读书有用么?

读书有用吗 作者:万方中

中国最大的反智根源在于"读书无用论"。"读书没什么用",这是最直接的一种说法。

与之相比,更多的是一种温和的"读书无用论":"我觉得经验比读书更重要。""你读的是书,我是在社会里读书,一样的。"

以上言论阐述的很多问题都是表面现象,问题的本质在于:过度依赖经验,而不是思维方式。人类对事物的认识往往来自两方面:书籍,以及经验。当他没有从书籍里获取思维时,那么,他剩下的就只有那点儿经验了。当一个人过度依赖经验,那么在他做决断时,经验、感觉、直觉混淆在一起,以致分不清哪些是经验、哪些是感觉、哪些是直觉、哪些是思维,正确与错误就更加分不清楚了。

现 象

因为身处制造业,我经常遇到各种各样的人。在这里,上到老板,下到员工,外到客人,内到熟人,你时刻都能体会到一股反智的倾向。

有时候聊着聊着,有人就来一句:"哎,读书也不是那么有用的,你看你。"然后就不再说下去了,意思是:"你读这么多书,最后还不是给老板打工?"

有的同事要炒股,我推荐他看几本书,而后他原封不动地还给我。比起这些,他们更喜欢看新闻,看市面上兜售的"某女这轮牛市爆赚600万"之类的劲爆新闻,讨论K线形态,寻找内幕消息。

还有的想创业、开工厂,却没有人想静下心来,充充电、看几本书、学点什么,他们给我的回答常常是:"我觉得看书没那么重要,看了要用得上才行啊!我现在缺乏的是经验,真的,我很需要。你看我师父,斗大的字不识一个,照样走南闯北,他就是很有经验……"

人们喜欢对财富高谈阔论,对往事唏嘘感叹,对小道消息趋之若鹜,对名人大事件侃侃而谈。但是很少人想知道这些事件背后的理论和起因,更没有多少人会静下心来,拿本书慢慢研究。

缘 由

从20世纪70年代改革开放开始,中国发生了巨大的变化,改革开放对中国的经济产生了深远的影响,这个时代诞生了无数的机会,产生了无数的富翁。

有些人甚至不知道自己是怎么富的,就这样富起来了。人在财富面前,容易膨胀,过度地强调自己的能力,而忽略了客观因素的作用。

我们这个社会是非常现实的,经常会由结果来推导成因。当一个人成功的时候,你总感觉他说什么都是对的。因此,这些现象给了人这样的错觉:读书有什么用?能赚到钱、有能力才是本事。

相信这样的情况你们也经常遇到,你正看着书,突然走过来一个人,拍拍你的肩膀,对你说:"哎,别读书了,还不如出来混几年社会,学的东西比书本上的多多了。你看某某某,从来不读书,还不是照样发大财,这个社会看的是能力。"

能力是什么?天知道。有的人认为是人脉,有的人理解为"资源",还有的人理解为权力。

然而在我看来,这些解读,根本就没有指出问题的本质所在——过去的几十年,所有不依靠脑力、技术含量的暴富都是有前提的:因为信息的不对称。

什么叫信息不对称?我举个例子。

在中国的股市传奇里,你一定听说过"杨百万"这个名字。作为在中国股市里先富起来的那一部分人,无论你怎样评价他,杨百万这个名字,都已经成了一个传奇。

这个人是怎样完成他的原始积累的呢?有一天,他偶尔看报纸,发现一个现象:两个地方的国库券价格是不一样的。

这样,他就从价格低的地方买入国库券,然后拿蛇皮袋装上,坐火车去往另一个收购价较高的地方卖出。

他一年来回好多次,直到有一天,国库券不再存在差价,他完成了第一笔原始积累——人生中的第一个一百万,那一年是1989年。这笔钱,对于一个工厂的工人来说,毫无疑问是个天文数字——而他得到这一切,不是因为他读了什么书,而是因为他在某天某时某个地点,看到了一张神奇的报纸。

再举个例子:2000年,中国加入WTO的时候,外贸很好做,钱好像是捡来的。

因为那时候在中国开工厂的很少,竞争不完全,因此,外国人来中国,没什么议价的条件——当然,他们也不需要议价,那时候中国的商品,对于手持美元的他们来说,简直太便宜了。

100块钱一双的真皮皮鞋,赚个50块钱都是常有的事——对于中国人来说,50块钱很多了,那时候一个普通工人的月工资才一两千块。而对于外国人来说,这鞋子太便宜了,真皮的,一双才100块人民币。

竞争不完全,从本质上来说还是信息不流通。因为很多人并不知道做外贸赚钱,人们只有靠口口相传。口口相传的速度很慢,且难辨虚实。因此,制造业的老板们才有足够的时间完成原始资本积累。

这些需要读书吗?不需要。

在信息闭塞的年代里,你不需要技术,不需要知识储备,甚至不需要资金。

我记得我刚出生的时候,父亲做生意赚了不少钱,原因很简单:那时候改革开放刚开始,士、农工、商,商排在最末,大家都觉得做生意是一件很丢脸的事情,而我的父亲胆子大,敢拉下脸来推着板车出去叫卖,生意就这样做起来了。

是的,在那个时期你只需要胆子足够大,抓住了一个机遇,就有可能富起来。

"人关键要学会抓住机遇,有时候抓住一两个,足以影响你一辈子。"这不是很多前辈跟我们说的话吗?至于这个机会是从天上掉下来的,还是从你朋友的口中得来的,那就只有天知道了。或许你等了一辈子,也等不到这样的机遇。因此,许多人总有这样的错觉:"好事总是发生在别人身上,倒霉蛋只有我一个。"

然而,现在情况变了,原因很简单:有了互联网。互联网诞生以后,信息就开始变得完全流通。

当信息完全流通以后,机会主义就相对少多了——你买国库券,上网就能买了,价格透明,不存在价差,再也没有套利的空间;做外贸,上ebay一搜,价格一目了然;你过去有权力,能作威作福,现在我用手机把你拍成视频传上网,你就有下岗的危险。

所以,现在我们感觉钱越来越难赚。你凭着机遇来获利的概率越来越小。信息充分流通,你能做的,别人在你的网店买个样品回来,三下五除二就复制了过来。最后跟你做一样产品的人越来越多,价格越拉越低,直到没有利润为止。

在信息闭塞的环境里,你不读书能靠着机会一夜暴富。在信息充分流动的环境里,没有了这些暴富机会,你能靠什么?靠的是真本事,若有什么机遇,也是出自对未来趋势的精确判断。

我不知道读书能在这场产业升级中起到什么作用,我只知道,不读书,没有知识,光靠经验、人脉、关系、钱、倒腾,在这场产业升级里将会很容易被淘汰。

总 结

困囿于现实,很多人不可能结识太多优秀的人物。然而,读书给了你一条接近优秀人物的途径。

我们在现实生活中的经验往往是片面的、呈点状的,你可能会因为一两次经历而顿悟出一两个弥足珍贵的道理,但很快,像以前很多次一样,激动了一两天,你马上就忘却了,以前该怎样现在还是怎样。原因在于,它们只是你脑海中零散的存在,并没有成为一个完整的知识体系,支撑着你,形成你的信仰。而书籍给你的是系统的知识归类和梳理,将所有的点连成一个面,进行系统归纳。书籍带给我们更多的是梳理问题的方法和思维方式,而这些,并不是经验能代替的。不仅如此,书籍还能带给人经验的补充。一个人不可能经历多重人生,然而通过读书可以,你看历史、看人物传记,能看到多彩多样的人生,从而总结出一般的规律。

就我个人而言,我出生的家庭并没有很好的读书氛围。我的父母跟很多父母一样,从一个贫穷年代走过来,他们"胃口"很大,但是能力有限。他们跟很多人一样,教给下一代的都是一些"江湖套路"。比如,我的父亲经常跟我说:"你学习要讲方法啊。"至于什么方法,他从来没教过我。他以为,将这句话重复一万遍,我学习就能讲方法了。再来点压力、奖惩机制,就称之为教育。我的性格、我的思维、我的习惯,很多都是从书中得益,在后天慢慢矫正,天生并不具备。

从大数据来看,由中国新闻出版研究院组织的第九次全国国民阅读调查显示:2011年我国人均读书仅为4.3本,远低于韩国的11本、法国的20本、日本的40本,更别提犹太人的64本了。中国是世界人均读书最少的国家之一。

无论调查的数据准确与否,我们大致可以得出一个结论:发达国家的阅读率,远高于我国的阅读率;一个国家发达与否,和全民阅读率密切相关。

我们现在需要讨论的根本就不是读书有没有用的问题,而是有没有读书的问题。很多把持着"读书无用论"的人本身是不读书的,或者读了书压根儿就没读懂的。你不怎么读书,却大谈特谈"读书有没有用",这本身就是件很好笑的事情。事实上,很多人压根儿就不知道:自己在以另一种形式读书。

比如某老板,花了几千块钱,听完一场"成功人士的演讲",满怀欣喜地跑过来跟我说:"喂,你知道吗?昨晚我听了那个老师的演讲,真的收获颇丰。老师说,我们这个世界,有很多人之所以成功,是因为坚持。他的一个朋友,打高尔夫球从零开始学起。他的朋友告诉这位老师,虽然他是个新手,但是他只要坚持挥杆1000次,他就是个熟手;挥杆1万次,他就是大师……"

她还没讲完,我就听明白了,这位成功学演讲者讲的"我的朋友的故事",其实就是改造版的"一万小时理论"。这个理论的源头,是格拉德威尔的《异类》。其实他们并不是不爱读书,只是懒、浮躁、耐不住寂寞。比起一个人费力地一行一行地阅读,他们更喜欢跟一群人坐在台下让别人讲故事给自己听,哪怕是花上点钱。一个人懒,就通常会对自己的行为做出一系列合理的解释,比如:"读书无用论"。

所以,我觉得当这些人读了一些书以后,再过来讨论"读书究竟有没有用"这个话题会比较好。

上海推进户籍改革制度 将取消农业户口

上海市政府官网2016年4月25日 发布关于进一步推进本市户籍制度改革的若干意见,上海将统一城乡户口登记制度,完善居住证和落户政策体系,稳步推进基本公共服务覆盖符合条件的常住人口,到2020年基本建成新型户籍制度,全市常住人口规模控制在2500万以内。

