方法是租用DDN(數字數據網)專線或幀中繼,這樣的通訊方案必然導致高昂的網絡通訊和維護費用。對于移動用戶(移動辦公人員)與遠端個人用戶而言,一般會通過撥號線路(Internet)進入企業的局域網,但這樣必然帶來安全上的隱患。
讓外地員工訪問到內網資源,利用VPN的解決方法就是在內網中架設一臺VPN服務器。外地員工在當地連上互聯網后,通過互聯網連接VPN服務器,然后通過VPN服務器進入企業內網。為保障數據安全,VPN服務器與客戶端之間的通信數據需進行加密處理,該過程通常依托IPSec、SSL/TLS等協議實現。加密操作實時進行,通過加密互聯網流量并隱藏用戶在線身份,可降低第三方追蹤用戶在線活動及竊取數據的可能性;若數據被截獲,無加密密鑰時難以破解。有了數據加密,就可以認為數據是在一條專用的數據鏈路上進行安全傳輸,就如同專門架設了一個專用網絡一樣,但實際上VPN使用的是互聯網上的公用鏈路,因此VPN稱為虛擬專用網絡,其實質上就是利用加密技術在公網上封裝出一個數據通訊隧道。有了VPN技術,用戶無論是在外地出差還是在家中辦公,只要能上互聯網就能利用VPN訪問內網資源,這就是VPN在企業中應用得如此廣泛的原因。
工作原理
通常情況下,VPN網關采取雙網卡結構,外網卡使用公網IP接入Internet。
網絡一(假定為公網internet)的終端A訪問網絡二(假定為公司內網)的終端B,其發出的訪問數據包的目標地址為終端B的內部IP地址。
網絡二的VPN網關在接收到終端A發出的訪問數據包時對其目標地址進行檢查,如果目標地址屬于網絡二的地址,則將該數據包進行封裝,根據所采用的VPN技術差異,封裝方式存在區別,常見的隧道協議如IPsec、SSL等可實現傳輸數據的加密與封裝處理。同時VPN網關會構造一個新VPN數據包,并將封裝后的原數據包作為VPN數據包的負載,VPN數據包的目標地址為網絡二的VPN網關的外部地址。
網絡二的VPN網關將VPN數據包發送到Internet,由于VPN數據包的目標地址是網絡一的VPN網關的外部地址,所以該數據包將被Internet中的路由正確地發送到網絡二的VPN網關。
網絡二的VPN網關對接收到的數據包進行檢查,如果發現該數據包是從網絡一的VPN網關發出的,即可判定該數據包為VPN數據包,并對該數據包進行解包處理。解包的過程主要是先將VPN數據包的包頭剝離,再將數據包反向處理還原成原始的數據包。
網絡二的VPN網關將還原后的原始數據包發送至目標終端B,由于原始數據包的目標地址是終端B的IP,所以該數據包能夠被正確地發送到終端B。在終端B看來,它收到的數據包就和從終端A直接發過來的一樣。
從終端B返回終端A的數據包處理過程和上述過程一樣,這樣兩個網絡內的終端就可以相互通訊了。
通過上述說明可以發現,在VPN網關對數據包進行處理時,有兩個參數對于VPN通訊十分重要:原始數據包的目標地址(VPN目標地址)和遠程VPN網關地址。根據VPN目標地址,VPN網關能夠判斷對哪些數據包進行VPN處理,對于不需要處理的數據包通常情況下可直接轉發到上級路由;遠程VPN網關地址則指定了處理后的VPN數據包發送的目標地址,即VPN隧道的另一端VPN網關地址。由于網絡通訊是雙向的,在進行VPN通訊時,隧道兩端的VPN網關都必須知道VPN目標地址和與此對應的遠端VPN網關地址。
工作過程
VPN的基本處理過程如下:
①要保護主機發送明文信息到其他VPN設備。
②VPN設備根據網絡管理員設置的規則,確定是對數據進行加密還是直接傳輸。
③對需要加密的數據,VPN設備會對其整個數據包(包括待傳輸的數據、源IP地址和目的IP地址)進行加密并添加數據簽名,隨后添加包含目的地VPN設備所需安全信息及初始化參數的新數據報頭,完成重新封裝。加密過程采用AES-256、SM4等對稱加密算法,結合RSA-2048或SM2非對稱密鑰交換技術實現;同時,用戶的真實IP地址會被替換為VPN服務器的IP地址,從而實現匿名性。
