VPN

VPN求助編輯百科名片
VPN英文全稱是“Virtual Private Network”，翻譯過來就是“虛擬專用網絡”。vpn被定義爲通過一個公用網絡（通常是因特網）建立一個臨時的、安全的連接，是一條穿過混亂的公用網絡的安全、穩定隧道。使用這條隧道可以對數據進行幾倍加密達到安全使用互聯網的目的。虛擬專用網是對企業內部網的擴展。虛擬專用網可以幫助遠程用戶、公司分支機構、商業夥伴及供應商同公司的內部網建立可信的安全連接，用於經濟有效地連接到商業夥伴和用戶的安全外聯網虛擬專用網。VPN主要採用隧道技術、加解密技術、密鑰管理技術和使用者與設備身份認證技術。
目錄

功能
常用協議
使用方法
一.便攜網帳號申請開通二．便攜網客戶端安裝
技術特點
1.安全保障2.服務質量保證（QoS）3.可擴充性和靈活性4.可管理性
主要優勢
解決方案
方案一方案二
標準比較
1 SSL VPN相對於IPSec VPN的優勢2 Socks5 VPN與IPSec VPN、SSL VPN比較
帶寬控制
制約因素
分類
技術內涵1.隧道技術2. 隧道協議
示例模版
VPN代理
越獄設置
常見問題
支持系統功能
常用協議
使用方法
一.便攜網帳號申請開通二．便攜網客戶端安裝
技術特點
1.安全保障2.服務質量保證（QoS）3.可擴充性和靈活性4.可管理性
主要優勢
解決方案
方案一方案二
標準比較
1 SSL VPN相對於IPSec VPN的優勢2 Socks5 VPN與IPSec VPN、SSL VPN比較
帶寬控制
制約因素
分類
技術內涵
1.隧道技術2. 隧道協議
示例模版
VPN代理
越獄設置
常見問題
支持系統
展開 編輯本段功能
　　VPN可以提供的功能： 防火牆功能、認證、加密、隧道化。　 　　VPN可以通過特殊加密的通訊協議連接到Internet上，在位於不同地方的兩個或多個企業內部網之間建立一條專有的通訊線路，就好比是架設了一條專線一樣，但是它並不需要真正的去鋪設光纜之類的物理線路。這就好比去電信局申請專線，但是不用給鋪設線路的費用，也不用購買路由器等硬件設備。VPN技術原是路由器具有的重要技術之一，在交換機，防火牆設備或Wind
VPN
ows 2000及以上操作系統中都支持VPN功能，一句話，VPN的核心就是利用公共網絡建立虛擬私有網。編輯本段常用協議
　　常用的虛擬專用網絡協議有： 　　IPSec : IPsec(縮寫IP Security)是保護IP協議安全通信的標準，它主要對IP協議分組進行加密和認證。 　　IPsec作爲一個協議族（即一系列相互關聯的協議）由以下部分組成：(1)保護分組流的協議；(2)用來建立這些安全分組流的密鑰交換協議。前者又分成兩個部分：
VPN
加密分組流的封裝安全載荷（ESP）及較少使用的認證頭（AH），認證頭提供了對分組流的認證並保證其消息完整性，但不提供保密性。目前爲止，IKE協議是唯一已經制定的密鑰交換協議。 　　PPTP: Point to Point Tunneling Protocol -- 點到點隧道協議 　　在因特網上建立IP虛擬專用網（VPN）隧道的協議，主要內容是在因特網上建立多協議安全虛擬專用網的通信方式。 　　L2F: Layer 2 Forwarding -- 第二層轉發協議 　　L2TP: Layer 2 Tunneling Protocol --第二層隧道協議 　　GRE：VPN的第三層隧道協議 　　OpenVPN:OpenVPN使用OpenSSL庫加密數據與控制信息：它使用了OpenSSL的加密以及驗證功能，意味着，它能夠使用任何OpenSSL支持的算法。它提供了可選的數據包HMAC功能以提高連接的安全性。此外，OpenSSL的硬件加速也能提高它的性能。 　　MPLS VPN集隧道技術和路由技術於一身，吸取基於虛電路的VPN的QoS保證的優點，並克服了它們未能解決的缺點。MPLS組網具有極好的靈活性、擴展性，用戶只需一條線路接入MPLS網，便可以實現任何節點之間的直接通信，可實現用戶節點之間的星型、全網狀以及其他任何形式的邏輯拓撲編輯本段使用方法
一.便攜網帳號申請開通
　　企業向運營商申請租用一批便攜網使用帳號（即license，譯：許可證）,由企業自行管理分配帳號。企業管理員可以將需要使用便攜網的各個部門，成立不同的VPN域，即不同的工作組，比如可分爲財務、人事、市場、外聯部等等。同一工作組內的成員可以互相通訊，既加強了成員之間的聯絡，又保證了數據的安全。而各個工作組之間不能互相通訊，保證了企業內部數據的安全。
二．便攜網客戶端安裝
　　1．系統需求 　　表—列出了在裝有Microsoft Windows操作系統的計算機上安裝便
VPN
攜網絡客戶端軟件（yPND：your Portable Network Desktop）的最小系統要求。計算機配置必須符合或高於最小系統要求才能成功的安裝和使用便攜網絡客戶端軟件 　　2.預安裝 　　爲成功安裝 便攜網絡客戶端 軟件必須確保滿足下列情況： 　　計算機符合“系統需求”表所列的最小系統要求。 　　安裝程序會檢查系統是否符合要求，如果不滿足就不能繼續安裝，必須使系統符合最低配置要求才能進行安裝。 　　· 必須擁有計算機的系統管理員權限才能安裝。編輯本段技術特點
1.安全保障
　　雖然實現VPN的技術和方式很多，但所有的VPN均應保證通過公用網絡平臺傳輸數據的專用性和安全性。在安全性方面，由於VPN直接構建在公用網上，實現簡單、方便、靈活，但同時其安全問題也更爲突出。企業必須確保其VPN上傳送的數據不被攻擊者窺視和篡改，並且要防止非法用戶對網絡資源或私有信息的訪問。
2.服務質量保證（QoS）
　　VPN網應當爲企業數據提供不同等級的服務質量保證。不同的用戶和業務對服務質量保證的要求差別較大。在網絡優化方面，構建VPN的另一重要需求是充分有效地利用有限的廣域網資源，爲重要數據提供可靠的帶寬。廣域網流量的不確定性使其帶寬的利用率很低，在流量高峯時引起網絡阻塞，使實時性要求高的數據得不到及時發送；而在流量低谷時又造成大量的網絡帶寬空閒。
VPN
