中森食博汇乳鸽:ADSL的VPN解决方案,动态IP上的VPN

来源:百度文库 编辑:偶看新闻 时间:2024/03/29 10:24:27
方案一:无线

    无线桥接作远距离联网,目前也算是热门技术之一。在大功率无线网桥和高增益的定向天线组合下,传输跨度有可能达50公里。但是这个有一个重要的前提条件,就是定向天线要可以“对视”,中间没有任何阻隔。如今城市中高楼大厦林立,就算现在可视,保不准哪一天,一座座突兀的大楼就挡在视线通路上,这个无线桥接的方案就得不到保证。

    方案二:有线

    有线方案对于12公里的距离来说肯定只能布单模光纤了,这就更费工费时费钱了。可以说想都不用想。

    方案三:互联网+VPN

    互联网可以说是公用的广域网,已经有众多的电信运营商建立起四通八达的长距离网络,这为我们企业利用电信公司的网络来实现企业总分公司联网提供了可能。特别是由于现在宽带接入互联网盛行,费用较为低廉,极大地方便我们企业总分机构的联网要求。只要我们选择合适的技术,就可以实现远距离的总分公司局域网之间的联网。

    这个合适的技术就是VPN(虚拟专网)。VPN运用特殊的“隧道技术”在互联网上将分处两个异地的计算机联网起来,就象同处一个局域网那样。这样就可以避免使用电信公司的广域网专线这种昂贵的联网方式,只要宽带接入方式就可以联网。所以说,以宽带接入方式接入互联网来做公司机构联网在技术上是可行,费用上经济。

    从上面分析,我们可以得出结论,通过互联网+VPN实现企业机构的远距离互联是目前企业联网的最佳方案。但在具体的实现上,我们得采用合适的技术才能达到。这些技术将包括:动态IP、VPN、ADSL等。

    在动态IP上实现VPN

    传统的基于互联网的VPN解决方案需要VPN服务器和客户端两端有固定IP,或至少服务器端要有固定IP,客户端用动态IP。固定IP的费用将使用宽带接入的费用急剧上升。这给小企业增加了负担,也限制了VPN的应用。这就是使人们想到用动态IP来实VPN联网的可能。有需求就会用新的解决方案出现,那就是“基于动态IP宽带接入的VPN解决方案”,这使财力有限,VPN联网的规模也不是很大的小企业也可以建设VPN联网。VPN服务器没有固定IP,每次从拨号得到的IP地址都不一样,要使VPN客户端能找到VPN服务器,就须解决VPN服务器的IP寻址问题,也就是如何使动态的IP与固定的服务器和客户端相关联,“固化”它们的关系,这是基于动态IP的VPN实现的关键技术所在。

    针对动态IP的VPN应用环境,VPN设备制造商提供两种有代表性的技术解决方案,分别是:DDNS动态VPN和目录服务动态VPN。

    1.DDNS 动态VPN

    玩过花生壳的朋友都知道动态域名解析技术(DDNS),我们可以向提供DDNS服务的服务提供商申请一个二级域名、用户名和密码,并在使用动态IP接入Internet的设备(宽带路由器、VPN防火墙、电脑)设置这个静态的域名和用户名、密码等,当拨号接入后,互联网上的用户就可通过这个域名来访问这台设备,而不管它当时所得到的动态IP是什么。

    VPN设备(包括服务器端和客户端)要通过DDNS服务来建立VPN通信,也要在VPN服务器和VPN客户端安装DDNS客户端软件,并填入各自申请到的域名、用户名和密码。当它们的动态IP地址变更后,DDNS客户端软件会自动在DDNS服务器上通过验证来更新自己的当前IP地址。因此,这时当VPN客户端向VPN服务器发起呼叫,要求建立VPN虚拟专网连接时,由DDNS将VPN服务器的域名解析为VPN服务器的当前合法IP地址,这样就可以建立VPN隧道连接。