上海推进户籍改革制度 将取消农业户口

  此次改革中最引人注目的是,上海要建立统一的城乡户口登记制度,也就是取消本市农业户口与非农业户口性质区分,统一登记为居民户口。相应地,教育、卫生计生、就业、社会保障、住房、土地等相关制度,也逐步调整和完善,适应城乡一体化。事实上,上海在社会保障方面的城乡一体化进程已持续多年,截至今年初,养老、失业保险、医保都已基本实现城乡统一。

上海推进户籍改革制度 将取消农业户口

  在统一城乡户口的同时,上海还将完善农村产权制度,加快推进农村土地确权、登记、颁证,依法保障农民的土地承包经营权、宅基地使用权。积极推进农村集体经济组织产权制度改革,维护集体经济组织和成员合法权益。坚持依法、自愿、有偿的原则,引导农业转移人口有序流转土地承包经营权。

上海推进户籍改革制度 将取消农业户口

  另外,作为户籍制度改革的一大要点,上海将稳步推进基本公共服务覆盖符合条件的常住人口,形成全市统一的基本公共服务项目清单,居住证持有人按规定享有义务教育、社会保险、住房、基本公共卫生、计划生育、证照办理、资格评定等服务待遇。

香洲发布异地务工人员随迁子女积分入学办法

27日,香洲区教育局发布《珠海市香洲区异地 务工人员随迁子女积分入学办法(公开征求意见稿)》,涉及每年按招生人数动态划定积分分数线等重要规定。据了解,香洲区教育局将在5月5日通过召开听证会 广泛征求社会各界的意见和建议。该局新修订的积分入学办法正式颁布后,将从今年秋季招生开始执行。

据悉,目前香洲区制定的积分入学办法与原珠海市2014年出台的积分办法相比,主要存在四个方面的重要变动。

一是积分入学分数线根据当年全区的招生实际情况划定,积分由高到低录取,积分入学分数线与积分入学拟录取名单同时向社会公布。改变了原办法设定的"积分总值达100分及以上可获得公办学位资格"的办法。每年按招生人数动态划定积分分数线,更体现公平、科学、合理。

二是为弘扬社会主义核心价值观,提升社会正能量。在原积分办法的"见义勇为""珠海市优秀外来工"等加分项目的基础上,香洲区增加了"香洲好人""杰出义工领袖""金牌义工领队""个人志愿服务金奖""计划生育"等加分项目。

三是在积分办法中将计生分数从"基本积分指标"中修改为"加分项目"。即:符合户籍地和本省计划生育政策的子女,加30分;违反计生政策但依法缴清社会抚养费的子女,加15分。

四是此次条例新增规定,如果申请人未达到当年 香洲区积分入学分数线,但符合该条例第二十七条有关"居住证持证人在同一居住地连续居住并依法缴纳社会保险费满五年、有稳定职业、符合计划生育政策的,其 子女接受义务教育应当与常住户口学生同等对待"的规定,予以录取。该规定落实了符合《广东省流动人口服务管理条例》二十七条的条件的享受户籍生待遇。

据了解,珠海市教育局25日下发《关于进一步 做好异地务工人员随迁子女义务教育工作的意见》,正式宣布2014年出台的《珠海市异地务工人员随迁子女积分入学办法》(珠教〔2014〕4号)废止,不 再执行。同时,《意见》要求,今后的随迁子女积分入学实施办法由各区自行制定。

相关

珠海在校随迁子女已超户籍学生

2011年,珠海实行外来务工随迁子女积分入 学政策,只要达到一定积分,并符合计划生育政策,将免费入读珠海义务阶段的公办学校,与户籍学生待遇一致。截至2015年12月,根据全国学籍系统数据, 珠海市共有各级各类义务教育学校、特殊教育学校180所,义务教育阶段在校学生20.61万人。其中异地务工人员随迁子女12.11万人,占比 58.76%,超过户籍学生数。

从2014年起,珠海还将符合一定条件的随迁子女纳入报考示范性普通高中指标生的范畴。2015年秋季,共有1642名随迁子女符合指标生政策,其中376人被指标生录取,占指标生录取总数的11.74%。

新实施的《居住证暂行条例》你了解多少?

国务院《居住证暂行条例》实施后,我县办理居住证政策发生相应变化,为此,垦利公安整理了我县居住证办理相关政策解答,希望对市民们有所帮助。

居住证办理相关政策解答

1、我市办理居住证的流动人口的范围有哪些变化?

答:依据国务院《居住证暂行条例》(以下简称《条例》)规定,我市流动人口范围较以前未发生变化,下列人员不属我市流动人口:即东营区、东营经济技术开发区、河口区、东营港经济开发区户籍人口离开户籍地在东营市跨区居住的人员。军人、无户口人员、港澳台人员、外国人不能办理居住证。

2、流动人口申领居住证的条件是什么?

答:依据《条例》规定"公民离开常住户口所在地,到其他城市居住半年以上,符合有合法稳定就业、合法稳定住所、连续就读条件之一的,可以申领居住证。" 其中,"居住半年以上"的认定标准为在"山东省流动人口服务管理综合信息系统"办理居住登记满6个月。为此,流动人口初次来本市或居住登记不满6个月的,只能先到居住地公安派出所办理居住登记,无法当场办理居住证。办理居住登记时派出所可为其开具居住登记凭证,待6个月居住登记期满可到派出所办理居住证。

3、申领居住证的程序是什么?

答:流动人口符合申领居住证条件的,持有本人居民身份证,并携带能够证明其在我市居住的房产证、购房合同、房屋租赁登记备案证明、用工单位相关证明、工商营业执照、连续就读证明等的其中任意一项证明材料,就可以到居住地派出所办理居住证。派出所工作人员受理后,为其打印《山东省居住证申领表》和《山东省居住证领取凭证》,由申请人签字确认后,将《山东省居住证领取凭证》交申请人。申请人自受理之日起15日后持领取凭证到派出所领取居住证。

4、流动人口在无法办理居住证期间,派出所可否为其出具居住证明?

答:流动人口持本人居民身份证等能证明其合法身份的证明和能证明其在我市居住的证明材料到居住地派出所办理居住登记,派出所工作人员为其打印"流动人口信息详情",并加盖登记地派出所户口专用章,作为其居住登记凭证。如果流动人口不需要凭证,可以不出具,但流动人口可随时到派出所开具凭证。

5、居住证有有效期限吗?到期后如何办理?

答:依据《条例》的规定,居住证每年签注一次。为此,新办理的居住证有效期限为一年,原三年有效期的居住证不再办理,之前发放的居住证在有效期内继续有效。居住证有效期满前一个月,流动人口可以到派出所办理换领居住证。居住证到期后使用功能中止。居住证超过有效期后,流动人口仍在居住地居住,可以到居住地派出所申请换领居住证,居住证使用功能恢复。

6、居住证补领、换领是否收费?

答:目前,居住证损坏后需办理换领和丢失后需办理补领暂时不收费,待国务院和省政府财政部门、价格主管部门制定居住证收费标准后,按照相关标准执行。

7、为什么必须居住登记满半年才能办理居住证?

答:《条例》于2015年10月21日经国务院第109次常务会议通过,并于2016年1月1日起施行。《条例》第二条规定:"公民离开常住户口所在地,到其他城市居住半年以上,符合有合法稳定就业、合法稳定住所、连续就读条件之一的,可以依照条例的规定申领居住证"。目前正在使用的"山东省流动人口服务管理综合信息系统"程序设定是办理居住登记满6个月后才能办理《山东省居住证》。为便于您及时办理居住证,享受我市的相关基本公共服务和便利,请您依法主动申报居住登记。

从洛阳到北京:中国都城怎么选?

1古代中国政治中心的双子星座

忽略掉那些不入流的地名,宋代之前,华夏民族的文明重心基本上是在两个焦点上左右摇摆:长安和洛阳。

当然,这两个地方在各代的称呼并不一致,确切的地理位置也略有偏差。特别是长安一带,西周的镐京,秦时的咸阳,甚至汉代长安城与唐代长安城,都不在同一个地方。但是,从宏观来看,关中地区是以长安为中心,中原地区是以洛阳为中心。

从华夏民族的传统居住区域看,洛阳一带无疑更有理由成为都城的首选之地。

事实上,夏商二代的都城基本上都在洛阳周围打转转儿,周文王姬昌只是商王的"西伯侯""""""西伯侯"就是商朝西部诸侯们的小头目),周的都城""在当时属于西北边疆,重点扶贫地区。

由此我们不难理解周幽王"烽火戏诸侯"为啥那么招人恨。你一个当老大的,偏要把家安在西北山沟沟里,遇上麻烦,小兄弟们还得跋山涉水一路狂奔,最远的从东海边儿上往这跑,磨出两脚水泡,到头来却发现你TMD只是为了逗媳妇,逗你妹呀!

周幽王把自个儿玩死后,继位的周平王惹不起西北邻居,把家搬回中原的洛阳,原来镐京一带都给了秦始皇的先人,任务只有一个:挡住那些野蛮人。

没承想西北这块水土还真养人,秦国这帮孩子挺争气,在干掉了狄人和戎人建立的12个国家后(其中包括《芈月传》中提到的义渠国),把整个关中地区收入囊中,并在战国七雄的争霸赛中笑到最后,再次让西陲之地的咸阳成为中国第一个封建集权王朝的政治中心。

公元前203年,刘邦逼得老对头项羽自刎乌江。踌躇满志的刘邦计划将都城安置在东周旧地洛阳,意在"与周室比隆"。他看不上关中巴掌大的地盘,也不想跟项羽一样没出息,非要把都城建到老家彭城,让人嘲笑"楚人沐猴而冠"

但一个小人物的话改变了他的决定。

普通一兵娄敬碰巧有机会见到了刘邦,他建议将都城定在封闭的关中地区。理由是关中四面险塞,披山带河,利于防守;同时由于秦国的多年经营,土地膏腴,物资丰饶,是"帝王之渊囿,守国之利器"

怕刘邦听不懂这些大道理,娄敬打了个比喻:你不是很会打架吗?打架最要紧的是掐住对手脖子。你控制了关中,就等于扼住了山东(崤山以东)的咽喉,外面再怎么闹腾,你也不用怕。

刘邦是个聪明人,一点就透,当天就吩咐装车往关中搬家。

从洛阳到北京:中国都城怎么选?

