VPN專線

VPN即虛擬專用網絡（Virtual Private Network ，簡稱VPN)指的是在公用網絡上建立專用網絡的技術。其之所以稱為虛擬網，主要是因為整個VPN網絡的任意兩個節點之間的連接並沒有傳統專網所需的端到端的物理鏈路，而是架構在公用網絡服務商所提供的網絡平台，如Internet、ATM(異步傳輸模式〉、Frame Relay （幀中繼）等之上的邏輯網絡，用户數據在邏輯鏈路中傳輸。它涵蓋了跨共享網絡或公共網絡的封裝、加密和身份驗證鏈接的專用網絡的擴展。VPN主要採用了隧道技術、加解密技術、密鑰管理技術和使用者與設備身份認證技術。 ^[1] 

如圖《專線VPN分類》所示：

(1) ATM PVC組建方式。即利用電信部門提供的 ATM PVC來組建用户的專用網。這種專用網的通信速率快，安全性高，支持多媒體通信。 ^[2] 

(2) IP Tunneling組建方式。即在多媒體通信網的IP層組建專用網。其傳輸速率不能完全保證，不支持多媒體通信；使用國際通行的加密算法，安全性好;這種組網方式的業務在公眾通信網遍及的地方均可提供。 ^[2] 

(3) FR是基於光纖數字傳輸和用户設備智能化、簡化X.25網絡節點協議功能的一種快速分組交換技術。與 X.25 相比FR 更適合對速率和實時性要求更高的數據應用業務。幀中繼使用了統計複用技術，是點對多點的通信服務。幀中繼是一種高性能的WAN協議，它運行在OSI參考模型的物理層和數據鏈路層。 ^[2] 

(4) VPN-Aware Netwares 。MPLS的VPN技術是專門為VPN所設計的，及所謂VPN-Aware網絡。在這種技術中，採用32位長的VPN標識符嵌入到IP包中，形成一個 VPN IP地址。BGP路由協議可以對 VPN IP地址進行路由尋址，但轉發數據包則要求多協議標記交換技術MPLS。BGP在散發路由信息時保證有關 VPN IP的路由信息只發布給處於該VPN內的路由器，從而在網絡設備級保證了VPN的安全性。 ^[3] 

常用的虛擬專用網協議有： ^[4] 

L2F，或第二層轉發協議（Layer 2 Forwarding Protocol），是由思科系統公司開發的，創建在互聯網上的虛擬專用網絡連接的隧道協議。L2F協議本身並不提供加密或保密；它依賴於協議被傳輸以提供保密。L2F是專為隧道點對點協議（PPP）通信。 ^[5] 

L2TP是一種工業標準的Internet隧道協議，功能大致和PPTP協議類似，比如同樣可以對網絡數據流進行加密。不過也有不同之處，比如PPTP要求網絡為IP網絡，L2TP要求面向數據包的點對點連接；PPTP使用單一隧道，L2TP使用多隧道；L2TP提供包頭壓縮、隧道驗證，而PPTP不支持。 ^[6] 

點對點隧道協議（英語：Point to Point Tunneling Protocol，縮寫為PPTP）是實現虛擬專用網（VPN）的方式之一。PPTP使用傳輸控制協議（TCP）創建控制通道來發送控制命令，以及利用通用路由封裝（GRE）通道來封裝點對點協議（PPP）數據包以發送數據。這個協議最早由微軟等廠商主導開發，但因為它的加密方式容易被破解，微軟已經不再建議使用這個協議。 ^[7] 

PPTP的協議規範本身並未描述加密或身份驗證的部分，它依靠點對點協議（PPP）來實現這些安全性功能。因為PPTP協議內置在微軟視窗系統家族的各個產品中，在微軟點對點協議（PPP）協議堆棧中，提供了各種標準的身份驗證與加密機制來支持PPTP。 在微軟視窗系統中，它可以搭配PAP、CHAP、MS-CHAPv1/v2或EAP-TLS來進行身份驗證。通常也可以搭配微軟點對點加密（MPPE）或IPSec的加密機制來提高安全性。 ^[7] 