QoS通過流量預測與流量控制策略，可以按照優先級實現帶寬管理，使得各類數據能夠被合理地先後發送，並預防阻塞的發生。
3.可擴充性和靈活性
　　VPN必須能夠支持通過Intranet和Extranet的任何類型的數據流，方便增加新的節點，支持多種類型的傳輸媒介，可以滿足同時傳輸語音、圖像和數據等新應用對高質量傳輸以及帶寬增加的需求。
4.可管理性
　　從用戶角度和運營商角度應可方便地進行管理、維護。VPN管理的目標爲：減小網絡風險、具有高擴展性、經濟性、高可靠性等優點。事實上，VPN管理主要包括安全管理、設備管理、配置管理、訪問控制列表管理、QoS管理等內容。編輯本段主要優勢
　　1）建網快速方便用戶只需將各網絡節點採用專線方式本地接入公用網絡，並對網絡進行相關配置即可。 　　2）降低建網投資由於VPN是利用公用網絡爲基礎而建立的虛擬專網，因而可以避免建設傳統專用網絡所需的高額軟硬件投資。 　　3）節約使用成本用戶採用VPN組網，可以大大節約鏈路租用費及網絡維護費用，從而減少企業的運營成本 4）網絡安全可靠實現VPN主要採用國際標準的網絡安全技術，通過在公用網絡上建立邏輯隧道及網絡層的加密，避免網絡數據被修改和盜用，保證了用戶數據的安全性及完整性。 　　5）簡化用戶對網絡的維護及管理工作大量的網絡管理及維護工作由公用網絡服務提供商來完成。編輯本段解決方案
　　針對不同的用戶要求，VPN有三種解決方案：遠程訪問虛擬網（Access VPN）、企業內部虛擬網（Intranet VPN）和企業擴展虛擬網（Extranet VPN），這三種類型的VPN分別與傳統的遠程訪問網絡、企業內部的Intranet以及企業網和相關合作伙伴的企業網所構成的Extranet（外部擴展）相對應。 　　對於很多IPSec VPN用戶來說，IPSec VPN的解決方案的高成本和複雜的結構是很頭疼的。存在如下事實：在部署和使用軟硬件客戶端的時候，需要大量的評價、部署、培訓、升級和支持，對於用戶來說，這些無論是在經濟上和技術上都是個很大的負擔，將遠程解決方案和昂貴的內部應用相集成，對任何IT專業人員來說都是嚴峻的挑戰。由於受到以上IPSec VPN的限制，大量的企業都認爲IPSec VPN是一個成本高、複雜程度高，甚至是一個無法實施的方案。爲了保持競爭力，消除企業內部信息孤島，很多公司需要在與企業相關的不同的組織和個人之間傳遞信息，所以很多公司需要找一種實施簡便，不需改變現有網絡結構，運營成本低的解決方案。 　　---- 從概念上講，IP-VPN是運營商(即服務提供者)支持企業用戶應用的方案。一個通用的方法可以適用於由一個運營商來支持的、涉及其他運營商網絡的情況（如運營商的運營商）。 　　---- 圖1給出了實現IP-VPN的一個通用方案。其中，CE路由器是用於將一個用戶站點接入服務提供者網絡的用戶邊緣路由器。而PE路由器則是與用戶CE路由器相連的、服務提供者的邊緣路由器。 　　---- 站點是指這樣一組網絡或子網，它們是用戶網絡的一部分，並且通過一條或多條PE/CE鏈路接至VPN。VPN是指一組共享相同路由信息的站點，一個站點可以同時位於不同的幾個VPN之中。 　　---- 圖2顯示了一個服務提供者網絡支持多個VPN的情況。如圖2所示，一個站點可以同時屬於多個VPN。依據一定的策略，屬於多個VPN的站點既可以在兩個VPN之間提供一定的轉發能力，也可以不提供這種能力。當一個站點同時屬於多個VPN時，它必須具有一個在所有VPN中唯一的地址空間。 　　---- MPLS爲實現IP-VPN提供了一種靈活的、具有可擴展性的技術基礎，服務提供者可以根據其內部網絡以及用戶的特定需求來決定自己的網絡如何支持IP-VPN。所以，在MPLS/ATM網絡中,有多種支持IP-VPN的方法，本文介紹其中兩種方法。
方案一
　　---- 本節介紹一種在公共網中使用MPLS提供IP?VPN業務的方法。該方法使用LDP的一般操作方式，即拓撲驅動方式來實現基本的LSP建立過程，同時使用兩級LSP隧道(標記堆棧)來支持VPN的內部路由。 　　---- 圖3 給出了在MPLS/ATM核心網絡中提供IP?VPN業務的一種由LER和LSR構成的網絡配置。 　　---- LER (標記邊緣路由器) 　　---- LER是MPLS的邊緣路由器，它位於MPLS/ATM服務提供者網絡的邊緣。 對於VPN用戶的IP業務量，LER將是VPN隧道的出口與入口節點。如果一個LER同時爲多個用戶所共享，它還應當具有執行虛擬路由的能力。這就是說，它應當爲自己服務的各個VPN分別建立一個轉發表，這是因爲不同VPN的IP地址空間可能是有所重疊的。 　　---- LSR(標記交換路由器) 　　---- MPLS/ATM核心網絡是服務提供者的下層網絡，它爲用戶的IP-VPN業務所共享。 　　---- 建立IP-VPN區域的操作 　　---- 希望提供IP-VPN的網絡提供者必須首先對MPLS域進行配置。這裏的MPLS域指的就是IP?VPN區域。作爲一種普通的LDP操作，基本的LSP 建立過程將使用拓撲驅動方法來進行，這一過程被定義爲使用基本標記的、基本的或是單級LSP建立。而對於VPN內部路由，則將使用兩級LSP隧道（標記堆棧）。 　　---- VPN成員 　　---- 每一個LER都有一個任務，即發現在VPN區域中爲同一 IP?VPN服務的其他所有LER。由於本方案最終目的是要建立第二級MPLS隧道，所以 LER發現對等實體的過程也就是LDP會話初始化的過程。每一個LER沿着能夠到達其他 LER的每一條基本網絡LSP，向下遊發送一個LDP Hello消息。LDP Hello消息中會包含一個基本的MPLS標記，以方便這些消息能夠最終到達目的LER。 　　---- LDP Hello消息實際上是一種查詢消息，通過這一消息，發送方可以獲知在目的LER處是否存在與發送方LSR同屬一個VPN的LER（對等實體）。新的Hello消息相鄰實體註冊完成之後，相關的兩個LER之間將開始發起LDP會話。隨後，其中一個LER將初始化與對方的TCP連接。當TCP連接建立完成而且必要的初始化消息交互也完成之後，對等LER之間的會話便建立起來了。