但当时的咸阳城,连同城外的阿房宫,已经让愤青项羽一把火烧了个精光。家当全没了,想过日子必须另起炉灶。

刘邦在渭河南岸以秦兴乐宫为基础,修建了用以居住的长乐宫,稍后又修建了用以朝会的未央宫,到他儿子汉惠帝时才开始修城墙。到汉武帝时代,前后用时90年,一座规模宏大的都城才终于落成。

汉王朝立国不久发生的"七国之乱",验证了娄敬的预见:关东七个诸侯国造反,中原大乱,但由于朝庭所在的关中地区富足险固,无后顾之忧,得以迅速动员组织起一支大军稳定局面,扑灭叛乱。

同时,由于长安靠近西北边陲,汉帝国格外重视对西北地区的争夺,集全国之力,破匈奴,拓西域,铸就了一个强盛的王朝。

2隋炀帝下的一盘很大的棋

王莽篡汉,群雄并起。刘秀依靠河北和南阳两大地方豪强集团先后削平各股势力,重建汉室。他将都城建在洛阳,表面上看是因为长安已毁于战火,根本原因则是他手下的骨干"二十八宿"都是中原人氏,他的执政基础就是中原,在洛阳过日子,心里有底气。

这个格局一直保持到魏晋南北朝。汉民族的主流政权东晋南渡长江,定都建康(南京)后,北方的少数民族政权走马灯似的转换,短暂统一北方的两个王朝前秦和北魏分别建都长安和洛阳。

公元618年,与隋朝一样依靠关陇(陕西甘肃一带)集团势力夺得天下的李渊,定都长安,开启了中国历史上大唐盛世。基于同样的地理因素,唐朝在西北方向上的扩张更是达到了前所未有的程度,势力直达中亚,成为一个具有国际影响的大帝国。

从洛阳到北京:中国都城怎么选?
唐长安城布局

然而,关中狭小的地域无法承载人口剧增带来的压力,四周山河环绕造成的交通阻碍也不利于朝庭对全国的控制。曾经承载了大小13个王朝的老牌都城长安,在唐代呈现出最辉煌的一幕后,从此淡出江湖。

其实,隋炀帝时期,都城已经有了不可逆转地向中原地区转移的苗头。炀帝即位后,立即发包两项大工程——营造东都洛阳和挖运河。

随着汉族大批南迁,江南的生产力大幅提升,同时南方人性格平和,很少打打杀杀,社会比较稳定,粮食物产首次超过中原地区。然而,从地理位置和种群特点上考量,历朝各代的最大危胁都来自于北方。这就决定了一个统一而强大的王朝,都城必须在中原,而不是偏安于江南。

都城在北方,钱粮在南方。如何把南方的物资源源不断地运到北方,满足日常生活和边防需求呢?

陆地运输成本很高。那时候没高速公路,一车粮食从苏杭送到长安,路上要走将近一年,那车粮食刚够车夫吃的。

水运相对廉价便捷,但中国地势西高东低,大河都是平行着向东流,没有南北方向的水道。天才的隋炀帝想到了挖人工河,由南向北,沟通江、淮、黄河等水系,把粮食和物资用船从南方运过来。

隋的运河分四段,从南到北是江南河(从钱塘江到长江)、邗沟(从长江到淮河)、通济渠(从淮河到黄河入洛水)、永济渠(从黄河到海河水系)。粮食物资水运到洛阳,储存在洛口仓、武牢仓等地,再陆运都城长安。

从洛阳到北京:中国都城怎么选?
依然发挥重要作用的大运河

如此一来,洛阳就成了天下粮物的中转集散地。兴建东都洛阳,是与开运河相配套的工程,隋炀帝在下一盘很大的棋,决非后人讥讽的那样,挖运河是为了去扬州赏琼,修东都纯粹是为了个人享受。

前人挖河,后人吃米。唐朝国力的强盛,很大程度上得益于江南物资通过运河不断的输送。大运河在当时就是中国交通、经济的大动脉。

随着经济繁荣,唐都长安的人口承载量和物资消费量不断剧增,狭小的关中已经不堪承受。唐高宗就曾在荒年率百官跑到洛阳"就食",说白了就是要饭吃。武则天执政的大部分时间都是在洛阳办公,"东都""西京"成为唐帝国政治中心璀灿的双子星座。

3选都城是个技术活儿

其实,开通运河的最大得益者并不是洛阳,而是更往东的汴梁(开封)。

江南粮船一路畅通到达汴梁,再向西经黄河向洛阳运输时,遇到一个大麻烦:汴河水浅,船行缓慢,常常到六七月份才能到黄河口,而这时黄河正值雨季涨水,必须等到八九月份水落才能行舟到洛阳。

更别扭的是,江南水手不熟悉黄河水文情况,船一进黄河必须雇佣当地水手,又加了一笔费用。

为解决这个难题,有人建议在汴梁一带广置仓储,中转物资,使"江船不入河,河船不入洛",既解决了船只等待合适水位的耗时问题,又解决了分段运输,合理调度的成本问题。

如此一来,交通便利的汴梁成为锁控江淮的咽喉重地,所谓:"大梁当天下之要,总舟车之繁,控河朔之咽喉,通荆湖之运漕"。唐宋之间的五代王朝中,后梁、后唐、后周都将都城设在了新兴的交通中心汴梁。

从洛阳到北京:中国都城怎么选?
张择端清明上河图局部

宋太祖赵匡胤代周立自后,想把京城向西搬到洛阳,他认为洛阳在安全系数和便利程度上比较均衡,汴梁固然更加便利,但处在一马平川的黄河南岸,属于无险可守的四战之地,只能以庞大的军队来保障安全,耗费巨大。

但他的弟弟赵光义和一些大臣坚决反对,理由很简单,就是个吃饭问题。

宋朝汲取了五代时期军阀专权的教训,在军事编练上实行了"厢禁军"制度,地方为"厢军",人数少,装备差,主要用于治安防盗;中央为"禁军",由皇帝通过枢密院掌控,人数多,装备好,用于对外战争。《水浒传》里"东京八十万禁军教头林冲",就是禁军的武术教官。

资料显示,北宋时期汴梁总人口约140万人,其中禁军及家属人数就在70万人以上,整个汴梁城其实就是围绕禁军建立起来的。汴梁每年消耗粮食约600万石,如果这些人都搬到洛阳,以当时的漕运能力,饭都吃不饱。

而且,赵光义还引用了一句相当漂亮的政治口号:守成在德不在险。赵匡胤无法说服这些呆鸟,但直觉告诉他,贪图地利之便,用钱粮堆出来的安全是靠不住的,他预言:"不出百年,天下民力殚矣。"

4都城定位体现一个王朝的政治情怀

北宋被金人突然绝杀的教训证明,不听老人言,吃亏在眼前。在冷兵器时代,地势在建都选择中不可忽略。

南宋偏安江南,纯粹是无奈,所以都城在哪里并不重要。重要的是金元时期,中国北方的政治中心又一次发生了迁移,这次的幸运儿是大运河的终点——北京。

北京,作为一个全国性的政治中心露面,是从金国营建的燕京开始的。此后,它又是元朝的大都。我总疑心因为女真人和蒙古人从高寒地带下来,怕热,所以不愿意把家安在更靠南的中原地区。就像当初北魏孝文帝迁都洛阳,穿着厚毡毯的牧民死活不愿意挪窝儿,皇帝连哄带骗才勉强搞定。

但对于汉民族来说,燕京只是个边塞要地,当都城并不在考虑范围内。

事情改变从明成祖朱棣开始。明朝打跑蒙元后,定都南京,一来因为北元的势力还很大,燕京一带是斗殴的前哨阵地;二来朱元璋的马仔们多是淮西人,对鱼米之乡充满感情,北方的烙饼大葱实在吃不惯。

朱棣起家的根本却在燕京。成为永乐大帝后,他深切认同"生于忧患,死于安乐"这句名言,决心把都城搬到边境线上,"天子御国门",不让草原势力卷土重来,确保中原安宁。

北京北部的燕山是一道天然的屏障,将游牧部落与农耕文明分割开来,同时它面临华北大原,便于天下物资的输送。

为防万一,明朝在迁都北京的同时,保留了南京的首都地位,甚至还保留了一套政府办事机构,最初的两代太子都是留守南京。一旦北边的京城和皇帝玩砸了,南边的立刻补上。只是在北方逐步稳定之后,南京的那套机构才慢慢成了摆设。

元明清三代,均以北京为都,北京旧城积水潭,就是元代漕运船舶停靠的码头。因大运河的漕运年久滞塞,时通时堵,后来又开通了海运。

物资运输的便利,弥补了北京在中国经济格局上重心偏北的不足,同时大一统多民族国家版图的最终确立,也使北京的地理位置显得更加适中。

不是生意不好做,是你的生意不好做!