④將封裝后的數據包通過隧道在公共網絡上傳輸。
⑤數據包到達目的VPN設備后,將其解封,核對數字簽名無誤后,對數據包解密。
分類標準
根據不同的劃分標準,VPN可以按幾個標準進行分類劃分:
按VPN的協議分類
(1)PPTP(點對點隧道協議):早期協議,速度快但安全性較低,工作在OSI模型的第二層(二層隧道協議)。
(2)L2TP/IPsec:結合 L2TP(二層隧道)和 IPsec(網絡層加密),安全性較高,其中L2TP工作在OSI模型第二層,IPSec是第三層隧道協議。
(3)OpenVPN:基于 SSL/TLS 的開源協議,跨平臺性好,安全性強。
(4)WireGuard:新興協議,輕量高效,近年逐漸普及。
按VPN的應用分類
(1)Access VPN(遠程接入VPN):客戶端到網關,使用公網作為骨干網在設備之間傳輸VPN數據流量。其應用場景包括:某跨國制造企業部署IPSecVPN后,實現了海外工程師實時訪問國內設計系統的需求,圖紙傳輸延遲可控制在80ms以內;某銀行通過SSLVPN支持20,000+移動端設備的并發接入;
(2)Intranet VPN(內聯網VPN):網關到網關,通過公司的網絡架構連接來自同公司的資源;
(3)Extranet VPN(外聯網VPN):與合作伙伴企業網構成Extranet,將一個公司與另一個公司的資源進行連接。
按所用的設備類型進行分類
網絡設備提供商針對不同客戶的需求,開發出不同的VPN網絡設備,主要為交換機、路由器和防火墻:
(1)路由器式VPN:路由器式VPN部署較容易,只要在路由器上添加VPN服務即可;
(2)交換機式VPN:主要應用于連接用戶較少的VPN網絡;
按照實現原理劃分
(1)重疊VPN:此VPN需要用戶自己建立端節點之間的VPN鏈路,主要包括:GRE、L2TP、IPSec等眾多技術。
(2)對等VPN:由網絡運營商在主干網上完成VPN通道的建立,主要包括MPLS、VPN技術。
實現方法
VPN的實現有很多種方法,常用的有以下四種:VPN服務器、軟件VPN、硬件VPN、集成VPN。
優缺點
優點
缺點
信息簡介
虛擬專用網絡(Virtual Private Network ,簡稱VPN)指的是在公用網絡上建立專用網絡的技術。其之所以稱為虛擬網,主要是因為整個VPN網絡的任意兩個節點之間的連接并沒有傳統專網所需的端到端的物理鏈路,而是架構在公用網絡服務商所提供的網絡平臺,如Internet、ATM(異步傳輸模式〉、Frame Relay (幀中繼)等之上的邏輯網絡,用戶數據在邏輯鏈路中傳輸。它涵蓋了跨共享網絡或公共網絡的封裝、加密和身份驗證鏈接的專用網絡的擴展。VPN主要采用了隧道技術、加解密技術、密鑰管理技術和使用者與設備身份認證技術。
VPN功能
在網絡中,服務質量(QoS)是指所能提供的帶寬級別。將QoS融入一個VPN,使得管理員可以在網絡中完全控制數據流。信息包分類和帶寬管理是兩種可以實現控制的方法:
信息包分類
信息包分類按重要性將數據分組。數據越重要,它的級別越高。當然,它的操作也會優先于同網絡中相對次要的數據。
帶寬管理
通過帶寬管理,一個VPN管理員可以監控網絡中所有輸入輸出的數據流,可以允許不同的數據包類獲得不同的帶寬。
其他的帶寬控制形式還有:
通信量管理
通信量管理方法的形成是一個服務提供商在Internet通信擁塞中發現的。大量的輸入輸出數據流排隊通過,這使得帶寬沒有得到合理使用。
公平帶寬