此後，雙方各自爲對方到自己的LSP 隧道提供一個標記。如果LSP隧道是嵌套隧道，則該標記將被推入標記棧中，並被置於原有的標記之上。 　　---- VPN成員資格和可到達性信息的傳播 　　---- 通過路由信息的交換，LER可以學習與之直接相連的、用戶站點的IP地址前綴。LER需要找到對等LER，還需要找到在一個VPN中哪些LER 是爲同一個VPN服務的。LER將與其所屬的VPN區域中其他的LER建立直接的LDP會話。換言之，只有支持相同VPN的LER之間才能成功地建立LDP會話。 　　---- VPN內的可到達性 　　---- 最早在嵌套隧道中傳送的數據流是LER之間的路由信息。當一個LER被配置成一個IP?VPN的一員時，配置信息將包含它在VPN內部要使用的路由協議。在這一過程中，還可能會配置必要的安全保密特性，以便該LER能夠成爲其他LER的相鄰路由器。在VPN內部路由方案中，每一次發現階段結束之後，每一個LER 都將發佈通過它可以到達的、VPN用戶的地址前綴。 　　---- IP分組轉發 　　---- LER之間的路由信息交互完成之後，各個LER都將建立起一個轉發表，該轉發表將把VPN用戶的特定地址前綴(FEC轉發等價類) 與下一跳聯繫起來。當收到的IP分組的下一跳是一個LER時，轉發進程將首先把用於該LER的標記（嵌套隧道標記）推入標記棧，隨後把能夠到達該LER的基本網絡LSP上下一跳的基本標記推入標記分組，接着帶有兩個標記的分組將被轉發到基本網絡LSP中的下一個LSR；當該分組到達目的LER時，最外層的標記可能已經發生許多次的改變，而嵌套在內部的標記始終保持不變；當標記棧彈出後，繼續使用嵌套標記將分組發送至正確的LER。在LER上，每一個VPN使用的嵌套標記空間必須與該LER所支持的其他所有VPN使用的嵌套標記空間不同。
方案二
　　---- 本節將對一種在公共網中使用MPLS和多協議邊界網關協議來提供IP-VPN業務的方法進行介紹，其技術細節可以參見RFC 2547。 　　---- 圖1 給出了在MPLS/ATM核心網絡中提供IP?VPN業務的、由LER和LSR構成的網絡配置，圖4則給出了使用RFC 2547的網絡模型。 　　---- 提供者邊緣(PE)路由器 　　---- PE路由器是與用戶路由器相連的服務提供者邊緣路由器。 　　---- 實際上它就是一個邊緣LSR（即MPLS網絡與不使用 MPLS的用戶或服務提供者之間的接口）。 　　---- 用戶邊緣 (CE)路由器 　　---- CE路由器是用於將一個用戶站點接至PE路由器的用戶邊緣路由器。在這一方案中，CE路由器不使用MPLS，它只是一臺IP路由器。CE不必支持任何VPN的特定路由協議或信令。 　　---- 提供者(P)路由器 　　---- P路由器是指網絡中的核心LSR。 　　---- 站點（Site） 　　---- 站點是指這樣一組網絡或子網：它們是用戶網絡的一部分，通過一條或多條PE/CE鏈路接至VPN。VPN是指一組共享相同路由信息的站點。一個站點可以同時位於不同的幾個VPN之中。 　　---- 路徑區別標誌 　　---- 服務提供者將爲每一個VPN分配一個唯一的標誌符，該標誌符稱爲路徑區別標誌（RD）,它對應於服務提供者網絡中的每一個Intranet或Extranet 都是不同的。PE路由器中的轉發表裏將包含一系列唯一的地址，這些地址稱爲VPN?IP 地址，它們是由RD與用戶的IP地址連接而成的。VPN?IP地址對於服務提供者網絡中的每一個端點都是唯一的，對於VPN中的每一個節點（即VPN中的每一個PE路由器），轉發表中都將存儲有一個條目。 　　---- 連接模型 　　---- 圖4給出了MPLS/BGP VPN的連接模型。 　　---- 從圖4中可以看出，P路由器位於MPLS網絡的核心。 PE路由器將使用MPLS與核心MPLS網絡通信，同時使用IP路由技術來與CE路由器通信。 P與PE路由器將使用IP路由協議（內部網關協議）來建立MPLS核心網絡中的路徑，並且使用LDP實現路由器之間的標記分發。 　　---- PE路由器使用多協議BGP?4來實現彼此之間的通信，完成標記交換和每一個VPN策略。除非使用了路徑映射標誌（route reflector），否則PE 之間是BGP全網狀連接。特別地，圖4中的PE處於同一自治域中，它們之間使用內部BGP （iBGP）協議。 　　---- P路由器不使用BGP協議而且對VPN一無所知，它們使用普通的MPLS協議與進程。 　　---- PE路由器可以通過IP路由協議與CE路由器交換IP路徑，也可以使用靜態路徑。在CE與PE路由器之間使用普通的路由進程。CE路由器不必實現MPLS或對VPN有任何特別瞭解。 　　---- PE路由器通過iBGP將用戶路徑分發到其他的PE路由器。爲了實現路徑分發，BGP使用VPN-IP地址（由RD和IPv4地址構成）。這樣，不同的VPN可以使用重疊的IPv4地址空間而不會發生VPN-IP地址重複的情況。 　　---- PE路由器將BGP計算得到的路徑映射到它們的路由表中，以便把從CE路由器收到的分組轉發到正確的LSP上。 　　---- 這一方案使用兩級標記：內部標記用於PE路由器對於各個VPN的識別，外部標記則爲MPLS網絡中的LSR所用——它們將使用這些標記把分組轉發給正確的PE。 　　---- 建立IP-VPN區域的操作 　　---- 希望提供IP-VPN業務的網絡提供者必須按照連接需求對網絡進行設計與配置，這包括：PE必須爲其支持的VPN以及與之相連的CE所屬的VPN 進行配置；MPLS網絡或者是一個路徑映射標誌中的PE路由器之間必須進行對等關係的配置；爲了與CE進行通信，還必須進行普通的路由協議配置；爲了與MPLS核心網絡進行通信，還必須進行普通的MPLS配置（如LDP、IGP）。另外，P路由器除了要求能夠支持MPLS之外，還要能夠支持VPN。 　　---- VPN成員資格和可到達性信息的傳播 　　---- PE路由器使用IP路由協議或者是靜態路徑的配置來交換路由信息，並且通過這一過程獲得與之直接相連的用戶網站IP地址前綴。 　　