"你我所经历的,未必是这个世界正在发生的。" 最近好多土友和我说,生意不好做。 还有些人说,我考虑转行。 前两天,看马云研判2016经济形势的视频,记住一句话: 不是生意不好做,是生意从来没好做过。 不是生意不好做,是你的生意不好做。 想一想,从你开始进入生意场开始,你听谁说过生意好做? 我从事外贸生意十二年,不算早,也不算晚,从接触的第一天开始,就有人和我说外贸竞争很激烈,不好做。可是我没什么太多选择啊,国贸毕业,做翻译水平又不够。那只能来做外贸生意了。 何况我也不傻啊,那么多人做这个生意赚钱了,我也看到了。 做生意没赚到钱的说不好做,正常。 做生意赚到钱的也说不好做,也正常。 全世界谁愿意天天说自己赚到钱了,你又不是梅威瑟,能把妹子又能打。 自古以来,生意场都一样。 做的好的有钱赚,做不好的没钱赚。 不是生意不好做,是你的生意不好做。 为什么这么说? 我们一条条的来分析。 比产品 前几天发了一篇文章,《在美国,我都能感到中国外贸面临的压力》,很多人看完发我微信说,土司土司,我们是做服装、做鞋子的,生意的确越来越难做,接下来该怎么办? 我能怎么办? 这产品原先的确火过了啊,先在英国火,然后美国火,然后台湾火,然后韩国火,然后中国火,接下来越南火,印尼火,说不定哪一天就火到非洲去了。 它就是跟着劳动力成本跑的啊。资本是闻着血腥味来的,哪里有更多的钱赚就去哪里。 你让它永远在中国火,这是不可能的。这火灭的越早,说明我们生活水平高了;哪一天这火又烧回来了,那我们又悲惨了。 那难道服装就真的没的做了么? 没有啊。 我见一朋友也做服装的,人家做时装,做定制,做设计,做大牌贴牌,走精品化、小批量路线,生意好的不要要哦,公司规模也不大,进去跟逛时装周一样。 还有个朋友也做服装,人家做细分市场,狗狗衣裳,看的我目瞪口呆,第一次发现原来狗狗穿衣有那么多搭配和花色,回想自己衣橱,想骂狗! 同样是服装行业,为什么你的服装生意不好做,人家的服装生意好做。 还有这两年发展迅速的无人机行业,生意那么火。

不是生意不好做,是你的生意不好做!

所以,产品好,才是真的好。 比技术 过年回来,看到朋友圈一条微信,一个合作供应商的工程师发的," 新的一年开始新的征程!非常感谢这四年来老板和伙伴们的支持和信任!" 我丫,心凉了半截。 技术有多重要,大家都知道,但是每个人还是天天盯着销售业绩,这个真受不了。 技术不创新,你怎么开发新的产品?难道要靠老产品打一辈子天下么?等人家用新技术、新产品把你超越了,然后你又来说,今年生意不好做啊。 早上7点刷新闻,小米发布了新品旗舰-小米手机5,配置了速度快100%、功耗降40%的骁龙820处理器,还配备了快充电池和指纹识别技术等等,比上一代旗舰提升了不少。 我刚想叫个好,看到下一条新闻又闭嘴了。 前后脚,三星在巴塞罗那发布了2016旗舰-Galaxy S7和Glaxy S7 Edge, 史称三星最好的手机,配备了当前最高分辨率的屏幕,还防水防尘(Ps.妈妈再也不用担心我的手机掉到马桶里。),还有水冷散热、快速充电、虚拟现实VR(Oh my god,这个功能我喜欢)等等,,瞬间秒杀了小米。 我希望Iphone 7出来的时候,我可以对三星闭嘴。 试想下,如果这些牛逼公司一年没有新技术推出会怎样? 你就倒闭吧。 我们应该庆幸,我们不是这样的公司,一年不推新技术,不改进也不会倒闭、但如果你几年都不推陈出新,你会怎样! 如果你5年、10年都没有推出新技术,你会怎样! 想一想,我们手头卖的产品是哪一年开发的?2014年?2010年?还是2005年? 你知道,客户,会用脚投票。 比团队 比完产品和技术,再来比团队。 问个问题,你的团队比同行的强么? 有人说,我们的销售团队很强。 我擦,我问你销售团队了么。 什么是团队?贸易公司的团队就是,老板+销售+技术+采购+财务+跟单+内务。工厂的团队就是,老板+销售+技术+ 生产+采购+财务+内务。 这才叫团队! 你老板很强,下面一团浆糊,有什么用?你能把所有事情都做完! 你销售很强,技术很一般有什么用?你能把小米卖出三星价! 你技术很强,生产很一般有什么用?想的到做不到! 你生产很强,采购很一般有什么用?进的配件装不上啊! 你采购很强,财务很一般有什么用?亏本你都不知道。 内务也很重要,公司就是一个家,家务事你不做我不做,谁洗碗通厕所! 我们常说一个公司有竞争力,面上是产品的竞争力,其实往祖坟里刨真正的竞争力就是团队里每一个人能力的总和。 管理就是把这些能力协调到一个方向上,发展就是这些能力一起朝前用力,变化就是这些能力一起转向,提高就是这些能力一起提升。 你单方面的能力很强,短期可以往上冲,那长期呢?人家一群人划一条皮划艇,你一个人划一条皮划艇,你能用最大力划多久?皮划艇力点到了就可以跑最快速度,一群人各出一点力而已,嗖就过去了,你呢,怎么划!公园里我们都划过船,真的很难持续一直用力划。 如果你的团队各个都强,那你真的可以说我的团队很强。你不发展,不赚钱很难! 团队强的公司生意不会难做。 比老板 说到最后,我要说重点了。 产品由技术而来,技术由团队而来,团队由老板而来。 一切的根源在老板。 一个老板决定公司的未来,还有你的未来。 如果你的老板只有一桶水的能力和格局,你就安心点,在一桶水里游泳,怀一桶水的心态,别长太大,要么胀死自己,要么装不下你。 如果你的老板有一池水的能力和格局,你也安心点,在池子里游泳,怀一池水的梦想,别长太大,也别不长大。 如果你的老板有一条溪的能力和格局,你就奋斗吧,和溪水搏击,怀一条河的梦想,别长太大,但要足够精干。 如果你的老板有一条河的能力和格局,你就冲杀吧,河流是最残忍的地方,面向大海,要快速长大,也要足够勇敢。 如果你的老板有大海的能力和格局,你就畅游吧,大海无限包容,也有无限可能,有多少能量,就烧多少梦想。 老板的能力和格局有多大,就能打造多大的平台和舞台。 这世上有一些老板天性上就有很大的能力和格局,譬如盖茨,譬如乔布斯,譬如扎克伯格,人家一出手就要改变世界,只要你跟的上,够忠诚,你就有无限可能。 这世上也有一些老板的能力和格局是不断成长大、撑大的,譬如马云,从一桶水(alibaba)成长到一池水(淘宝),再到一条溪(天猫),一条河(支付宝),到大海(蚂蚁金服)。有人说马云是天才,我不信,人家明明是一步步干出来的。遇见这样的老板,你要好好珍惜,跟的上,够忠诚,你也能无限成长。 所以,跟对人真的很重要!平台在人! 你都不用想太多,跟着走,尽全力,就到山顶了,从哪条路,怎么上来都不知道。 掂量掂量,你的老板是不是潜力股。 老板能力和格局强的公司生意不会难做。 Ps. 不知不觉,就写了这么多,真够啰嗦的,希望对你有启发。还是那句话, 无论你做什么的都可以套用这句话。 我是做外贸的,所以套用这句话, 不是外贸不好做,是外贸从来没好做过。 不是外贸不好做,是你的外贸不好做。 关键还是看老板的能力和格局! 春暖花开,老家的油菜花该要开了。

连环画 包公破疑案

来源:lhh.a8z8.com

连环画 包公破疑案

连环画 包公破疑案连环画 包公破疑案

(1) 宋朝时候,开封府祥符县有个老秀才沈良谟。妻子早已去世,家道小康。他有个儿子,名唤沈猷,长得年少英俊,终日在家勤读。

连环画 包公破疑案

(2) 十年前,沈良谟就给儿子订了一门亲,是同乡赵进士家的女儿阿娇。这年,他看到儿子已长大,便和赵进士商量,约定来年初春把儿媳妇娶过门。

连环画 包公破疑案

(3) 不料这年秋天,黄河决堤,整个祥符县被淹了大半。沈良谟家地势低,一份家私被大水冲得干干净净,父子俩只逃出了两条性命。

连环画 包公破疑案

(4) 虽然大水很快就退了,但父子俩已变成无家可归的人。沈良谟只得领着儿子在附近祠堂里安身,但因为家境不好,不久就病死了。

连环画 包公破疑案

(5) 那赵家庄的地势高,又离黄河堤远,因此并没遭到什么灾害。赵进士听说沈家败落的消息,为女儿的婚事担心。

连环画 包公破疑案

(6) 赵进士想赖掉这门亲,便到后堂和他的妻子田氏商量。

连环画 包公破疑案

(7) 赵进士不听劝告,气恼地走了。田氏知道再劝也无用,便来到女儿房中,将此事一一对她说了。阿娇听说,不禁低声哭泣起来。

连环画 包公破疑案

(8) 田氏见女儿悲伤,心中难过。为了两全之计,田氏想私下赠些银两与沈家公子,叫他如期来纳聘。阿娇一听,两颊晕红低着头,不出一声。(9) 事有凑巧,没隔几天,赵进士有事出差到郑州去。田氏暗暗欢喜,立刻叫家人顺便去请沈公子来,嘱咐说:"你要守秘密,不让老爷知道。"

连环画 包公破疑案

(9) 事有凑巧,没隔几天,赵进士有事出差到郑州去。田氏暗暗欢喜,立刻叫家人顺便去请沈公子来,嘱咐说:"你要守秘密,不让老爷知道。"