    目前在市场上宣称能使用动态IP来建立VPN的VPN设备大部分是基于DDNS技术来实现动态IP的“固化”,这也是一种最常见的动态VPN解决方案,也是最廉价的VPN方案。这些VPN设备本身就是网关设备,执行宽带共享接入的NAT功能,它们多是在机子内部集成了某个第三方DDNS服务提供商的客户端软件。如网件(NETGEAR)公司的VPN系列产品FVL328 VPN防火墙就集成了网域公司的花生壳DDNS客户端。

    基于DDNS的VPN简便易行,但可靠性无法保证,如果DDNS服务提供商停止服务或服务不稳定,会给用户的VPN无法运行。

    2.目录服务动态VPN

    目录服务技术通过分布在各地电信机房的目录服务器,在全国范围组成了一个目录服务器集群。这些服务器存储了各个VPN设备的硬件信息,用户信息,当VPN设备开机拨号接入互联网时,它获得的动态IP会自动发往目录服务器,并存在目录服务器的数据库里,与它需要建立VPN的同组的VPN设备也是一样,同时VPN设备会定期将属于自己一个组的其他成员的IP地址下载到本地,这样就可依据各自当前的公网IP建立VPN。

    以上海冰峰网络的目录服务技术为例,当冰峰的VPN设备启动时,首先进行PPPOE拨号,拨号成功后,即可获取当前使用的公网IP,随后自动搜索其内置的目录服务器列表,经冰峰独有的优先路径算法后,与指定的目录服务器进行数据交换,数据中主要包括VPN设备的身份认证,IP地址登记及IP地址下载三部分

    (1)身份认证:首先,目录服务器会VPN设备的身份进行认证,与目录服务器内置的设备信息库比对VPN设备提交的组信息、节点信息、license信息及硬件特征信息,比对一致则通过身份验证。

    (2)IP地址登记:确认了身份后,把该VPN设备的IP地址记录到目录服务器的地址库,假设与该VPN设备同组的其他设备也完成了身份验证和地址提交工作,那么,在目录服务器的地址库中就保存了所有VPN终端当前的IP地址。

    (3)IP地址下载:下载与该VPN设备同组的其他设备的IP地址,这样,这个VPN设备就知道了它同组的其他所有设备的IP地址。

    在此之后,每次有设备IP地址变动是都会通知目录服务器,目录服务器再将变动通知同组的其他设备,这样,保证了每台设备上一直保存着最新的IP列表,同时IP地址的同步保证了VPN网络在发生异常时,最多10秒内自动愈合。

    目前有国内有两家公司生产的VPN设备采用目录服务技术来实现基于动态IP的VPN,它们是上海冰锋网络公司(如:R5000H VPN路由器 报价:27000 元)和深圳迅博信息技术有限公司(如:NG500 VPN网关)。

    这种通过目录服务器进行的IP地址交换,可有效避免使用动态域名服务方式产生的可靠性无法保证和恢复时间长的问题。

    拨号ADSL的VPN解决方案

    目前,通过ADSL虚拟拨号的宽带接入互联网方式因为相对高速和经济深受国内广大企业用户所喜爱和采用,所以动态VPN方案建立在拨号ADSL上具有普遍性和代表性,这样的方案也更具现实意义,因此本文仅介绍基于拨号ADSL的动态VPN。

    当前,部分企业分支机构PC机较少,甚至仅有一台,如果针对单机投入硬件VPN设备,对于某些用户来讲,无疑不必要,资金投入也会带来负担,而这些用户同样需要接入总部实现远程系统互联。就如同本文开头网友提的问题那样,需要一台在远距离的PC与总公司联网。这样的需求,我们可选择即可提供VPN硬件设备,也提供VPN客户端软件的的厂家的产品,以VPN硬件设备来作为VPN服务器端,客户端软件作为VPN客户端。下面我们将分别推介上述两种动态IP VPN实现方案的搭配方案,都是“VPN设备+VPN客户端软件”组合。

    1.基于DDNS的动态VPN案例

    (1)硬件设备——网件FVS338 VPN防火墙(报价:4900元)(图1)