---- PE路由器通過與其BGP對等實體交換VPN-IP地址前綴來獲得到達目的VPN站點的路徑。另外，PE路由器還要通過BGP與其PE路由器對等實體交換標記，以此確定PE路由器間連接所使用的LSP。這些標記用作第二級標記，P 路由器看不到這些標記。 　　---- PE路由器將爲其支持的每一個VPN分別建立路由表和轉發表，與一個PE路由器相連的CE路由器則根據該連接所使用的接口選擇合適的路由表。 　　---- IP分組轉發 　　---- PE之間的路由信息交換完成之後，每一個PE都將爲每一個VPN建立一個轉發表，該轉發表將把VPN用戶的特定地址前綴與下一跳PE路由器聯繫起來。 　　---- 當收到發自CE路由器的IP分組時，PE路由器將在轉發表中查詢該分組對應的VPN。 　　---- 如果找到匹配的條目，路由器將執行以下操作： 　　---- 如果下一跳是一個PE路由器，轉發進程將首先把從路由表中得到的、該PE路由器所對應的標記（嵌套隧道標記）推入標記棧；PE路由器把基本的標記推入分組，該標記用於把分組轉發到到達目的PE路由器的、基本網絡LSP上的第一跳；帶有兩級標記的分組將被轉發到基本網絡LSP上的下一個LSR。 　　---- P路由器（LSR）使用頂層標記及其路由表對分組繼續進行轉發。當該分組到達目的LER時，最外層的標記可能已發生多次改變，而嵌套在內部的標記保持不變。 　　---- 當PE收到分組時，它使用內部標記來識別VPN。此後， PE將檢查與該VPN相關的路由表，以便決定對分組進行轉發所要使用的接口。 　　---- 如果在VPN路由表中找不到匹配的條目，PE路由器將檢查Internet路由表（如果網絡提供者具備這一能力）。如果找不到路由，相應分組將被丟棄。 　　---- VPN?IP轉發表中包含VPN?IP地址所對應的標記，這些標記可以把業務流路由至VPN中的每一個站點。這一過程由於使用的是標記而不是IP 地址，所以在企業網中，用戶可以使用自己的地址體系，這些地址在通過服務提供者網絡進行業務傳輸時無需網絡地址翻譯（NAT）。通過爲每一個VPN使用不同的邏輯轉發表，不同的VPN業務將可以被分開。使用BGP協議，交換機可以根據入口選擇一個特定的轉發表，該轉發表可以只列出一個VPN有效目的地址。 　　---- 爲了建立企業的Extranet，服務提供者需要對VPN之間的可到達性進行明確指定(可能還需要進行NAT配置)。 　　---- 安全 　　---- 在服務提供者網絡中，PE所使用的每一個分組都將與一個RD相關聯，這樣，用戶無法將其業務流或者是分組偷偷送入另一個用戶的VPN。要注意的是，在用戶數據分組中沒有攜帶RD，只有當用戶位於正確的物理端口上或擁有PE路由器中已經配置的、適當的RD時，用戶才能加入一個Intranet或 Extranet。這一建立過程可以保證非法用戶無法進入VPN，從而爲用戶提供與幀中繼、租用線或ATM業務相同的安全等級。編輯本段標準比較
　　VPN標準分爲三類：IPSec VPN、SSL VPN 、Socks5 VPN
1 SSL VPN相對於IPSec VPN的優勢
　　1.1 SSL VPN比IPSec VPN部署、管理成本低 　　首先我們先認識一下IPSEC存在的不足之處: 　　在設計上，IPSec VPN是一種基礎設施性質的安全技術。這類VPN的真正價值在於，它們儘量提高IP環境的安全性。可問題在於，部署IPSec需要對基礎設施進行重大改造，以便遠程訪問。好處就擺在那裏，但管理成本很高。IPSec安全協議方案需要大量的IT技術支持，包括在運行和長期維護兩個方面。在大的企業通常有幾個專門的員工爲通過IPSec安全協議進行的VPN遠程訪問提供服務。 　　IPSec VPN最大的難點在於客戶端需要安裝複雜的軟件，而且當用戶的VPN策略稍微有所改變時，VPN的管理難度將呈幾何級數增長。SSL VPN則正好相反，客戶端不需要安裝任何軟件或硬件，使用標準的瀏覽器，就可通過簡單的SSL安全加密協議，安全地訪問網絡中的信息。 　　其次我們再看看SSL的優勢特點: 　　從概念角度來說，SSL VPN即指採用SSL （Security Socket Layer）協議來實現遠程接入的一種新型VPN技術。SSL協議是網景公司提出的基於WEB應用的安全協議，它包括：服務器認證、客戶認證（可選）、SSL鏈路上的數據完整性和SSL鏈路上的數據保密性。對於內、外部應用來說，使用SSL可保證信息的真實性、完整性和保密性。目前SSL 協議被廣泛應用於各種瀏覽器應用，也可以應用於Outlook等使用TCP協議傳輸數據的C/S應用。正因爲SSL 協議被內置於IE等瀏覽器中，使用SSL 協議進行認證和數據加密的SSL VPN就可以免於安裝客戶端。相對於傳統的IPSEC VPN而言，SSL VPN具有部署簡單，無客戶端，維護成本低，網絡適應強等特點，這兩種類型的VPN之間的差別就類似C/S構架和B/S構架的區別。 　　一般而言，SSL VPN必須滿足最基本的兩個要求： 　　1. 使用SSL 協議進行認證和加密；沒有采用SSL 協議的VPN產品自然不能稱爲SSL VPN，其安全性也需要進一步考證。 　　2. 直接使用瀏覽器完成操作，無需安裝獨立的客戶端；即使使用了SSL 協議，但仍然需要分發和安裝獨立的VPN客戶端 (如Open VPN)不能稱爲SSL VPN，否則就失去了SSL VPN易於部署，免維護的優點了。 　　SSL VPN避開了部署及管理必要客戶軟件的複雜性和人力需求;SSL在Web的易用性和安全性方面架起了一座橋樑，目前對SSL VPN公認的三大好處是: 　　第一來自於它的簡單性，它不需要配置，可以立即安裝、立即生效; 　　第二個好處是客戶端不需要麻煩的安裝，直接利用瀏覽器中內嵌的SSL協議就行; 　　第三個好處是兼容性好，傳統的IPSec VPN對客戶端採用的操作系統版本具有很高的要求，不同的終端操作系統需要不同的客戶端軟件，而SSL VPN則完全沒有這樣的麻煩。 　　