连环画 包公破疑案

(10) 再说沈良谟死后,沈猷只得将田地变卖,殡葬了父亲,一贫如洗,孤独一人住在祠堂里用功读书。日子过得越来越苦。这天,他忽见赵家派人来请,心中万分高兴。

连环画 包公破疑案

(11) 第二天一早,沈猷收拾了一阵,正想兴冲冲地跨出祠堂大门,见到身上褴褛的衣衫,不觉感叹起来。

连环画 包公破疑案

(12) 他踌躇了一阵,想起姑母家离赵家庄不远,顺路可向他表兄王信借件体面衣服。想到这里,立时又高兴起来,便往姑母家走去。

连环画 包公破疑案

(13) 沈猷来到姑母家中,说明来意,姑母笑着道:"这是侄儿喜事,姑母自当成全。"当下便叫王信到房中取衣,王信却要留沈猷玩几天再去。

连环画 包公破疑案

(14) 沈猷本想借了衣衫就走,无奈王信"盛意"留他,一时又不便催他回房取衣,只得答应留下吃了饭再去。

连环画 包公破疑案

(15) 那王信原是个不务正业的人,他久闻赵进士家女儿美貌,只是无法会见,今有这个机会,便设计留住沈猷,自己抽身回房打扮起来。

连环画 包公破疑案

(16) 他匆忙穿好衣衫,把衣橱钥匙带在身边,开了后院门,就往赵府走去。

连环画 包公破疑案

(17) 王信冒充沈猷来到赵府,田氏母女俩出来接见。王信一见阿娇长得十分美丽,楞楞瞧了半天,连问候的礼节也忘了。

连环画 包公破疑案

(18) 田氏打量了一下王信,见他打扮得还体面,也不去计较他,吩咐女儿回房,便着人摆酒款待。

连环画 包公破疑案

(19) 田氏陪着王信同桌饮酒,听王信假意诉说苦情,不免同情起来,尤其王信生就心灵口滑,能说会道,田氏觉得女婿虽然其貌不扬,举动粗鲁,但也讨人欢喜。

连环画 包公破疑案

(20) 田氏和王信谈了些家常,便回房来和女儿说道:"女婿看来甚好,只怕你父亲回来有变,我看今夜把他留下,如何?"阿娇含羞不答,田氏便传话出去,留下王信。

连环画 包公破疑案

(21) 王信听说留他住下,心里又惊又喜。他怕沈猷前来,但又一想:衣橱钥匙在我身边,沈猷没有衣衫,料定他不敢前来。想到这里,也就放了心。

连环画 包公破疑案

(22) 当晚,田氏在女儿房中摆下酒席,留下了王信。

连环画 包公破疑案

(23) 次日一早,田氏准备了五十两纹银和一些首饰交给王信道:"贤婿且拿将回去,等你岳父回来,即刻前来纳聘迎娶。"王信忙拜谢收下。

连环画 包公破疑案

(24) 王信得了银两,回到家中就把衣衫换了,由衣橱内另取了一套衣衫,来到前堂,迎面就被沈猷一把抓住。

连环画 包公破疑案

(25) 沈猷听了王信一番谎话,心中虽不痛快,但也无可奈何,只好穿上衣衫,匆匆赶往赵府。

连环画 包公破疑案

(26) 田氏忽听女婿去而又来,不知何故,连忙出来接见。她一看到沈猷,和昨日来的那个不同,不觉吃了一惊,连忙上前盘问。

连环画 包公破疑案

(27) 沈猷一一回答,丝毫没差错。田氏又上下打量了他半天,见他温文尔雅,谈吐有礼,知道他是真女婿,昨日里定是给坏人骗了,心中十分懊恼。

连环画 包公破疑案

(28) 田氏急命丫环报知小姐,阿娇听了,险些儿昏了过去,失声大哭道:"我今已身败名裂,还有何面目去见人!"

连环画 包公破疑案

(29) 阿娇把丫环打发出去后,悄悄自尽了。丫环们在外等了很久,不见小姐动静,就朝门缝里一张,吓得慌了手脚。

连环画 包公破疑案

(30) 两个丫环来到前堂,报与夫人。

连环画 包公破疑案

(31) 田氏一听女儿寻短见,忙赶到房内解救,阿娇已气绝身亡。田氏抚着尸体哭得死去活来。

连环画 包公破疑案

(32) 沈猷听说小姐自缢身死,认为小姐嫌他贫穷变心,因而寻了短见。自己楞楞地闷坐了一会儿,就无精打采地回去了。

连环画 包公破疑案

(33) 再说,赵进士在郑州办完公事,又与郑州张知府联上了亲事,便兴冲冲地回到家中,不见女儿出来迎接,只见田氏愁容满面,心中很是诧异。

连环画 包公破疑案

(34) 田氏见了丈夫,知道隐瞒不住,便将女儿自缢的经过说了一遍。赵进士一听,顿时火冒千丈,大发雷霆。

连环画 包公破疑案

(35) 赵进士不顾一切,便到书房写了一张状纸,控告沈猷。田氏明知沈猷冤枉,但也不敢阻拦。

连环画 包公破疑案

(36) 这一状告到祥符县叶县令案前,叶县令一见赵进士家出了命案,不敢怠慢,连忙派人前去拘捕沈猷。

连环画 包公破疑案

(37) 沈猷被带到堂上,叶县令一拍惊堂木,喝问:"你逼死赵家小姐,骗取赵家钱财,该当何罪?"沈猷道:"赵家小姐何故自缢,小生至今还不知原因。至于骗取钱财,更无这事,求大人明断!"

连环画 包公破疑案

(38) 叶县令冷笑一声,立刻传赵府家人来堂上对质。赵府家人明知前日来的不是沈猷,但见赵进士瞪眼望着他们,也就胡乱地将事推在沈猷身上了。

连环画 包公破疑案

(39) 叶县令拍案喝道:"大胆沈猷,如今已人证俱在,还敢强辩?本县判案廉明如镜。显而易见,是你当日见财起意,去而复来,以致逼死赵府千金,还想狡赖吗?"

连环画 包公破疑案

(40) 叶县令见沈猷不肯承认,吩咐用刑,沈猷哪里受得住,被拷得死去活来,只得含屈招了口供。

连环画 包公破疑案

(41) 叶县令见沈猷招了供,就把他判处死刑,送进囚牢;一面行文上报开封府,只等秋后处决。

连环画 包公破疑案

(42) 祥符县行文报到开封府,包公一看案情,心中怀疑:"沈猷得娶赵进士女儿为妻自当高兴,何又将她逼死;如果蓄意骗取钱财,何至去而复来?"

连环画 包公破疑案

(43) 包公感到这桩案件内中必定另有隐情,立即带了张龙、赵虎,连夜向祥符县而去。

连环画 包公破疑案

(44) 包公来到祥符县衙,单提沈猷来堂审讯。沈猷一见包公,知道有救,就大喊冤枉。

连环画 包公破疑案

(45) 包公问沈猷去赵府前后的情形,沈猷便把到姑母家向表兄借衣经过,以及到赵府所见的情形详细说了一遍。

连环画 包公破疑案

(46) 叶县令见沈猷翻了口供,急忙插嘴说:"包大人休听他胡扯,敝县已经查实,当日前去,确是沈猷。"包公就又问沈猷。

连环画 包公破疑案

(47) 田氏被传到堂,见了包公,本想直说,但又怕她丈夫受累,便道:"前日来的是否沈猷,老身年老记不起了。只知两人身材相同。"

连环画 包公破疑案

(48) 包公知田氏有所顾虑,不肯实说。便问沈猷:"当日你在姑母家,你表兄何在?"沈猷答道:"当日表兄给朋友拉去吃酒,一夜没回,直到第二天他才将衣衫借我。"

连环画 包公破疑案

(49) 包公听到这里,捋着胡须,暗自沉吟半晌,便吩咐带下沈猷,打发田氏回去,就此退堂。

连环画 包公破疑案

(50) 再说,王信自从骗得了赵府钱财,终日吃、喝、嫖、赌,他母亲管他不住,气得搬到亲戚家去住了。王信没了管教,也就赵发荒唐不羁。

连环画 包公破疑案

(51) 前些日子,他听说沈猷被判死刑,兀自称幸;近日风闻包公来到祥符县,就感到有些心神不安。这日在家,听得门前有个卖卜的,便想问个凶吉。

连环画 包公破疑案

(52) 于是,他把卖卜的唤了进来。那卖卜的自称是"李铁口",问他卜何凶吉,王信便谎称有个亲戚关在牢中,问个平安卦。"李铁口"排下八字卦,就搬弄起来。

连环画 包公破疑案

(53) "李铁口"摆弄了一阵,脱口喊道:"呀!恕老汉直说,令亲不出三日,定死于刀下。"王信听了大喜。"李铁口"见他听说亲戚将死,反而大喜,心中已有七分明白。

连环画 包公破疑案

(54) 王信接着要给自己也卜一卦。"李铁口"便又摆弄了一阵,这回,他却向王信道起喜来。

连环画 包公破疑案

(55) 王信前后卜了两卦,都很称心,只乐得眉开眼笑,当下便掏出一钱纹银送给"李铁口","李铁口"也不推辞,道了声谢便走了。

连环画 包公破疑案

(56) 原来"李铁口"是包公乔装的。他回到县衙,把张龙、赵虎叫来,如此这般地吩咐了一阵,两人便领命而去。

连环画 包公破疑案

(57) 次日,从县衙后门出来两个布商。他们走到王信家门前,放下布担,便高喊"白布贱卖",立时,周围就围了许多人,七嘴八舌地议起价来。

连环画 包公破疑案

(58) 王信自卜卦后,十分放心,次日尽情赌博,输了几十两银子。回来时,见门前围着一群人,便走上前,见是两个操着外地口音的布商在和邻居争价。

连环画 包公破疑案

(59) 王信一看,五十匹白布都是上等好布,一两银子一匹买下,转手就可赚到一笔大钱,不由想起"李铁口"说的话,马上就和两个布商做交易。

连环画 包公破疑案

(60) 王信听说首饰可以抵价,不觉心中一动,他想:赵家赠的首饰,左右是不吉利之物,他俩都是外乡人,又急需回乡,这是个机会!于是,便取出首饰,折合五十两银子,将布买下。

连环画 包公破疑案

(61) 两个布商接过首饰,便将布抬到王信家中,道别而去。

连环画 包公破疑案

(62) 这两个布商,是张龙、赵虎假扮的。两人回到县衙,便把首饰呈上,包公立刻就传田氏来。田氏一看首饰,正是那日所赠之物,睹物思人,不禁又伤心起来。

连环画 包公破疑案

(63) 包公随即传令把王信抓来。田氏一眼认出了王信,痛骂不休。谁知王信竟当堂一口否认。

连环画 包公破疑案

(64) 包公见王信如此狡猾,勃然大怒,便将首饰掷下,叫他认看。王信见了首饰,顿时吓得面无人色。

连环画 包公破疑案

(65) 王信抬头一望,见高坐堂上的正是前日卖卜的老汉,两旁站着的就是卖布给他的布商,知真情已经暴露,只好低头伏罪了。(完)