图1

    FVS338是一款多功能、高性价比的VPN防火墙产品,它集路由器、交换机、VPN、防火墙于一身。266 MHz处理器,16Mb内存,32Mb 闪存。8个10/100 Mbps自适应LAN口,1个10/100 Mbps自适应WAN口。支持50 个专用IPSec VPN 隧道。支持静态和动态RIP v1、RIPv2路由。支持高级的状态包检测(SPI)防火墙技术。支持为动态IP地址的VPN连接的完整域名(FQDN)技术。美国网件公司创新地采用FQDN技术,并与国内著名花生壳动态域名服务进行捆绑,用户可以通过花生壳动态域名解析服务,利用动态IP地址的ADSL接入,大幅降低组建VPN网络的成本,成为国内中小型商用网络多分支机构VPN解决方案提供商的首选技术。其它协议和功能还包括:NAT 、ICMP、PPPoE、DHCP、DMZ等等。可以说,这台设备

    (2)软件—— NETGEAR VPN Client软件 (图2)

图2

    NETGEAR的 Prosafe VPN 客户端软件提供了简易的设置和无缝的兼容所有的 NETGEAR VPN 防火墙产品线。也能兼容其他业界领先的 IPsec VPN 解决方案。VPN 客户端支持 VPN 透传模式 , 可以穿越的网络地址转换 (NAT) 设备。

    网络拓朴图如下:(图3)

图3

    2.基于目录服务的动态VPN案例

    (1)硬件设备——冰峰网络R800 VPN路由器(报价:6250元)(图4)

图4

    R800是上海冰峰网络根据小型企业用户的实际需求推出的低价格的ICEFLOW系列产品,专门针对小型企业、电脑数量较少的小型分支机构而研发设计。它同时集成了防火墙、传输和加密等功能,可以在全动态IP的广域网络上设置VPN,同时支持ADSL、CABLEMODEM、光纤、固定IP等多种接入方式。1.5万个并发会话连接数,每秒新建会话数2000个,支持50个VPN通道数。200MHz CPU,32 M内存,32 M闪存。1个100 M WAN口,1个100 M LAN口,1个Console口。支持冰峰独特的“指纹认证”目录服务安全认证,通过ICEFLOW的可靠协议进行IP地址交换。通过ICEFLOW的可靠协议进行动态IP地址交换。内建基本动态包过滤防火墙,支持静态路由。

    (2)软件—— ICEFLOW 安全软件包 (图5)

图5

    冰峰网自研出符合PPTP和SSL协议标准的软件客户端以适用仅有一台和移动用户需要与总部建立VPN的应用环境。能够与VPN路由器网关互通,支持各种网络接入方式,支持NAT穿越。软件运行对用户表现为全透明,用户的其网络配置也不必作任何改动,只需在客户端PC机上安装客户端程序。并可与身份认证ISK技术配合使用,为单机和用户移动接入提供更强的安全性。无需路由器有固定ip,客户端可以通过目录服务协议进行稳定的ip解析。可自动下载路由器上的路由。

    网络拓朴图如下:(图6)

图6

    总结:

    对于财力有限的小型企业的总分机构之间的远距离联网,基于动态IP宽带接入的VPN组网无疑是最佳、最经济的方式。它表现在VPN设备成本较低,线路的费用低廉,设备的设置维护相对容易,都是基于图形可视界面。而建立的VPN并不打折扣,可以支持企业级的IPSec VPN。因此在经济、安全方面都得到保证。多数的VPN设备其实本身就是宽带接入设备,可承担企业的互联网接入,还有防火墙功能,一机多用,关键的是这样的设备价位也不是高高在上。因此企业在采购这类设备就注意不要重复投资,最好一步到位,购买VPN防火墙或VPN路由器。本文进到的两个案例中,笔者认为第一个更适合本文开头网友的需求,它的总成本为少一些,并且网件的最新固件支持国内著名的DDNS服务提供商——网域科技的花生壳客户端软件,根据笔者多年用花生壳的经验,它的运行还是比较稳定的,值得信赖。