綜合分析可見: 　　1. SSL VPN強調的優勢其實主要集中在VPN客戶端的部署和管理上，我們知道SSL VPN一再強調無需安裝客戶端，主要是由於瀏覽器內嵌了SSL協議，也就是說是基於B/S結構的業務時，可以直接使用瀏覽器完成SSL的VPN建立; 　　2. 某些SSL VPN廠商如F5有類似IPSec VPN的“網絡訪問”方式，可以解決傳統的C/S應用程序的問題，用戶用瀏覽器登錄SSL VPN設備後，撥通網絡訪問資源即可獲得一個虛擬IP，即可以訪問按照安全策略允許訪問的內網地址和端口，和IPSec VPN不同的是，這種方式並非工作在網絡層，所以不會有接入地點的限制; 　　1.2 SSL VPN比IPSec VPN更安全 　　IPSec VPN的安全性一直是一個弱點，由於IPSec VPN而引起的病毒、木馬、Web攻擊一直是無法徹底解決的問題，而F5 FirePass可以很好的解決這個問題。 　　首先我們還是先認識一下IPSEC存在的不足之處: 　　1. 在通路本身安全性上，傳統的IPSec VPN還是非常安全的，比如在公網中建立的通道，很難被人篡改。說其不安全，是從另一方面考慮的，就是在安全的通路兩端，存在很多不安全的因素。比如總公司和子公司之間用IPsec VPN連接上了，總公司的安全措施很嚴密，但子公司可能存在很多安全隱患，這種隱患會通過IPsec VPN傳遞給總公司，這時，公司間的安全性就由安全性低的分公司來決定了。 　　2. 比如黑客想要攻擊應用系統，如果遠程用戶以IPSec VPN的方式與公司內部網絡建立聯機之後，內部網絡所連接的應用系統，黑客都是可以偵測得到，這就提供了黑客攻擊的機會。 　　3. 比如應對病毒入侵，一般企業在Internet聯機入口，都是採取適當的防毒偵測措施。採用IPSec聯機，若是客戶端電腦遭到病毒感染，這個病毒就有機會感染到內部網絡所連接的每臺電腦。 　　4. 不同的通訊協議，並且通過不同的通訊端口來作爲服務器和客戶端之間的數據傳輸通道。以Internet Email系統來說，發信和收信一般都是採取SMTP和POP3通訊協議，而且兩種通訊協議採用25和110端口，若是從遠程電腦來聯機Email服務器，就必須在防火牆上開放25和110端口，否則遠程電腦是無法與SMTP和POP3主機溝通的。IPSec VPN聯機就會有這個困擾和安全顧慮。在防火牆上，每開啓一個通訊埠，就多一個黑客攻擊機會。 　　其次我們再看看SSL的優勢特點: 　　1. SSL安全通道是在客戶到所訪問的資源之間建立的，確保點到點的真正安全。無論在內部網絡還是在因特網上數據都不是透明的，客戶對資源的每一次操作都需要經過安全的身份驗證和加密。 　　2. 若是採取SSL VPN來聯機，因爲是直接開啓應用系統，並沒在網絡層上連接，黑客不易偵測出應用系統內部網絡設置，同時黑客攻擊的也只是VPN服務器，無法攻擊到後臺的應用服務器，攻擊機會相對就減少。有的廠商如F5公司的產品，可以對客戶端允許訪問的地址、協議、端口都加以限制;可以對客戶端做各種檢查，如操作系統補丁、防病毒軟件及病毒庫更新時間、個人防火牆等等，不符合條件的客戶端可以不允許其登錄，這樣就大大增加了整個系統的安全性。 　　3. 而對於SSL VPN的聯機，病毒傳播會侷限於這臺主機，而且這個病毒必須是針對應用系統的類型，不同類型的病毒是不會感染到這臺主機的。因此通過SSL VPN連接，受外界病毒感染的可能性大大減小。有的廠商如F5公司的產品，自身帶有防病毒軟件，更可以通過標準協議連接防病毒軟件，加強對於病毒的防治。 　　4. SSL VPN就沒有這方面的困擾。因爲在遠程主機與SSLVPN 之間，採用SSL通訊端口443來作爲傳輸通道，這個通訊端口，一般是作爲Web Server對外的數據傳輸通道，因此，不需在防火牆上做任何修改，也不會因爲不同應用系統的需求，而來修改防火牆上的設定，減少IT管理者的困擾。如果所有後臺系統都通過SSL VPN的保護，那麼在日常辦公中防火牆只開啓一個443端口就可以，因此大大增強內部網絡受外部黑客攻擊的可能性。 　　1.3 SSL VPN相比IPSec VPN有更好可擴展性 　　對於SSL VPN的性能，一向是IPSec VPN陣營攻擊SSL VPN的有力武器。確實，SSL VPN單臺的性能是無法與最高端的IPSec VPN相抗衡的，但是由於F5的FirePass可以通過自由堆疊來擴展，反而可以提供更高的性能。 　　首先我們還是先認識一下IPSec VPN存在的不足之處: 　　IPSec VPN在部署時一般放置在網絡網關處，因而要考慮網絡的拓撲結構，如果增添新的設備，往往要改變網絡結構，那麼IPSec VPN就要重新部署，因此造成IPSec VPN的可擴展性比較差。 　　其次我們再看看SSL VPN的優勢特點: 　　SSL VPN就有所不同，它一般部署在內網中任一節點處即可，可以隨時根據需要，添加需要VPN保護的服務器，因此無需影響原有網絡結構。 　　1.4 在訪問控制方面比IPSec VPN更細緻 　　爲什麼最終用戶要部署VPN，究其根本原因，還是要保護網絡中重要數據的安全，比如財務部門的財務數據，人事部門的人事數據，銷售部門的項目信息，生產部門的產品配方等等。 　　首先我們還是先認識一下IPSEC存在的不足之處: 　　由於IPSec VPN部署在網絡層，因此，內部網絡對於通過VPN的使用者來說是透明的，只要是通過了IPSec VPN網關，他可以在內部爲所欲爲。因此，IPSec VPN的目標是建立起來一個虛擬的IP網，而無法保護內部數據的安全。所以IPSec VPN又被稱爲網絡安全設備。 　　其次我們再看看SSL的優勢特點: 　　在電子商務和電子政務日益發展的今天，各種應用日益複雜，需要訪問內部網絡人員的身份也多種多樣，比如可能有自己的員工、控股公司的工作人員、供貨商、分銷商、商業合作伙伴等等。與IPSec VPN只搭建虛擬傳輸網絡不同的是，SSL VPN重點在於保護具體的敏感數據，比如SSL VPN可以根據用戶的不同身份，給予不同的訪問權限。就是說，雖然都可以進入內部網絡，但是不同人員可以訪問的數據是不同的。