CentOS7下Strongswan架设IPSec-IKEv1, IKEv2, L2TP VPN,适用于 IOS9,OSX, Windows, Linux

VPN 隧道协议PPTP、L2TP、IPSec和SSLVPN(SSTP,OpenVPN)中安全性逐级提高,相应的受到墙的干扰相对要弱点,但是现在我们考虑到跨平台,PPTP穿透力及安全性可以忽略,所以这里搭建支持 ikev1/ikev2 的 Ipsec VPN,适用于iOS、Android、Windows 7+ 、MacOS X,及Linux。为了兼容Windows 7以下的系统,同时搭建L2TP/IPSec支持。

支持IOS9 IKEV2 的配置,直接到最后查看2015.12更新

安装 StrongSwan

由于Openswan已经没人维护了,所以我们选择更强大的Strongswan.它是一个完整的2.4和2.6的Linux内核下的IPsec和IKEv1 的实现。它也完全支持新的IKEv2协议的Linux 2.6内核。

StrongSwan 的发行版已包含在 EPEL 源中, 但是CentOS源的包比较旧,所以我们手动在官网https://www.strongswan.org/download.html下载安装包,当然你也可以直接源码编译。

wget http://dl.fedoraproject.org/pub/epel/7/x86_64/s/strongswan-5.3.2-1.el7.x86_64.rpm
						

rpm -ihv strongswan-5.3.2-1.el7.x86_64.rpm
											

编译:

wget http://download.strongswan.org/strongswan.tar.gz
						

tar xzf strongswan.tar.gz

cd strongswan-*

./configure  --sysconfdir=/etc  --enable-openssl --enable-nat-transport --disable-mysql --disable-ldap  --disable-static --enable-shared --enable-md4 --enable-eap-mschapv2 --enable-eap-aka --enable-eap-aka-3gpp2  --enable-eap-gtc --enable-eap-identity --enable-eap-md5 --enable-eap-peap --enable-eap-radius --enable-eap-sim --enable-eap-sim-file --enable-eap-simaka-pseudonym --enable-eap-simaka-reauth --enable-eap-simaka-sql --enable-eap-tls --enable-eap-tnc --enable-eap-ttls

make && make install
					

配置证书

每一个完整的 ssl 证书都有一个公钥和一个私钥。公钥是在网络上传输的,而私钥是藏好用来和接收到的公钥配对的(因此私钥里也有整个公钥,用来配对)。

  1. 生成CA证书的私钥,并使用私钥,签名CA证书
  2. ipsec pki --gen --outform pem > ca.pem
    

    ipsec pki --self --in ca.pem --dn "C=CN, O=VPN, CN=StrongSwan CA" --ca --lifetime 3650 --outform pem >ca.cert.pem
    															

    这里C 表示国家名,同样还有 ST 州/省名,L 地区名,STREET(全大写) 街道名。O 表示组织名。CN 为通用名

  3. 生成服务器证书所需的私钥,并用CA证书签发服务器证书
  4. ipsec pki --gen --outform pem > server.pem  
    
  5. ipsec pki --pub --in server.pem | ipsec pki --issue --lifetime 1200 --cacert ca.cert.pem 
    
  6.     --cakey ca.pem --dn "C=CN, O=VPN, CN=vpn.linsir.org" 
    
  7.     --san="1.2.3.4" --san="vpn.linsir.org" --flag serverAuth --flag ikeIntermediate 
    

        --outform pem > server.cert.pem
    							

    第二句是从我们刚生成的私钥里把公钥提取出来,然后用公钥去参与后面的服务器证书签发。

    - iOS 客户端要求 CN 也就是通用名必须是你的服务器的 URL  IP 地址;
    

    - Windows
    										7
    											不但要求了上面,还要求必须显式说明这个服务器证书的用途(用于与服务器进行认证),–flag serverAuth;
    

    -  iOS 
    								Mac OS X 要求了"IP 安全网络密钥互换居间(IP Security IKE Intermediate"这种增强型密钥用法(EKU),–flag ikdeIntermediate;
    

    - Android
    									 iOS 都要求服务器别名(serverAltName)就是服务器的 URL  IP 地址,–san
    							

    所以这里C、O的值要跟第一步的一致,CN值及--san值是服务器公网地址或url,另外这里可以设置多个--san值。否则会出现错误 13801:IKE身份验证凭证不可接受.

  8. 生成客户端证书
  9.     ipsec pki --gen --outform pem > client.pem
    
  10.      ipsec pki --pub --in client.pem | ipsec pki --issue --cacert ca.cert.pem 
    
  11.     --cakey ca.pem --dn "C=CN, O=VPN, CN=VPN Client" 
    

        --outform pem > client.cert.pem
    							

    这里C、O的值要跟第一步的一致

  12. 生成 pkcs12 证书 pkcs12 证书用来导入手机或电脑的。
  13. openssl pkcs12 -export -inkey client.pem -in client.cert.pem -name "VPN Client"
    

             -certfile ca.cert.pem -caname "vpn.linsir.org"  -out client.cert.p12
    											

安装证书

把证书复制到strongswan目录下。

cp -r ca.cert.pem /etc/strongswan/ipsec.d/cacerts/

cp -r server.cert.pem /etc/strongswan/ipsec.d/certs/

cp -r server.pem /etc/strongswan/ipsec.d/private/

cp -r client.cert.pem /etc/strongswan/ipsec.d/certs/

cp -r client.pem  /etc/strongswan/ipsec.d/private/
							

配置Strongswan

设备/操作系统使用的 ike 版本

  • Linux: 命令行客户端就是 strongswan 本身,因此完美兼容,支持 ikev1/ikev2 和所有加密方法的连接。
  • Android: 只支持 ikev1。
  • iOS/Mac OS X: IPsec 客户端为自己修改的racoon。它只支持 ikev1,最新的IOS 9 Mac OS X 支持ikev2.
  • Windows: 只在 Windows 7 以后支持ikev2, XP需要另外的l2tp方式。

ipsec.conf

vim /etc/strongswan/ipsec.conf

config setup

    uniqueids=never              #允许多个客户端使用同一个证书,多设备同时在线
						

 

#所有项目共用的配置项
					

conn %default
						

    keyexchange=ike              #ikev1  ikev2 都用这个
						

    left=%any                    #服务器端标识,%any表示任意
						

    leftsubnet=0.0.0.0/0
												#服务器端虚拟ip, 0.0.0.0/0表示通配.
							

    right=%any                   #客户端标识,%any表示任意
						

 

conn IKE-BASE

    leftca=ca.cert.pem           #服务器端 CA 证书
						

    leftcert=server.cert.pem     #服务器端证
					

    rightsourceip=10.0.0.0/24
												#分配给客户端的虚拟 ip 
						

 

# ios 使用, 使用客户端证书
					

conn IPSec-IKEv1
								

    also=IKE-BASE

    keyexchange=ikev1

    fragmentation=yes            #开启对 iOS 拆包的重组支持
						

    ike=aes256-sha1-modp1024

    leftauth=pubkey

    rightauth=pubkey

    rightauth2=xauth

    rightcert=client.cert.pem


					auto=add

 

# ios 使用, 使用 PSK 预设密钥
					

conn IPSec-IKEv1-PSK

    also=IKE-BASE

    keyexchange=ikev1

    fragmentation=yes

    leftauth=psk

    rightauth=psk

    rightauth2=xauth


					auto=add

 

# android, linux, os x 使用
					

conn IPSec-IKEv2
								

    also=IKE-BASE

    keyexchange=ikev2

    leftauth=pubkey

    rightauth=pubkey

    rightcert=client.cert.pem


					auto=add

 

# windows 7+ 使用, win7 以下版本需使用第三方 ipsec vpn 客户端连接
					

conn IPSec-IKEv2-EAP

    also=IKE-BASE

    keyexchange=ikev2

    ike=aes256-sha1-modp1024!   #第一阶段加密方
					

    rekey=no
								#服务器对 Windows 发出 rekey 请求会断开连接
						

    leftauth=pubkey

    rightauth=eap-mschapv2

    rightsendcert=never          #服务器不要向客户端请求证
					

    eap_identity=%any


					auto=add

 

conn IKEV2-RSA

     also=IKE-BASE

     ikelifetime=60m
						

     keylife=20m
						

     rekeymargin=3m
						

     keyingtries=1
						

     keyexchange=ikev2

     leftfirewall=yes


					auto=add
							

具体配置说明可以参考https://zh.opensuse.org/SDB:Setup_Ipsec_VPN_with_Strongswan官方文档

strongswan.conf

vim /etc/strongswan/strongswan.conf

# strongswan.conf - strongSwan configuration file
					

#
					

# Refer to the strongswan.conf(5) manpage for details
					

#
					

# Configuration changes should be made in the included files
					

 

charon {

    load_modular = yes

    duplicheck.enable = no
								#是为了你能同时连接多个设备,所以要把冗余检查关
					

    compress = yes

    plugins {

        include strongswan.d/charon/*.conf

    }

    dns1 = 223.5.5.5

    dns2 = 8.8.8.8

    # for Windows only

    nbns1 = 223.5.5.5

    nbns2 = 8.8.8.8

}

 

include strongswan.d/*.conf
					

密码认证文件

# /etc/ipsec.secrets - strongSwan IPsec secrets file
					

 

 

: RSA server.pem

: PSK "password"
						

: XAUTH "password"
						

vpn %any : EAP "password"
						

wp设备名称用户名2 : EAP "密码2"
									#仅对windowsphone8.1设备,设备名称在`设置-关于-手机信息` 中查看
								

启动Strongswan

ipsec start 

或者
					

systemctl start strongswan.service
					

IKEv1,v2就搭建好了,我们配置L2TP/IPSec

L2TP/IPSec

安装 xl2tpd

yum install ppp xl2tpd
					

CentOS 7 源已经不再有了,所以手动下载安装。

wget http://dl.fedoraproject.org/pub/epel/7/x86_64/x/xl2tpd-1.3.6-8.el7.x86_64.rpm
						

rpm -ihv l2tpd-1.3.6-8.el7.x86_64.rpm
											

/etc/strongswan/ipsec.conf

在/etc/strongswan/ipsec.conf最后添加

conn L2TP-PSK

    keyexchange=ikev1

    authby=secret

    leftprotoport=17/1701
										#l2tp
					

    leftfirewall=no
						

    rightprotoport=17/%any

    type=transport


					auto=add
							

xl2tpd.conf

vim /etc/xl2tpd/xl2tpd.conf

[global]

ipsec saref = no
						

#listen-addr = 1.2.3.4
					

port =1701
						

 