互聯網安全協議（英語：Internet Protocol Security，縮寫為IPsec），是一個協議包，通過對IP協議的分組進行加密和認證來保護IP協議的網絡傳輸協議族（一些相互關聯的協議的集合）。 ^[8] 

IPsec主要由以下協議組成：一、認證頭（AH），為IP數據報提供無連接數據完整性、消息認證以及防重放攻擊保護；二、封裝安全載荷（ESP），提供機密性、數據源認證、無連接完整性、防重放和有限的傳輸流（traffic-flow）機密性；三、安全關聯（SA），提供算法和數據包，提供AH、ESP操作所需的參數。 ^[8] 

SSLVPN指的是基於安全套層協議(Security Socket Layer-SSL)建立遠程安全訪問通道的VPN技術。它是近年來興起的VPN技術，其應用隨着Web的普及和電子商務、遠程辦公的興起而發展迅速。 ^[8] 

SSL VPN由於其強大的功能和實施的方便性應用越來越廣泛，市場上的SSL VPN品牌也越來越多，如何選擇適合自己的產品是需要用户仔細考慮的一個問題。 ^[8] 

AnyConnect為思科推出的VPN客户端，現階段已有Windows、Android、iOS、OS X、Ubuntu、WebOS等操作系統的客户端。AnyConnect主要作用是方便員工在任何設備上安全地辦公。 ^[6] 

無論員工無論身處何地，AnyConnect都可以讓你使用公司筆記本電腦或個人移動設備照常工作。AnyConnect 可簡化安全終端訪問，並提供必要的安全措施確保您的組織受到持續保護。 ^[6] 

VPN三類之一的MPLS在IP路由和控制協議的基礎上提供面向連接（基於標記）的交換。MPLS如同一個“墊層(shim)”，它用於向IP提供連接服務，而它自己又從第二層（如PPP、ATM、Ethernet等）得到鏈路層服務。MPLS實際上就是一種隧道技術，所以使用它來建立VPN隧道是十分容易的。MPLS VPN需要公共IP網內部的所有相關路由器都能夠支持MPLS，所以這種技術對網絡有較為特殊的要求。MPLS技術目前還處於標準化的過程中，特別需要強調的是MPLS VPN的實施必須由運營商進行。MPLS VPN適用於對於網絡資源的利用率、網絡的可靠性有較高要求的VPN業務。 ^[4] 

VPN三類之一的VPDN是指有遠程辦公（包括羣體遠程辦公和個人遠程辦公）需求的用户採用專門的賬號和企業自定義的IP地址，通過ADSLPPPOE撥號聯入企業內部網絡的一種技術，它實際上也是一種隧道技術，在用户ADSL接入服務器端與企業內部網接口間建立一個L2TP隧道。VPDN的實施必須運營商進行。既適用於地點固定的公司內部各支點連入總部，也適用於個人遠程訪問公司內部信息。 ^[4] 

VPN三類之一的IPsec是一組開放的網絡安全協議的總稱，提供訪問控制、無連接的完整性保護、數據來源驗證、防重放保護、加密以及數據流分類加密等服務。IPsec在IP層提供這些安全服務，它包括兩個安全協議：認證頭(AH)和封裝安全載荷(ESP)。AH主要提供的功能有數據來源驗證、數據完整性驗證和防報文重放功能。ESP在AH協議的功能之外再提供對IP報文的加密功能。IPsec支持的組網方式包括：主機之間、主機與網關之間、網關之間的組網，支持對遠程用户訪問。IPsec可以和L2TP、GRE等隧道協議一起使用，給用户提供更大的靈活性和可靠性。另外，IPsec通常使用因特網密鑰交換(IKE)協議進行安全參數的自動協商。 ^[4] 