而且在配合一定的身份認證方式的基礎上，不僅可以控制訪問人員的權限，還可以對訪問人員的每個訪問，做的每筆交易、每個操作進行數字簽名，保證每筆數據的不可抵賴性和不可否認性，爲事後追蹤提供了依據。 　　1.5 SSL VPN比IPSec VPN也具有更好的經濟性 　　假設一個公司有1000個用戶需要進行遠程訪問，那麼如果購買IPSec VPN，那麼就需要購買1000個客戶端許可，而如果購買SSL VPN，因爲這1000個用戶並不同時進行遠程訪問，按照統計學原理，假定只有100個用戶會同時進行遠程訪問，只需要購買100個客戶端許可即可。 　　1.6 SSL和IPSec各實現在哪一層的優劣 　　SSL協議是高層協議，實現在第四層。IPSec實現在第三層。 　　許多TCP/IP協議棧是這樣實現的： TCP、IP 以及IP以下的協議實現在操作系統中，而TCP之上的協議實現在用戶進程中（應用程序）。SSL協議的設計思想是在不改變操作系統的情況下部署實現，因此實現在TCP之上，SSL協議要求與應用程序接口（安全套結字API）而不是與TCP接口，也就不與操作系統接口。與SSL協議的設計思想不同，IPSec是在操作系統內部實現安全功能，從而自動地對應用系統實現保護。 　　SSL實現在TCP之上的安全協議存在一個問題，因爲TCP協議本身沒有密碼的保護，所以只要惡意的代碼插入數據包並通過TCP的校驗，TCP數據包就不能夠覺察到惡意代碼的存在，TCP會將這些數據包轉發給 SSL，而SSL會接受這些數據包，然後進行完整性驗證，最後丟棄這些數據包；但是當真實的數據包到達時，TCP會以爲這是重複的數據包，從而丟棄，因爲丟棄的包和前一個包有着相同的序列號。SSL別無選擇，只好關閉。 　　同樣，IPSec不能對應用程序進行修改就可以運行也有安全問題，因爲IPSec可以對源IP地址進行認證，但卻無法告訴應用程序真正用戶的身份。許多情況下，通信實體往往從不同的地址登錄，並被允許訪問網絡。大多數應用程序需要區分不同的用戶，如果IPSec已經認證了用戶的身份，那麼理論上它應該把用戶的身份告訴給應用程序，但這樣就要修改API和應用程序。最大可能就是基於公鑰的認證方法，並建立IP地址與用戶名的關聯方法。
2 Socks5 VPN與IPSec VPN、SSL VPN比較
　　Socks5 VPN功能是對傳統的IPSec VPN和SSL VPN的革新，是在總結了IPSec VPN和SSL VPN的優缺點以後，提出的一種全新的解決方案。 　　Socks5 VPN運行在會話層，並且提供了對應用數據和應用協議的可見性，使網絡管理員能夠對用戶遠程訪問實施細粒度的安全策略檢查。基於會話層實現Socks5 VPN的核心是會話層代理，通過代理可以將用戶實際的網絡請求轉發給應用服務器，從而實現遠程訪問的能力。 　　在實現上，通過在用戶機器上安裝Socks5 VPN瘦客戶端，由瘦客戶端監控用戶的遠程訪問請求，並將這些請求轉化成代理協議可以識別的請求併發送給Socks5 VPN服務器進行處理，Socks5 VPN服務器則根據發送者的身份執行相應的身份認證和訪問控制策略。在這種方式上，Socks5 VPN客戶端和Socks5 VPN服務器扮演了中間代理的角色，可以在用戶訪問遠程資源之前執行相應的身份認證和訪問控制，只有通過檢查的合法數據才允許流進應用服務器，從而有力保護了組織的內部專用網絡。 　　Socks5 VPN與傳統的L2TP、IPSec 等VPN相比： 　　有效地避免了黑客和病毒通過VPN隧道傳播的風險，而這些風險是防火牆和防病毒難以克服的，因爲他們已經把VPN來訪作爲安全的授信用戶。 　　基於會話層實現的VPN優化了訪問應用和資源提供細粒度的訪問控制。 　　基於代理模式的會話層數據轉發減少了隧道傳輸過程中的數據冗餘，從而取得了傳統VPN無法媲美的傳輸效率。 　　Socks5 VPN同時又保證了對應用的兼容性，避免SSL VPN的以下三大難題： 　　因爲運行在會話層，非應用層，支持傳輸層以上的所有網絡應用程序的訪問請求，支持所有TCP應用，無須如SSL VPN那樣通過複雜的協議轉換來支持各種不同應用所導致的效率損失和很多應用不兼容的兩大難題。 　　還克服了SSL VPN只能組建單向星狀網絡的尷尬局面，滿足了雙向互訪、多向網狀、星狀訪問的複雜網絡環境。編輯本段帶寬控制
　　在網絡中，服務質量(QoS)是指所能提供的帶寬級別。將QoS融入一個VPN，使得管理員可以在網絡中完全控制數據流。信息包分類和帶寬管理是兩種可以實現控制的方法： 　　信息包分類 　　信息包分類按重要性將數據分組。數據越重要，它的級別越高，當然，它的操作也會優先於同網絡中相對次要的數據。 　　帶寬管理 　　通過帶寬管理，一個VPN管理員可以監控網絡中所有輸入輸出的數據流，可以允許不同的數據包類獲得不同的帶寬。 　　其他的帶寬控制形式還有： 　　通信量管理 　　通信量管理方法的形成是一個服務提供商在Internet通信擁塞中發現的。大量的輸入輸出數據流排隊通過，這使得帶寬沒有得到合理使用。 　　公平帶寬 　　公平帶寬允許網絡中所有用戶機會均等地利用帶寬訪問Internet。通過公平帶寬，當應用程序需要用更大的數據流，例如MP3時，它將減少所用帶寬以便給其他人訪問的機會。 　　傳輸保證 　　傳輸保證爲網絡中特殊的服務預留出一部分帶寬，例如視頻會議，IP電話和現金交易。它判斷哪個服務有更高的優先權並分配相應帶寬。 　　網絡管理員必須管理虛擬個人網絡以及使一個組織正常運作所需的資源。因爲遠程辦公還有待發展，VPN管理員在維護帶寬上還有許多問題。然而，新技術對QoS的補充將會幫助網絡管理員解決這個問題。編輯本段制約因素