 

[lns default]

ip range = 10.0.0.100-10.0.0.254
												

local ip = 10.0.0.255
									

require chap = yes

refuse pap = yes

require authentication = yes

name = vpn

ppp debug = yes

pppoptfile = /etc/ppp/options.xl2tpd

length bit = yes
					

options.xl2tpd

vim /etc/ppp/options.xl2tpd

require-mschap-v2

ms-dns 223.5.5.5
								

ms-dns 223.6.6.6
								

asyncmap 0
						

auth

crtscts

lock
					

hide-password

modem

debug

name l2tpd

proxyarp

lcp-echo-interval 30
						

lcp-echo-failure 4
						

mtu 1400
						

noccp

connect-delay 5000
						

debug

logfile /var/log/xl2tpd.log
							

设置用户名,密码

vim /etc/ppp/chap-secrets

# client    server  secret          IP addresses
					

vpn         *       admin           *
					

启动xl2tpd

首先添加文件

vim /usr/lib/systemd/system/xl2tpd.service

[Unit]

Description=Level
								2
										Tunnel
												Protocol
														Daemon (L2TP)

After=syslog.target network.target

After=ipsec.service

# Some ISPs in Russia use l2tp without IPsec, so don't insist anymore
					

#Wants=ipsec.service
					

 

[Service]

Type=simple

PIDFile=/run/xl2tpd/xl2tpd.pid

ExecStart=/usr/bin/xl2tpd -D

Restart=on-abort

 

[Install]

WantedBy=multi-user.target
						

然后 执行:

systemctl start xl2tpd
					

配置转发及防火墙

编辑/etc/sysctl.conf

net.ipv4.ip_forward=1
						

net.ipv6.conf.all.forwarding=1
						

net.ipv4.conf.all.accept_redirects = 0
						

net.ipv4.conf.all.send_redirects = 0
						

然后sysctl -p使之生效。

ipatables

iptables -A INPUT -p esp -j ACCEPT

iptables -A INPUT -p udp --dport 500 -j ACCEPT

iptables -A INPUT -p udp -m udp --dport 1701 -j ACCEPT

iptables -A INPUT -p udp --dport 4500 -j ACCEPT

iptables -t nat -A POSTROUTING -s 10.0.0.0/24 -o enp7s0f0 -j MASQUERADE

iptables -A FORWARD -s 10.0.0.0/24 -j ACCEPT
											

注意 CentOS 网卡名称,我这里是enp7s0f0,而有的是eth0,具体根据实际情况来。

开机启动

systemctl enable xl2tpd

systemctl enable strongswan
					

客户端配置及连接及测试

win7

导入证书

  • 开始菜单搜索"cmd",打开后输入 mmc(Microsoft 管理控制台);
  • "文件"-"添加/删除管理单元",添加"证书"单元;
  • 证书单元的弹出窗口中一定要选"计算机账户",之后选"本地计算机",确定;
  • 在左边的"控制台根节点"下选择"证书"-"个人",然后选右边的"更多操作"-"所有任务"-"导入"打开证书导入窗口;
  • 选择刚才生成的 clientCert.p12 文件。下一步输入私钥密码。下一步"证书存储"选"个人";
  • 导入成功后,把导入的 CA 证书剪切到"受信任的根证书颁发机构"的证书文件夹里面;
  • 打开剩下的那个私人证书,看一下有没有显示"您有一个与该证书对应的私钥",以及"证书路径"下面是不是显示"该证书没有问题";
  • 然后关闭 mmc,提示"将控制台设置存入控制台1吗",选"否"即可;
  • 至此,证书导入完成。

如果双击 .p12 证书导入,会出现错误 13801:IKE身份验证凭证不可接受.

然后新建vpn即可。

注意:win8 win10 Ikev2有bug tcp/ip协议不能设置属性,关闭远程网关,我的连接上之后,需要自己手动添加路由表。 Win10系统VPN连接IPV4属性无法打开,需要关闭远程网关解决方法

http://www.nicklitten.com/blog/how-fix-windows-10-problem-vpn-failed-initialize-connection-subsystem-cisco-anyconnect

经测试,win8+使用证书登录的穿透性很差,而使用ca证书+EAP账号密码认证,连接速度很快,而且稳定。

iOS/Mac

把 CA 证书和之前做好的 pkcs12(.p12)发邮件给自己,。在 iOS 上收邮件,导入两者注意是两个证书,一定要导入CA,或者后者不能使用,然后新建 IPSec VPN

在这里可以使用四种方式建立VPN:

  • IPSec+EAP
    • 服务器是 IP 或都是 URL
    • 账户和密码填 ipsec.secrets 里 EAP 前后的那两个
    • 密钥输入 ipsec.secrets 里设置的 PSK 密码。
  • IPSec+证书
    • 服务器是 IP 或都是 URL
    • 账户和密码填 ipsec.secrets 里 EAP 前后的那两个(XAUTH的那个密码也行)
    • 勾选使用证书并选择之
  • L2TP
    • 服务器是 IP 或都是 URL
    • 账户和密码填 etc/ppp/chap-secrets 里的
    • 密钥输入 ipsec.secrets 里设置的 PSK 密码。
  • IEKV2

    IOS9默认是可以创建的,但是不能使用。目前只能用Apple Configurator 生成配置文件,然后邮件导入使用。自带的暂时不行。IOS9 IKEv2成功了,可以看blog更新

Android

IPSec Xauth PSK

IPSec 预共享密钥:写 ipsec.secrets 里 PSK 后面的那个密码.

调试

服务器端的日志就足够检测出绝大多数问题的来源。

tail -f /var/log/strongswan-charon.log
							

或者直接

journalctl -f
					

粗暴观察。

扩展

  • FreeRadius:账户认证和计费
  • daloRadius:用户账单管理

2015.12.16 更新

IOS9一样可以使用IEKV2了。 @wbuntu @heraclitusq 小伙伴提醒 StrongSwan 的"官网"https://strongswan.net/已经可以支持IOS9自带的IKEV2设置了。看了下果然支持了,马上去官方网站看到文档!

经过官方提示,只需要在WIN7_EAP配置之上添加几行就行了。

ike = aes256-sha256-modp1024,3des-sha1-modp1024,aes256-sha1-modp1024!

esp = aes256-sha256,3des-sha1,aes256-sha1!

leftsendcerts = always

leftid = @vpn.linsir.org/1.2.3.4
										

iOS支持的IKE为aes256-sha256-modp1024,OS X为3des-sha1-modp1024,Win7为aes256-sha1-modp1024。

注意ESP的顺序与IKE的一致。leftid@后跟着就是服务器证书的CN(Common Name)也是IOS9设置时的远程ID(Remote ID).

IPhone 连接测试:

首先是导入服务器ca.cert.pem证书,在设置-通用-描述文件中可以查看

IKEV2-EAP

+ 类型
						IKEv2
							

+ 服务器是 IP 或都是 URL

+ 远程ID IP 或都是 URL

+ 账户和密码填 ipsec.secrets  EAP 前后的那两个
					

IOS9.1/9.2 测试通过!没有Mac,所以 OSX 系统没能测试。

遇到的坑:

Dec
						16
								15:41:53 debian charon: 09[NET] sending packet: from *.*.*.*[4500] to *.*.*.*[4500] (1180 bytes)

Dec
						16
								15:42:23 debian charon: 13[JOB] deleting half open IKE_SA after timeout
																

一直报这样子的错误,甚至我重新编译升级StrongSwan5.3.3到5.3.5,放狗搜索半天,https://ttz.im/2015/10/1335 这个哥们成功了,可是我一样的配置还是不行,搞得我都装了个freeRadius来测试了。

最后才发现上次手机刷机之后,ca证书已经不存在了。导入,就成功!

附上完整配置:

config setup

    uniqueids=never              #允许多个客户端使用同一个证
					

 

#所有项目共用的配置项
					

conn %default
						

    keyexchange=ike              #ikev1  ikev2 都用这个
						

    left=%any                    #服务器端标识,%any表示任意
						

    leftsubnet=0.0.0.0/0
												#服务器端虚拟ip, 0.0.0.0/0表示通配.
							

    right=%any                   #客户端标识,%any表示任意
						

 

conn IKE-BASE

    leftca=ca.cert.pem           #服务器端 CA 证书
						

    leftcert=server.cert.pem     #服务器端证
					

    rightsourceip=10.0.1.0/24
												#分配给客户端的虚拟 ip 
						

 

conn IKEv2-EAP

    also=IKE-BASE

    keyexchange=ikev2

    ike = aes256-sha256-modp1024,3des-sha1-modp1024,aes256-sha1-modp1024!

    esp = aes256-sha256,3des-sha1,aes256-sha1!

    rekey=no
								#服务器对 Windows 发出 rekey 请求会断开连接
						

    leftid=vpn.linsir.org

    leftauth=pubkey

    leftsendcert=always


					#leftfirewall=yes
						

    right=%any

    rightfirewall=yes

    rightsourceip=10.0.1.0/24
										

    rightsendcert=never


					#rightauth=eap-radius
						

    rightauth=eap-mschapv2

    eap_identity=%any

    dpdaction=clear

    fragmentation=yes


					auto=add
							

关于freeRadius的可以参考这个链接:

http://freeradius.akagi201.org/index.html

参考链接:

Vpn扫盲

对于初学者来说,门槛较低、最为便捷的科学上网工具便是广为人知、人见人爱、通杀各平台的VPN了。不过,大部分人需要的是解决问题,未对VPN进行深入了解,从而在使用过程中极容易进入一些误区。

误区一:VPN连接上了,还是打不开FB,被骗了?

