作為一項(xiàng)成熟的異地聯(lián)網(wǎng)技術(shù)，用寬帶線路組建VPN已經(jīng)為越來越多企業(yè)和政府機(jī)關(guān)單位所認(rèn)可并應(yīng)用，因?yàn)閷拵Ь€路組建VPN簡(jiǎn)單方便、成本低廉、安全性高，相對(duì)于其它專網(wǎng)組建技術(shù)來說，有很大的優(yōu)勢(shì)。然而，VPN管理的問題，值得我們探索。

一．VPN管理需求

由于國(guó)內(nèi)的寬帶線路基本都使用動(dòng)態(tài)IP，因此用戶在選擇VPN技術(shù)時(shí)，必須要考慮到管理上的要求。那么對(duì)于國(guó)內(nèi)大量沒有條件申請(qǐng)專線和靜態(tài)IP地址的用戶，各地的VPN設(shè)備如何快速尋址并進(jìn)行管理呢？

二．VPN管理方式比較

行業(yè)內(nèi)現(xiàn)有的VPN解決方案中的動(dòng)態(tài)IP管理技術(shù)，主要有以下幾種：

動(dòng)態(tài)域名解析系統(tǒng)（DDNS）,目錄服務(wù)技術(shù)等等。

其中，基于動(dòng)態(tài)域名解析系統(tǒng)是將用戶IP地址的變化動(dòng)態(tài)地映射到相應(yīng)的服務(wù)器中，進(jìn)行及時(shí)的自動(dòng)更新。DDNS一般由兩部分構(gòu)成：第一部分是服務(wù)器端程序，位于服務(wù)商的主機(jī)上，另一部分是客戶端程序，就運(yùn)行在廣大用戶的主機(jī)上。服務(wù)器端只負(fù)責(zé)接收和更新，不負(fù)責(zé)反饋是否收到并命令客戶端重發(fā)，因此是一個(gè)純單向傳輸?shù)南到y(tǒng)。仔細(xì)研究我們發(fā)現(xiàn)，這種DDNS的管理方式，有以下幾個(gè)缺點(diǎn)：

（1）可靠性差

DDNS方式中，用戶新的IP地址在自動(dòng)提交失敗后，不能自動(dòng)補(bǔ)充提交，必須人工干預(yù)。

（2）IP更新速度慢

動(dòng)態(tài)DNS的檢測(cè)與提交周期，一般是在5~30分鐘，實(shí)時(shí)性較差。通常的動(dòng)態(tài)DNS服務(wù)器都將更新頻率設(shè)置的很低，以避免服務(wù)器超載，同時(shí)，對(duì)惡意攻擊的抵抗能力也很差，系統(tǒng)非常脆弱。

（3）無法進(jìn)行有效管理

動(dòng)態(tài)DNS技術(shù)是單向的信息提交，管理服務(wù)器無法對(duì)動(dòng)態(tài)IP客戶端進(jìn)行有效管理。當(dāng)出現(xiàn)異常情況，比如病毒泛濫或者黑客入侵，需要將一些節(jié)點(diǎn)從VPN網(wǎng)絡(luò)中剝離的時(shí)候，使用動(dòng)態(tài)DNS系統(tǒng)的管理員，需要登錄到每一個(gè)節(jié)點(diǎn)上去操作，煩瑣而費(fèi)時(shí)。

另外，其它Web管理方式諸如在Web頁(yè)上啟動(dòng)一個(gè)程序，由這個(gè)網(wǎng)頁(yè)來實(shí)現(xiàn)動(dòng)態(tài)IP地址檢索。此策略同樣由于多臺(tái)服務(wù)器維護(hù)多個(gè)用戶帳號(hào)的做法難以實(shí)現(xiàn)及時(shí)的更新，也給管理帶來很大的困難。

為此需要一種更加合理的VPN管理技術(shù)，有效解決其管理問題。近年來，成熟的目錄服務(wù)技術(shù)以其尋址快、穩(wěn)定可靠等優(yōu)勢(shì)，深受眾多VPN用戶青睞。

三．目錄服務(wù)

目錄服務(wù)是一個(gè)代表網(wǎng)絡(luò)用戶及資源的基于對(duì)象的數(shù)據(jù)庫(kù)，主要用于存放端用戶的信息及網(wǎng)絡(luò)配置數(shù)據(jù)，便于VPN管理人員和應(yīng)用程序?qū)π畔⑦M(jìn)行添加、修改和查詢。從而每一臺(tái)VPN設(shè)備都能夠維護(hù)自己的內(nèi)部數(shù)據(jù)庫(kù)，存儲(chǔ)每一名用戶的信息，包括用戶名、密碼以及撥號(hào)接入的屬性等。它既可以運(yùn)行于由VPN提供控制的公用網(wǎng)的某一部分，也可以作為運(yùn)行 于公司網(wǎng)絡(luò)的一個(gè)平臺(tái)。有專家預(yù)測(cè)，未來VPN的最為主要的部件是目錄服務(wù)器，目錄服務(wù)器決定了未來VPN的發(fā)展方向。