　　在國外，Internet已成爲全社會的信息基礎設施，企業端應用也大都基於IP，在Internet上構築應用系統已成爲必然趨勢，因此基於IP的VPN業務獲得了極大的增長空間。Infornetics Research公司預言，在2001年，全球VPN市場將達到120億美元。據預測，到2004年，北美的VPN業務收入將增至88億美元。 　　在中國，制約VPN的發展、普及的因素大致可分爲客觀因素和主觀因素兩方面。 　　1.客觀因素包括因特網帶寬和服務質量QoS問題。 　　在過去無論因特網的遠程接入還是專線接入，以及骨幹傳輸的帶寬都很小，QoS更是無法保障，造成企業用戶寧願花費大量的金錢去投資自己的專線網絡或是寧願花費鉅額的長途話費來提供遠程接入。現在隨着ADSL、DWDM、MPLS等新技術的大規模應用和推廣，上述問題將得到根本改善和解決。譬如，過去專線接入速率最高才2Mbps，而從今年開始，中國的企業用戶可以享受到10Mbps，乃至100Mbps的Internet專線接入，而骨幹網現在最高已達到40Gbps，並且今後幾年內將發展到上百乃至上千個Gbps，這已不是技術問題而是時間問題。隨着互聯網技術的發展，可以說VPN在未來幾年內將會得到迅猛發展。 　　2.主觀因素之一是用戶總害怕自己內部的數據在Internet上傳輸不安全。 　　其實前面介紹的VPN技術已經能夠提供足夠安全的保障，可以使用戶數據不被查看、修改。主觀因素之二，也是VPN應用最大的障礙，是客戶自身的應用跟不上，只有企業將自己的業務完全和網絡聯繫上，VPN纔會有了真正的用武之地。 　　可以想象，當我們消除了所有這些障礙因素後，VPN將會成爲我們網絡生活的主要組成部分。在不遠的將來，VPN技術將成爲廣域網建設的最佳解決方案，它不僅會大大節省廣域網的建設和運行維護費用，而且增強了網絡的可靠性和安全性。同時，VPN會加快企業網的建設步伐，使得集團公司不僅僅只是建設內部局域網，而且能夠很快地把全國各地分公司的局域網連起來，從而真正發揮整個網絡的作用。VPN對推動整個電子商務、電子貿易將起到不可低估的作用。編輯本段分類
　　根據不同的劃分標準，VPN可以按幾個標準進行分類劃分 　　1. 按VPN的協議分類 　　VPN的隧道協議主要有三種，PPTP，L2TP和IPSec，其中PPTP和L2TP協議工作在OSI模型的第二層，又稱爲二層隧道協議；IPSec是第三層隧道協議，也是最常見的協議。L2TP和IPSec配合使用是目前性能最好，應用最廣泛的一種。 　　2. 按VPN的應用分類 　　1) Access VPN（遠程接入VPN）：客戶端到網關，使用公網作爲骨幹網在設備之間傳輸VPN的數據流量。從PSTN、ISDN或PLMN接入。 　　2) Intranet VPN（內聯網VPN）：網關到網關，通過公司的網絡架構連接來自同公司的資源。 　　3) Extranet VPN（外聯網VPN）：與合作伙伴企業網構成Extranet,將一個公司與另一個公司的資源進行連接 　　3. 按所用的設備類型進行分類 　　網絡設備提供商針對不同客戶的需求，開發出不同的VPN網絡設備，主要爲交換機，路由器，和防火牆 　　1）路由器式VPN：路由器式VPN部署較容易，只要在路由器上添加VPN服務即可 只支持簡單的PPTP或IPSEC。 　　2）交換機式VPN：主要應用於連接用戶較少的VPN網絡 　　3）防火牆式VPN：防火牆式VPN是最常見的一種VPN的實現方式，許多廠商都提供這種配置類型編輯本段技術內涵
1.隧道技術
　　實現VPN的最關鍵部分是在公網上建立虛信道，而建立虛信道是利用隧道技術實現的，IP隧道的建立可以是在鏈路層和網絡層。第二層隧道主要是PPP連接，如PPTP，L2TP，其特點是協議簡單，易於加密，適合遠程撥號用戶;第三層隧道是IPinIP，如IPSec，其可靠性及擴展性優於第二層隧道，但沒有前者簡單直接。注：VPN的速度和效果取決與運營商的所提供的線路質量來決定的。
2. 隧道協議
　　隧道是利用一種協議傳輸另一種協議的技術，即用隧道協議來實現VPN功能。爲創建隧道，隧道的客戶機和服務器必須使用同樣的隧道協議。 　　1) PPTP（點到點隧道協議）是一種用於讓遠程用戶撥號連接到本地的ISP，通過因特網安全遠程訪問公司資源的新型技術。它能將PPP（點到點協議）幀封裝成IP數據包，以便能夠在基於IP的互聯網上進行傳輸。PPTP使用TCP（傳輸控制協議）連接的創建，維護，與終止隧道，並使用GRE(通用路由封裝)將PPP幀封裝成隧道數據。被封裝後的PPP幀的有效載荷可以被加密或者壓縮或者同時被加密與壓縮。 　　2) L2TP協議：L2TP是PPTP與L2F（第二層轉發）的一種綜合，他是由思科公司所推出的一種技術 　　3) IPSec協議：是一個標準的第三層安全協議，他是在隧道外面再封裝，保證了隧在傳輸過程中的安全。IPSec的主要特徵在於它可以對所有IP級的通信進行加密和認證，正是這一點才使IPSec可以確保包括遠程登錄，電子郵件，文件傳輸及WEB訪問在內多種應用程序的安全。 　　4) SSL VPN（安全套接層協議）是網景公司提出的基於Web應用的在兩臺機器之間提供安全通道的協議。它具有保護傳輸數據積極識別通信機器的功能。SSL主要採用公開密鑰體制和X509數字證書技術在Internet上提供服務器認證，客戶認證，SSL鏈路上的數據的保密性的安全性保證。被廣泛用於Web瀏覽器與服務器之間的身份認證和加密傳輸。編輯本段示例模版
　　二層與中心節點通信 　　榆林 VPN 專網 　　interface Vlanif2304 　　description YIBAO-ZHUANWANG-L2-VPN 　　mpls vpls encapsulation vlan mtu 1548 　　mpls vpls vc local 10024 encapsulation vlan mtu 1548 　　mpls vpls vc local 10025 encapsulation vlan mtu 1548 　　mpls vpls vc local 10026 encapsulation vlan mtu 1548 　　mpls vpls vc local 10027 encapsulation vlan mtu 1548 　　mpls vpls vc local 10028 encapsulation vlan mtu 1548 　　mpls vpls vc local 10029 encapsulation vlan mtu 1548 　　mpls vpls vc local 10030 encapsulation