ADSL的VPN解决方案,动态IP上的VPN
基于DDNS的VPN简便易行,但可靠性无法保证,如果DDNS服务提供商停止服务或服务不稳定,会给用户的VPN无法运行。
2.目录服务动态VPN
目录服务技术通过分布在各地电信机房的目录服务器,在全国范围组成了一个目录服务器集群。这些服务器存储了各个VPN设备的硬件信息,用户信息,当VPN设备开机拨号接入互联网时,它获得的动态IP会自动发往目录服务器,并存在目录服务器的数据库里,与它需要建立VPN的同组的VPN设备也是一样,同时VPN设备会定期将属于自己一个组的其他成员的IP地址下载到本地,这样就可依据各自当前的公网IP建立VPN。
以上海冰峰网络的目录服务技术为例,当冰峰的VPN设备启动时,首先进行PPPOE拨号,拨号成功后,即可获取当前使用的公网IP,随后自动搜索其内置的目录服务器列表,经冰峰独有的优先路径算法后,与指定的目录服务器进行数据交换,数据中主要包括VPN设备的身份认证,IP地址登记及IP地址下载三部分
(1)身份认证:首先,目录服务器会VPN设备的身份进行认证,与目录服务器内置的设备信息库比对VPN设备提交的组信息、节点信息、license信息及硬件特征信息,比对一致则通过身份验证。
(2)IP地址登记:确认了身份后,把该VPN设备的IP地址记录到目录服务器的地址库,假设与该VPN设备同组的其他设备也完成了身份验证和地址提交工作,那么,在目录服务器的地址库中就保存了所有VPN终端当前的IP地址。
(3)IP地址下载:下载与该VPN设备同组的其他设备的IP地址,这样,这个VPN设备就知道了它同组的其他所有设备的IP地址。
在此之后,每次有设备IP地址变动是都会通知目录服务器,目录服务器再将变动通知同组的其他设备,这样,保证了每台设备上一直保存着最新的IP列表,同时IP地址的同步保证了VPN网络在发生异常时,最多10秒内自动愈合。
目前有国内有两家公司生产的VPN设备采用目录服务技术来实现基于动态IP的VPN,它们是上海冰锋网络公司(如:R5000H VPN路由器 报价:27000 元)和深圳迅博信息技术有限公司(如:NG500 VPN网关)。
这种通过目录服务器进行的IP地址交换,可有效避免使用动态域名服务方式产生的可靠性无法保证和恢复时间长的问题。
拨号ADSL的VPN解决方案
目前,通过ADSL虚拟拨号的宽带接入互联网方式因为相对高速和经济深受国内广大企业用户所喜爱和采用,所以动态VPN方案建立在拨号ADSL上具有普遍性和代表性,这样的方案也更具现实意义,因此本文仅介绍基于拨号ADSL的动态VPN。
当前,部分企业分支机构PC机较少,甚至仅有一台,如果针对单机投入硬件VPN设备,对于某些用户来讲,无疑不必要,资金投入也会带来负担,而这些用户同样需要接入总部实现远程系统互联。就如同本文开头网友提的问题那样,需要一台在远距离的PC与总公司联网。这样的需求,我们可选择即可提供VPN硬件设备,也提供VPN客户端软件的的厂家的产品,以VPN硬件设备来作为VPN服务器端,客户端软件作为VPN客户端。下面我们将分别推介上述两种动态IP VPN实现方案的搭配方案,都是“VPN设备+VPN客户端软件”组合。
1.基于DDNS的动态VPN案例
(1)硬件设备——网件FVS338 VPN防火墙(报价:4900元)(图1)
 |
| 图1 |
FVS338是一款多功能、高性价比的VPN防火墙产品,它集路由器、交换机、VPN、防火墙于一身。266 MHz处理器,16Mb内存,32Mb 闪存。8个10/100 Mbps自适应LAN口,1个10/100 Mbps自适应WAN口。支持50 个专用IPSec VPN 隧道。支持静态和动态RIP v1、RIPv2路由。支持高级的状态包检测(SPI)防火墙技术。支持为动态IP地址的VPN连接的完整域名(FQDN)技术。美国网件公司创新地采用FQDN技术,并与国内著名花生壳动态域名服务进行捆绑,用户可以通过花生壳动态域名解析服务,利用动态IP地址的ADSL接入,大幅降低组建VPN网络的成本,成为国内中小型商用网络多分支机构VPN解决方案提供商的首选技术。其它协议和功能还包括:NAT 、ICMP、PPPoE、DHCP、DMZ等等。可以说,这台设备
最新相关文章发表评论