作為一項成熟的異地聯網技術，用寬帶線路組建VPN已經為越來越多企業和政府機關單位所認可并應用，因為寬帶線路組建VPN簡單方便、成本低廉、安全性高，相對于其它專網組建技術來說，有很大的優勢。然而，VPN管理的問題，值得我們探索。

一．VPN管理需求

由于國內的寬帶線路基本都使用動態IP，因此用戶在選擇VPN技術時，必須要考慮到管理上的要求。那么對于國內大量沒有條件申請專線和靜態IP地址的用戶，各地的VPN設備如何快速尋址并進行管理呢？

二．VPN管理方式比較

行業內現有的VPN解決方案中的動態IP管理技術，主要有以下幾種：

動態域名解析系統（DDNS）,目錄服務技術等等。

其中，基于動態域名解析系統是將用戶IP地址的變化動態地映射到相應的服務器中，進行及時的自動更新。DDNS一般由兩部分構成：第一部分是服務器端程序，位于服務商的主機上，另一部分是客戶端程序，就運行在廣大用戶的主機上。服務器端只負責接收和更新，不負責反饋是否收到并命令客戶端重發，因此是一個純單向傳輸的系統。仔細研究我們發現，這種DDNS的管理方式，有以下幾個缺點：

（1）可靠性差

DDNS方式中，用戶新的IP地址在自動提交失敗后，不能自動補充提交，必須人工干預。

（2）IP更新速度慢

動態DNS的檢測與提交周期，一般是在5~30分鐘，實時性較差。通常的動態DNS服務器都將更新頻率設置的很低，以避免服務器超載，同時，對惡意攻擊的抵抗能力也很差，系統非常脆弱。

（3）無法進行有效管理

動態DNS技術是單向的信息提交，管理服務器無法對動態IP客戶端進行有效管理。當出現異常情況，比如病毒泛濫或者黑客入侵，需要將一些節點從VPN網絡中剝離的時候，使用動態DNS系統的管理員，需要登錄到每一個節點上去操作，煩瑣而費時。

另外，其它Web管理方式諸如在Web頁上啟動一個程序，由這個網頁來實現動態IP地址檢索。此策略同樣由于多臺服務器維護多個用戶帳號的做法難以實現及時的更新，也給管理帶來很大的困難。

為此需要一種更加合理的VPN管理技術，有效解決其管理問題。近年來，成熟的目錄服務技術以其尋址快、穩定可靠等優勢，深受眾多VPN用戶青睞。

三．目錄服務

目錄服務是一個代表網絡用戶及資源的基于對象的數據庫，主要用于存放端用戶的信息及網絡配置數據，便于VPN管理人員和應用程序對信息進行添加、修改和查詢。從而每一臺VPN設備都能夠維護自己的內部數據庫，存儲每一名用戶的信息，包括用戶名、密碼以及撥號接入的屬性等。它既可以運行于由VPN提供控制的公用網的某一部分，也可以作為運行 于公司網絡的一個平臺。有專家預測，未來VPN的最為主要的部件是目錄服務器，目錄服務器決定了未來VPN的發展方向。

1．目錄服務協議原理

目錄服務方式使用VPN運營商提供的在公網上的多組目錄服務器集群,通過目錄協議交換設備相關信息，從而保障客戶VPN網絡的穩定連接。

其技術工作原理如下圖：

(1) 目錄服務器：由放置于異地多個運營商機房的目錄服務器集群組成，完成用戶VPN終端身份的認證、動態IP地址交換、統計管理、系統管理及各節點License分發等功能。

(2) Group(組)：對應于特定的用戶，如A公司就是一個組的概念，同一用戶有多個分布在不同地域的辦事機構，它們從屬于同一個組，只有同組的VPN設備才能建立VPN通道。