公平帶寬允許網絡中所有用戶機會均等地利用帶寬訪問Internet。通過公平帶寬,當應用程序需要用更大的數據流,例如MP3時,它將減少所用帶寬以便給其他人訪問的機會。
傳輸保證
傳輸保證為網絡中特殊的服務預留出一部分帶寬,例如視頻會議,IP電話和現金交易。它判斷哪個服務有更高的優先權并分配相應帶寬。
網絡管理員必須管理虛擬個人網絡以及使一個組織正常運作所需的資源。因為遠程辦公還有待發展,VPN管理員在維護帶寬上還有許多問題。然而,新技術對QoS的補充將會幫助網絡管理員解決這個問題。
意義介紹
⑴使用VPN可降低成本——通過公用網來建立VPN,就可以節省大量的通信費用,而不必投入大量的人力和物力去安裝和維護WAN(廣域網)設備和遠程訪問設備。
⑵傳輸數據安全可靠——虛擬專用網產品均采用加密及身份驗證等安全技術,保證連接用戶的可靠性及傳輸數據的安全和保密性。
⑶連接方便靈活——用戶如果想與合作伙伴聯網,如果沒有虛擬專用網,雙方的信息技術部門就必須協商如何在雙方之間建立租用線路或幀中繼線路,有了虛擬專用網之后,只需雙方配置安全連接信息即可。
⑷完全控制——虛擬專用網使用戶可以利用ISP的設施和服務,同時又完全掌握著自己網絡的控制權。用戶只利用ISP提供的網絡資源,對于其它的安全設置、網絡管理變化可由自己管理。在企業內部也可以自己建立虛擬專用網。
常見問題
一般的原因是VPN連接時輸入的賬戶和/或密碼不正確,或是沒有使用VPN服務的權限。
VPN一個賬號默認僅限一臺電腦使用,檢查您的用戶名有無登錄重復。
若您是在使用的途中掉線了,不要急著再次連接,請耐心等待幾分鐘。
若還是提示錯誤,請聯系網絡管理員。
錯誤691:提示“端口已斷開連接”
市面上有一小部分的路由器對VPN支持不好,從而引起錯誤691、只能連接幾臺機、經常掉線等多種問題,有時候還會出現錯誤800。原因是路由器采用NAT方式,不能讓VPN協議穿透。
如果計算機中開啟了系統防火墻,可以先關閉后再重試。
如果偶爾出現,重撥幾次,或者重新啟動計算機及路由器后再重試。
如果是通過局域網或者通過路由器上網的用戶,請網絡管理員在服務器或者路由器上打開UDP端口1701~1704。
如果路由器中不能設置,可以嘗試將計算機直接連到外網,用單機撥號方式連接互聯網,再重試VPN撥號。
部分網絡如校園網、廣電網、長城寬帶、寬帶通,容易出現691錯誤,需要與網絡接入部門聯系。
安裝了簡化版的操作系統容易缺少相關組件,可以下載安裝錯誤691注冊表文件。
這種情況可能是網絡延遲造成的,可以多連幾次試試,如果還是不行,可以嘗試以下解決方法:
單擊“開始”,然后單擊“運行”。
在“運行”中,鍵入regedit.exe,然后單擊“確定”。
在注冊表編輯器中,找到以下子項:HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Class/{4D36E972-E325-11CE-BFC1-08002bE10318}/<000x>,其中<000x>是WAN微型端口(PPTP)驅動程序的網絡適配器。
在“編輯”菜單上,指向“新建”,然后單擊“DWORD 值”。
鍵入ValidateAddress,然后按 Enter。該值的默認設置為“1”(打開);因此,您可以通過將其設置為“0”將其關閉。
退出注冊表編輯器。
重新啟動計算機。
選擇VPN連接,右鍵屬性,點擊安全。
在數據加密項選擇“沒有加密也可以連接”(Windows 7下點擊網絡共享中心—更改適配器—點擊VPN連接ICON—查看屬性—安全數據加密—選擇“沒有加密也可以連接”)。
如果計算機中開啟了系統防火墻,可以先關閉后再重試。
如果有安裝路由器的用戶,建議重啟一下路由器。
部分網絡如校園網、廣電網、長城寬帶、寬帶通,容易出現800錯誤,需要與網絡接入部門聯系。