通過上述説明可以發現，在VPN網關對數據包進行處理時，有兩個參數對於VPN通訊十分重要：原始數據包的目標地址（VPN目標地址）和遠程VPN網關地址。根據VPN目標地址，VPN網關能夠判斷對哪些數據包進行VPN處理，對於不需要處理的數據包通常情況下可直接轉發到上級路由；遠程VPN網關地址則指定了處理後的VPN數據包發送的目標地址，即VPN隧道的另一端VPN網關地址。由於網絡通訊是雙向的，在進行VPN通訊時，隧道兩端的VPN網關都必須知道VPN目標地址和與此對應的遠端VPN網關地址。 ^[9] 

VPN的基本處理過程如下： ^[4] 

①要保護主機發送明文信息到其他VPN設備。 ^[4] 

②VPN設備根據網絡管理員設置的規則，確定是對數據進行加密還是直接傳輸。 ^[4] 

③對需要加密的數據，VPN設備將其整個數據包（包括要傳輸的數據、源IP地址和目的lP地址）進行加密並附上數據簽名，加上新的數據報頭（包括目的地VPN設備需要的安全信息和一些初始化參數）重新封裝。 ^[4] 

④將封裝後的數據包通過隧道在公共網絡上傳輸。 ^[4] 

⑤數據包到達目的VPN設備後，將其解封，核對數字簽名無誤後，對數據包解密。 ^[4] 

MPLS VPN更適用於以下用户： ^[4] 

VPDN有兩類業務，對應兩類業務賬號： ^[4] 

IPsec VPN業務主要適用於三類用户： ^[4] 

2003年4月，信息產業部頒發了《電信業務分類目錄》，取消了國際電信業務的分類，同時將虛擬專用網業務自基礎電信業務中分離出來，成為獨立的增值電信業務分類。但是此處的“虛擬專用網”概念與行業內的VPN業務是不一樣的。新的《電信業務分類目錄》中對該分類的解釋是：國內因特網虛擬專用網業務（IP-VPN）是指經營者利用自有的或租用公用因特網網絡資源，採用TCP/IP協議，為國內用户定製因特網閉合用户羣網絡的服務。這種分類的解釋強調了兩個特點，一個是利用因特網網絡資源，一個是採用TCP/IP協議。這種解釋是與當時的市場狀況所對應的，當時關注的是基於互連網的IPSecVPN，雖然該解釋可以基本涵蓋後出現的SSLVPN模式，但並沒有關注MPLSVPN。 ^[10] 

2006年1月，信息產業部發布《關於兩項增值電信業務及國內多方通信服務的通告》，正式開放“國內因特網虛擬專用網業務”和“在線數據處理與交易處理業務”兩項增值電信業務，上述兩項增值電信業務由商用試驗轉為正式商用。 ^[10] 

2013年，工業與信息化部公佈的《電信業務分類目錄（徵求意見稿）》中仍然沒有對此作出任何改變。

2015年1月27日，工信部迴應VPN被封事件，表示一些不良信息應該按照中國法律進行管理。工信部此前發佈規定，在中國提供VPN服務的公司必須登記註冊，否則將“不會受到中國法律的保護”。 ^[11] 

2017年1月，工信部出台了《關於清理規範互聯網網絡結構服務市場的通知》，《通知》主要是為了更好地規範市場的行為，規範的對象主要是未經電信主管部門批准，無國際通信業務經營資質的企業和個人，租用國際專線或者VPN，違規開展跨境電信業務經營活動。這些規定主要是對那些無證經營的、不符合規範的進行清理，對於依法依規的企業和個人不會帶來什麼影響。 ^[11] 

關於VPN的問題，工信部信息通信發展司司長聞庫補充稱，在中國經營相關業務應該按照中國的法律法規來進行申請許可，這實際上在全世界很多國家都是這樣做的。在美國、在歐洲、在亞洲都是這樣做的，各個國家的管理方式也不盡相同。在中國三大運營商給老百姓提供服務方面做了大量工作，網速不斷提升，取得了很好的成效。 ^[11] 

聞庫表示，特別是數字經濟方面，大街小巷特別是地鐵口邊上的共享單車等等，説明網絡覆蓋是非常完善的，應用是日益廣泛的。同時我們也會關注老百姓的一些需求。但是通過網絡來傳播有害甚至是暴恐信息，是中國法律所不允許的。 ^[11]