估计90%的人在第一次用VPN的时候,会遇到这个问题。要说wall也够损的,想到用DNS污染这一招。DNS污染(DNS cache poisoning),维基百科上有很详细的描述。简单来说,就是国内DNS服务器把一些希望过滤的域名指向了错误的IP地址,导致我们访问的时候打不开此网站。因此,即使我们成功连接上了VPN,加密的数据流躲过了过滤系统,但是我们在访问facebook的时候,解析到了一个永远也无法访问的IP地址,导致FB还是打不开。

怎么解决呢?很简单,把当前正在使用的网络连接的默认DNS改为国外公共DNS。其中,最广为人知的诚实可靠小郎君就是Google提供的DNS,比如:
8.8.8.8
8.8.4.4
另外还有OpenDNS提供的免费DNS服务器,比如:
208.67.222.222
208.67.220.220

误区二:VPN的免费流量就是手机免费上网吧,碉堡了

很多VPN商家都以免费流量作为一种营销手段,200M流量、800M流量、1G流量......在移动联通电信联合敲诈流量的年代,小伙伴们是有多渴望能拥有免费的上网流量啊。各位别笑,你身边肯定有这样的小伙伴,天真无邪的望着你说:
这个就是可以免费上网的吧?
啊,不是?
啊喂,那免费流量是什么意思?
那有屁用啊?

  • vpn是在手机可以上网的前提下才能使用的,wifi/2g/3g/4g都可以,前提是你手机必须能上网。
  • vpn的免费流量,指的是连接上vpn以后,通过vpn网络产生的流量。
  • vpn的流量与手机上网流量是同时计算的,换言之,通过vpn使用了100M流量,那么你的手机上网也消耗了100M流量。

误区三:不能提速的VPN不是好VPN

"亲,我大长宽100M光纤,连了个VPN连2M都木有了,可以给我个合理的解释吗,亲~"

小明刚刚申请了一个100M的长宽,工作人员上门进行安装,一切顺利安装完毕,为了让小明放心,工作人员掏出了测速软件,哎呀,你看,100M,妥妥的啊。殊不知此测速软件测速的节点就长宽机房,这就好像是在局域网内测速。国内带宽资源目前并不充足,特别是出国的出口带宽,这就好比自古华山一条道,大家都得从这过,你把道给占了,别人就甭想过。100M顶多只能说是国内带宽,出国的带宽远远不及100M,甚至有个5M就谢主隆恩了。VPN很有可能是将您的国际带宽由1M提升成为了2M,亲,VPN只能帮你到这了。

网络带宽方面大致遵循一个木桶效应,一个桶能装多少水由木桶最短的那块板决定,速度的快慢由整个网络环节中最慢的一个决定。打个比方来说,如果你本地带宽是10M,出国带宽是5M,VPN服务器的带宽是3M,那么你连上VPN以后,就只有3M。

总的来说,VPN对于速度的提升与很多方面有关,比如网络运营商、网络高峰时段、VPN服务器的带宽等等。我们可以做的是尽可能的选择主流网络运营商,电信和联通,他们能拿到的网络资源相对比较充足,带宽方面比较有保障,高峰期的稳定性也会要好一些。

另附知乎上诸君对于北京长宽的热议

误区四:响应时间(ping值)越小,速度越快

响应时间(ping值)越小,确实速度越快,这里的速度快指的是反应的时间快,更具体一点就是玩游戏延时会小很多,Ping值越小,游戏就不会延时、不会卡,相信很多游戏玩家是明白这一点的。但是,对于上网、看视频来说,Ping值小,并没有特殊的优势。比如香港vpn线路,ping值一般都在50以下,但是由于香港带宽价格高昂,普遍带宽都很小,看视频都不快,收收邮件到是挺好的。而美国vpn往往ping值在200~300ms以上,看youtube一样刷刷的,高大上的美帝带宽资源充足,至少都是100M,很多是1G的带宽。因此,看视频更重要的是网络带宽,你本地的网络带宽以及vpn服务器的带宽。

误区五:VPN就是PPTP,PPTP速度最快

VPN是一个概念,PPTP是实现VPN的一个方式,除了PPTP以外,还有L2TP、Cisco IPSec、OpenVPN、IKev2等等众多VPN的实现方式。很多人认为PPTP最快,确实PPTP在连接的速度上是最快的,连接等待的时间是最短的。然后连接上以后具体的使用速度,几乎无差别。虽然从理论上探讨略有差别,但是我们一般人是察觉不到的,完全可以忽略不计。因此,别管VPN用的什么方式,能连上就是王道。

 

文/Gibson(简书作者)
原文链接:http://www.jianshu.com/p/adef2af25cd6
著作权归作者所有,转载请联系作者获得授权,并标注"简书作者"。

ikev2 ipsec l2tp pptp 区别是什么

PPTPL2TP都使用PPP协议对数据进行封装,然后添加附加包头用于数据在互联网络上的传输。尽管两个协议非常相似,但是仍存在以下几方面的不同:

1.PPTP要求互联网络为IP网络。L2TP只要求隧道媒介提供面向数据包的点对点的连接。L2TP可以在IP(使用UDP),桢中继永久虚拟电路(PVCs),X.25虚拟电路(VCs)或ATM VCs网络上使用。

2.PPTP只能在两端点间建立单一隧道。L2TP支持在两端点间使用多隧道。使用L2TP,用户可以针对不同的服务质量创建不同的隧道。

3.L2TP可以提供包头压缩。当压缩包头时,系统开销(overhead)占用4个字节,而PPTP协议下要占用6个字节。

4.L2TP可以提供隧道验证,而PPTP则不支持隧道验证。但是当L2TPPPTPIPSEC共同使用时,可以由IPSEC提供隧道验证,不需要在第2层协议上验证隧道。

IKEv2 (Internet Key Exchange v2) 是一款新版的安全协议。简单理解的话可以说和大家常见的PPTP/L2TP是差不多一类的东西。不过IKEv2协议要比PPTPL2TP更加优秀,将会是之后发展的方向之一。采用IKEv2协议的VPN将会逐渐增多,当然至于什么时候增加多少,就看各家VPN厂商自己的安排了。作为用户我们当然是希望能尽快部署采用更优秀的技术,这样才会有更好的使用体验。

那么IKEv2到底和PPTP/L2TP有什么区别。这里我们就简单的介绍一下,具体的技术上差异并不打算多谈,我们了解一下IKEv2作为新技术的优势与差异也就行了。

首先效果很直观的部分,IKEv2协议采用了一种 "MOBIKE" – Mobility and Multihoming 技术来维持加密通讯,这让IKEv2连接在用户自身网络状况经常变化的情况下仍旧能够维持加密连接,而不会出现频繁闪断、断开又重连之类的情况,能大大提高网络连接的稳定性。举个简单的例子,当用户使用手机在户外使用网络时,频繁的3G/WIFI等网络环境的切换能让一般PPTP/L2TP连接闪断的简直无法正常使用。而IKEv2就能稳定保持连接。当然IKEv2只是能让网络环境变化时连接不至于闪断,当网络故障时也是不可能强行连接的。

另一方面,PPTP/L2TP这类基于PPP的传输层协议已经是很老旧的技术产物了。除了安全性之外,这类通讯协议并不是为现在大家所能使用的宽带网络而设计,从前带宽并不大的情况下差异不明显。而现在带宽不断提高之后就能愈加感受到带宽的差异性。IKEv2能够拥有比PPTP/L2TP更加高效的网络通讯效率。

IKEv2IKEv1)的改良版,使用了公钥证书和密码等多重认证,弥补了v1时代的安全性上的不足。比PPTP/L2TP更是可靠许多。同时IKEv2还支持硬件加速,保证了高效的传输效率。

不过与之相对的,新技术面临的问题就是各方面的支持性。现阶段提供IKEv2协议连接的VPN商家并不多,或者也可以说很少,选择余地也很小。对于用户来说Windows 7以上包括RT系统都对IKEv2有原生支持,Android需要第三方软件才可以支持,iOS仅支持IKEv1,而Windows Phone干脆仅支持IKEv2协议的VPN连接。大家各有各的不同,有需要的用户请务必根据自己的使用情况来选购,以免充值之后才发现与自己的平台不兼容。

下面简要说说各个vpn协议的特点以及支持平台:

OpenVPNOpenVPN允许参与建立VPN的单点使用预设的私钥,第三方证书,或者用户名/密码来进行身份验证。OpenVPN能在LinuxxBSDMac OS XWindows2000/XP上运行。它不与IPsec及其他VPN软件包兼容。

支持平台:WindowsMac OSiPhoneAndroid

其特点是:安全系数高。缺点:易用性差、兼容性差。

PPTP:点对点隧道协议(PPTP)是一种支持多协议虚拟专用网络的网络技术。通过该协议,远程用户能够通过Windows NT工作站、XP2000 2003Win7操作系统以及其它装有点对点协议的系统安全访问公司网络。默认端口号:1723

其特点是:连接速度快。缺点:已河蟹,使用不稳定。

支持平台:WindowsMac OSiPhoneAndroidLinux

L2TPL2TPPPTP差不多,PPTP要求网络为IP网络,L2TP要求面向数据包的点对点连接;PPTP使用单一隧道,L2TP使用多隧道;L2TP提供包头压缩、隧道验证,而PPTP不支持。

其特点是:连接速度快。缺点:已河蟹,使用不稳定(但稳定性比PPTP稍高)。

支持平台:WindowsMac OSiPhoneAndroidLinux

SSHSocks:这2种代理协议其实差不多,这里就拿到一块儿说了。SSH 为建立在应用层和传输层基础上的安全协议。SSH目前较可靠,专为远程登录会话和其他网络服务提供安全性的协议。利用 SSH 协议可以有效防止远程管理过程中的信息泄露。

其特点是:速度快,使用稳定、加密性高。缺点:1、无法全局代理(除非借助第三方软件);2、使用稍复杂。

支持平台:WindowsMac OSAndroidLinux

IPSec/IKEv2"Internet 协议安全性 (IPSec)"是一种开放标准的框架结构,通过使用加密的安全服务以确保在 Internet 协议 (IP) 网络上进行保密而安全的通讯。

其特点是:连接速度快、稳定性高。缺点:使用稍复杂。

支持平台:Windows 7以上、Mac OSiPhoneAndroid 4.0以上。