桌面右鍵單擊“我的電腦”或“計算機”,打開“管理”,在“服務和應用程序”中,點擊“服務”,找到“IPsec Policy Agent”服務,檢查有沒有禁用該服務。如果為禁用狀態則改為自動狀態,啟動該服務。
錯誤619
如果打開了防火墻(包括系統自帶的):關閉防火墻,或者設置防火墻允許UDP 1701端口。
使用路由器上網:不使用路由器,或者映射UDP 1701端口。
如果無以上兩種現象存在,但是還出現619錯誤:關閉所有正在使用網絡的軟件,重新啟動計算機然后重新進行連接。
連上國外VPN后打開國內網頁速度很慢
因為連接上了VPN的國外線路,本地網絡出口已經變更為了國家帶寬出口,因此在連接VPN的狀態下訪問國內的網頁速度是比較慢的,可簡單理解成:因為線路的傳輸需要從國內到國外,再從國外返回國內。而如果是訪問國外網頁的話,此時線路方式從國內直接傳輸到國外是相對最快的。而且還取決于您所選的線路距離,如果您選擇的是美國的線路,那么訪問國內的網頁肯定較慢。
移動終端連接不上
當前網絡是3G網絡:3G網絡通常都不穩定,不保證每次都可以連接上。
如果正在辦公室使用公司的無線網絡但連不上VPN或發生無法響應PPTP服務器錯誤:請詳細咨詢相關人員所處的網絡寬帶服務商是否支持VPN,其次看所處的網絡路由器是否禁止了VPN端口。
電腦上可以連接VPN,但手機就不行:請確認電腦中的VPN是否處于“正在連接”的狀態,如果是,請先斷開電腦中的,再次連接手機試試。請注意一個賬號不能同時登錄在兩個設備中。
錯誤789
連接嘗試失敗,因為安全層在初始化與遠程計算機的協商時遇到一個處理錯誤
1. 單擊“開始”,單擊“運行”,鍵入“regedit”,然后單擊“確定”
2. 找到下面的注冊表子項,然后單擊它:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rasman\Parameters
3. 在“編輯”菜單上,單擊“新建”->“DWORD值”
4. 在“名稱”框中,鍵入“ProhibitIpSec”
5. 在“數值數據”框中,鍵入“1”,然后單擊“確定”
6. 退出注冊表編輯器,然后重新啟動計算機
各個系統下VPN的登陸配置
WindowsXP
建立一個新連接;
選擇“連接到我工作的地方的網絡”;
選擇“虛擬專用網絡連接”;
設定連接名稱(例如:VPN);
輸入主機名稱或公網IP地址;
完成新增連接,勾選“將這個連接的快捷方式加到我的桌面”(以便日后連接);
輸入賬號,密碼,即可連接。
Windows7
在畫面右下角,點選網絡連接,然后選擇“打開網絡共享中心”;
在彈出的對話窗口中,選擇“設置新的連接或網絡”;
選擇“連接到工作區”,然后選擇“使用我的Internet連接(VPN),通過Internet使用虛擬專用網絡(VPN)來連接”,然后單擊“我將稍后設置Internet連接”;
在“Internet 地址”里,填上VPN提供的IP地址。填好IP后,其它東西都不用管它,直接點擊下一步。目標名稱填寫“VPN連接”;
填VPN的用戶名和密碼,先不要填,點“創建”;
到這里就完成的連接設置導向。點擊“關閉”。;
回到桌面右鍵點擊“網絡”->“屬性”,再點擊一下左邊的“更改適配器設置”;
找到剛才建好的“VPN連接”并雙擊打開;
填寫提供的VPN用戶名和密碼,“域”可以不用填寫。然后點擊屬性->安全;
在“數據加密”這一項選中“可選加密(沒有加密也可以連接)”選好后點擊“確定”。VPN類型自動,使用這些協議選擇CHAP,MS-CHAP v2;
整個Windows 7 VPN過程都設置完成了。點擊“連接”就可以了。
Ubuntu
1.畫面右上角最右端ICON單擊,選擇“系統設置”