(3) Site(節點)：對應于用戶分散在不同地域的某臺VPN終端設備，如A公司總部在上海，分公司在北京，則可以用A公司的上海節點、A公司的北京節點來標識這兩臺VPN終端。另外，同組內節點不可重名，一個節點也只能從屬于一個組，不能跨多個組。

(4) License：每臺VPN終端設備出廠時都必須內置一串由目錄服務器隨機生成的License，License和組名、節點名共同構成該設備的唯一身份信息，缺一不可。

上述目錄服務管理方式，能有效管理VPN系統，網絡管理人員能隨時跟蹤和掌握以下情況：系統的使用者、連接數目、異常活動、出錯情況，以及其他可能預示出現設備故障或網絡受到攻擊的現象。日志記錄和實時信息對審計和報警或其它錯誤提示具有很大幫助。對設備進行實時監測可以在系統出現問題時及時向管理員發出警告。一臺VPN目錄服務器能夠提供以上所有信息信息以及對數據進行正確處理所需要的時間日志、報告和數據存儲設備。

這種使用網絡目錄的方式，也改變了傳統網絡的訪問點，與路由器不同的是，這些載有整個公司用戶相關資料及網絡配置的目錄可置于用戶或網絡運行中心NOC的安全區內。該安全區是進一步開發VPN的基礎，它主要由策略服務器與認證服務器組成。策略服務器根據公司的規則制定訪問策略，認證服務器則負責公共密鑰的認證及其他有關安全任務，網絡具有了上述安全機制、網絡目錄及QoS的保證，端用戶就可以建立用于遠程教育、遠程醫療及虛擬會議的VPN連接了。

四．目錄服務技術優勢

1．穩定性優勢

目錄服務是靈活的VPN管理方式,它使用ICEFLOW可靠的目錄服務協議提供IP地址的交換，避免了使用動態DNS方式中可靠性無法保證的問題，由于使用的是專有VPN服務的協議,其高可靠性和反應時間保證了客戶VPN網絡的快速建立及穩定。

2．安全性優勢

處于同一組內的設備內置相同的組名，只有通過嚴格的組密碼驗證方可下載同組其他設備的IP地址，建立VPN通道，而不是同一組內的設備由于組名不一致，無法通過組驗證，也就自然無法建立通道，所以就不會出現用戶A的節點與用戶B的節點建立VPN的情況。另外，由于一個節點只能從屬于一個組，不存在跨組建立VPN通道的情況，杜絕了非法用戶通過加入多個組竊取非授權訪問的問題。

3． 管理性優勢

目錄服務器的多級管理界面，可提供系統管理員、管理員和用戶級登陸，由各級管理員對其權限范圍內的VPN終端進行集中式管理，包括增加、刪除節點、更換設備時清除目錄服務器綁定的節點硬件特征信息，操作界面簡單便利，一目了然。

4． 靈活性優勢

目錄服務技術，保證了VPN網絡的伸縮方便，添加新節點時，只需在同組內新增節點，在VPN終端上配置相應的license信息即可將該節點無縫納入VPN網絡中，不影響原有VPN的正常使用；而鏈路拆除時，只需目錄服務器一鍵式斷開即可輕松地將節點脫離VPN網絡，可隨時恢復使用，也可一鍵啟用。

并且，目錄服務技術可支持多種網絡拓撲結構，如星型、全網狀及任意結構，如客戶的網絡均具有動態的公網IP，目錄服務技術可實現全連通VPN連接，任意兩個分支之間的數據均可以直接通訊而無需經過中心點轉發,這樣一來可以大大降低中心節點的負載，提高了數據傳輸的效率。

作為國內首家使用“目錄服務”技術的VPN廠商，上海冰峰在此技術上率先達到了國際水平，ICEFLOW VPN的目錄服務管理，其愈合速度達到了10S以內，有效保證了VPN的穩定性以及可管理性。相信目錄服務管理功能的VPN專網，將會引領VPN未來發展的潮流，它也必將為廣大客戶提供更為完善的服務。