vlan mtu 1548 　　interface Vlanif 2305 　　description YIBAO-shieryuan 　　mpls vpls encapsulation vlan mtu 1548 　　mpls vpls vc local 10024 encapsulation vlan mtu 1548 　　interface Vlanif 2306 　　description YIBAO-zhongyiyuan 　　mpls vpls encapsulation vlan mtu 1548 　　mpls vpls vc local 10025 encapsulation vlan mtu 1548 　　mpls vpls encapsulation vlan mtu 1548 　　mpls vpls vc local 10057 encapsulation vlan mtu 1548 　　interface Vlanif 2339 　　description YIBAO-putaihe 　　mpls vpls encapsulation vlan mtu 1548 　　mpls vpls vc local 10058 encapsulation vlan mtu 1548 　　interface Vlanif 2340 　　description YIBAO-baiweiyaofang 　　mpls vpls encapsulation vlan mtu 1548 　　mpls vpls vc local 10059 encapsulation vlan mtu 1548 　　interface Vlanif 2341 　　description YIBAO-baicaotang 　　mpls vpls encapsulation vlan mtu 1548 　　mpls vpls vc local 10060 encapsulation vlan mtu 1548編輯本段VPN代理
　　VPN代理，是在VPN（Virtual Private Network）虛擬專用網絡的基礎上衍生出來的提高網絡訪問速度和安全的技術。它利用VPN的特殊加密通訊協議在因特網位於不同地方的兩個結點間臨時建立一條穿過混亂公用網絡的安全穩定的專用隧道。　 　　VPN代理是前端計算機和VPN服務器之間的點對點連接，在連接成功後建立一個虛擬專用隧道。前端將原本要發送給目標服務器的請求通過隧道發送給VPN代理服務器，然後VPN代理服務器再將請求轉發給目標服務器。VPN代理服務器在將通訊請求發送給目標服務器的過程中，對請求數據包進行加密壓縮處理。VPN代理服務器接收到目標服務器的響應後，也原樣轉發給前端計算機。　 　　VPN代理對數據包進行安全性的封裝並同時進行加密處理，經過內置壓縮算法對數據流進行壓縮後再傳輸，所需的帶寬比實際互聯網接入的帶寬要低很多，無形中極大地節省了帶寬並提高了數據流的轉發速度。 　　這種壓縮技術就像我們平時使用Winrar等壓縮工具一樣，本來兩個網絡之間要傳輸一個10M大小的文件，經過VPN代理數據流壓縮之後，實際傳輸的數據量會遠遠小於10M，當然傳輸需要的時間就大大縮短，給用戶的感覺就是提高了傳輸的速度。編輯本段越獄設置
　　vpn有着非常廣闊的網絡應用前景,例如iphone越獄就是目前流行的vpn應用中的一個典型範例。 　　iphone vpn設置分爲：L2TP VPN設置、IPSecVPN設置,下面說一下如果iphone越獄時vpn的配置方法。　 　　首先申請vpn賬號，激活以後按如下方法操作:　 　　第一步：點擊桌面上的“設置”圖標進入設置。　

iPhone系統的設置圖文教程(11張)　　第二步：點擊“通用”進入通用設置 。　 　　第三步：點擊“網絡”，進入網絡設置。 　　第四步：點擊“vpn”進入vpn設置。　 　　第五步：點擊“添加vpn配置”。 　　第六步：點擊“vpn”開關，就會開啓vpn連接，連接成功後，iphone右上角會出現”vpn”小圖標 。　 　　第七步：打開瀏覽器，試試能不能上網，如果可以則表示vpn連接成功！不使用vpn時，在“設置”裏面斷開vpn連接，否則影響上其他網站的速度。 　　最近很火的Android系統中也有相似的應用。編輯本段常見問題
　　PPTP VPN 常見錯誤解決辦法： 　　一：800錯誤 　　1,用戶可先PING IP或域名看服務器正常否， 如果能PING通，重啓下路由和機器然後再重新鏈接既可解 決（注：此問題也有可能和DNS解析有關 請電腦DNS後重試） 　　2,防火牆太嚴。 　　3,使用過別的VPN軟件。 　　4,服務裏Protected Storage和Routing and Remote Access這兩項是否啓動。 　　5,重啓電腦，刪除原來建好的，重新一個新的VPN連接。 　　6,打開 開始-運行-輸入cmd，輸入命令ipconfig /flushdns 再連接一下，如果出現問題，繼續連接。 　　二：720，721錯誤 重啓 換線 解決 　　三：741,742錯誤:這種錯誤是你新建虛擬連接時把屬性>>安全選項中的"要求數據加密碼(沒有就斷開)"的勾沒有去掉,去掉以後,連接即可,用連接器不會出現此情況! 　　四：691錯誤 VPN賬號或密碼錯誤。或者有些客戶在使用VPN過程中突然斷電或者沒有斷開VPN就直接關機造成此問題，這要聯繫客服來掛斷 　　五：爲什麼有的人鏈接上VPN後 IP地址沒變 還是本地IP 　　原因是在鏈接VPN的時候 如果用登陸器鏈接的 他點了允許只有本地路由那個勾造成的 　　如果是用WINDOWS 自帶的鏈接連的 就是設置的時候錯誤 重新設置編輯本段支持系統
　　Windows XP 　　windows 2000 　　Windows Vista 　　Windows 7 　　Mac OS: Tiger, Leopard, Snow Leopard 　　iPhone 　　iPad 　　Windows Mobile系列 　　注：有部分VPN客戶端軟件不兼容最新的64位操作系統。