2.選擇“網絡”,選擇添加網絡,接口VPN,創建。
Android
打開手機主菜單,選擇“設置”;
選擇“無線和網絡”;
選擇“虛擬專用網設置”;
選擇“添加虛擬專用網”;
選擇PPTP方式;
輸入虛擬專用網名稱(如VPN);
填寫服務器.ch,點擊“確定”。然后按menu鍵,保存設置;
點擊打開剛剛建好的連接,填寫用戶名和密碼,點擊“連接”。
iOS
點擊桌面上的“設置”圖標進入設置;
點擊“通用”進入通用設置;
點擊“網絡”,進入網絡設置;
點擊“VPN”進入設置;
點擊“添加VPN配置”;
在協議類型上選擇“PPTP”,在“描述”欄中填入“VPN”,在服務器欄中填入服務器域名,在賬戶和密碼欄中填入用戶名和密碼,其他設置保持不變,然后點擊“存儲”。;
點擊“VPN”開關,就會開啟連接,連接成功后,右上角會出現小圖標。
OSX
從任務欄菜單打開系統設置,選擇“網絡”;
在新對話框中選擇“添加”,然后從下拉菜單選擇“VPN”;
從VPN類型下拉菜單中選擇PPTP。填寫服務名稱,點擊“創建”按鈕;
在配置下拉菜單中選擇“增加配置”;
填寫服務器地址,用戶名;
點擊“認證配置”按鈕,在彈出的對話框中選擇“密碼”單選框,并輸入密碼;
回到主設置框,點擊“應用”保存設置即可。
相關法律法規
2003年4月,信息產業部頒發了《電信業務分類目錄》,取消了國際電信業務的分類,同時將虛擬專用網業務自基礎電信業務中分離出來,成為獨立的增值電信業務分類。但是此處的“虛擬專用網”概念與行業內的VPN業務是不一樣的。新的《電信業務分類目錄》中對該分類的解釋是:國內因特網虛擬專用網業務(IP-VPN)是指經營者利用自有的或租用公用因特網網絡資源,采用TCP/IP協議,為國內用戶定制因特網閉合用戶群網絡的服務。這種分類的解釋強調了兩個特點,一個是利用因特網網絡資源,一個是采用TCP/IP協議。這種解釋是與當時的市場狀況所對應的,當時關注的是基于互連網的IPSec VPN,雖然該解釋可以基本涵蓋后出現的SSL VPN模式,但并沒有關注MPLS VPN。
2003年8月,信息產業部發布《關于組織開展國內多方通信服務等三項電信業務商用試驗的通知》,就“國內多方通信服務業務”、“在線數據處理與交易處理業務”、“國內因特網虛擬專用網業務”等三項增值電信業務組織開展商用試驗,有效期至2004年8月底。
2004年11月,信息產業部發布《關于繼續開展國內多方通信服務等三項增值電信業務商用試驗的通告》,決定將以上三項增值電信業務商用試驗期延長一年,至2005年8月31日。
2006年1月,信息產業部發布《關于兩項增值電信業務及國內多方通信服務的通告》,正式開放“國內因特網虛擬專用網業務”和“在線數據處理與交易處理業務”兩項增值電信業務,上述兩項增值電信業務由商用試驗轉為正式商用。
2008年,正式頒發IP-VPN業務牌照。名為IPSec VPN的中國“國內因特網虛擬專用網”增值電信業務許可證自其誕生之日起即以MPLS VPN為發展方向,導致VPN市場無規可循,實際上是在“灰色運營”。
2013年,工業和信息化部公布的《電信業務分類目錄(征求意見稿)》中仍然沒有對此作出任何改變。
2015年1月27日,工信部回應VPN被封事件,表示一些不良信息應該按照中國法律進行管理。
工信部此前發布規定,在中國提供VPN服務的公司必須登記注冊,否則將“不會受到中國法律的保護”。這些規定主要是對那些無證經營的、不符合規范的進行清理,對于依法依規的企業和個人不會帶來什么影響。
參考資料 >
Mozilla VPN.火狐瀏覽器.2026-01-15
VPN的基本工作原理.VPN的基本工作原理.2025-10-29
南方+AI虛擬記者在線拜年啦!怎么實現的?.今日頭條.2025-07-31