1．目錄服務(wù)協(xié)議原理

目錄服務(wù)方式使用VPN運(yùn)營(yíng)商提供的在公網(wǎng)上的多組目錄服務(wù)器集群,通過目錄協(xié)議交換設(shè)備相關(guān)信息，從而保障客戶VPN網(wǎng)絡(luò)的穩(wěn)定連接。

其技術(shù)工作原理如下圖：

(1) 目錄服務(wù)器：由放置于異地多個(gè)運(yùn)營(yíng)商機(jī)房的目錄服務(wù)器集群組成，完成用戶VPN終端身份的認(rèn)證、動(dòng)態(tài)IP地址交換、統(tǒng)計(jì)管理、系統(tǒng)管理及各節(jié)點(diǎn)License分發(fā)等功能。

(2) Group(組)：對(duì)應(yīng)于特定的用戶，如A公司就是一個(gè)組的概念，同一用戶有多個(gè)分布在不同地域的辦事機(jī)構(gòu)，它們從屬于同一個(gè)組，只有同組的VPN設(shè)備才能建立VPN通道。

(3) Site(節(jié)點(diǎn))：對(duì)應(yīng)于用戶分散在不同地域的某臺(tái)VPN終端設(shè)備，如A公司總部在上海，分公司在北京，則可以用A公司的上海節(jié)點(diǎn)、A公司的北京節(jié)點(diǎn)來標(biāo)識(shí)這兩臺(tái)VPN終端。另外，同組內(nèi)節(jié)點(diǎn)不可重名，一個(gè)節(jié)點(diǎn)也只能從屬于一個(gè)組，不能跨多個(gè)組。

(4) License：每臺(tái)VPN終端設(shè)備出廠時(shí)都必須內(nèi)置一串由目錄服務(wù)器隨機(jī)生成的License，License和組名、節(jié)點(diǎn)名共同構(gòu)成該設(shè)備的唯一身份信息，缺一不可。

上述目錄服務(wù)管理方式，能有效管理VPN系統(tǒng)，網(wǎng)絡(luò)管理人員能隨時(shí)跟蹤和掌握以下情況：系統(tǒng)的使用者、連接數(shù)目、異常活動(dòng)、出錯(cuò)情況，以及其他可能預(yù)示出現(xiàn)設(shè)備故障或網(wǎng)絡(luò)受到攻擊的現(xiàn)象。日志記錄和實(shí)時(shí)信息對(duì)審計(jì)和報(bào)警或其它錯(cuò)誤提示具有很大幫助。對(duì)設(shè)備進(jìn)行實(shí)時(shí)監(jiān)測(cè)可以在系統(tǒng)出現(xiàn)問題時(shí)及時(shí)向管理員發(fā)出警告。一臺(tái)VPN目錄服務(wù)器能夠提供以上所有信息信息以及對(duì)數(shù)據(jù)進(jìn)行正確處理所需要的時(shí)間日志、報(bào)告和數(shù)據(jù)存儲(chǔ)設(shè)備。

這種使用網(wǎng)絡(luò)目錄的方式，也改變了傳統(tǒng)網(wǎng)絡(luò)的訪問點(diǎn)，與路由器不同的是，這些載有整個(gè)公司用戶相關(guān)資料及網(wǎng)絡(luò)配置的目錄可置于用戶或網(wǎng)絡(luò)運(yùn)行中心NOC的安全區(qū)內(nèi)。該安全區(qū)是進(jìn)一步開發(fā)VPN的基礎(chǔ)，它主要由策略服務(wù)器與認(rèn)證服務(wù)器組成。策略服務(wù)器根據(jù)公司的規(guī)則制定訪問策略，認(rèn)證服務(wù)器則負(fù)責(zé)公共密鑰的認(rèn)證及其他有關(guān)安全任務(wù)，網(wǎng)絡(luò)具有了上述安全機(jī)制、網(wǎng)絡(luò)目錄及QoS的保證，端用戶就可以建立用于遠(yuǎn)程教育、遠(yuǎn)程醫(yī)療及虛擬會(huì)議的VPN連接了。

四．目錄服務(wù)技術(shù)優(yōu)勢(shì)

1．穩(wěn)定性優(yōu)勢(shì)

目錄服務(wù)是靈活的VPN管理方式,它使用ICEFLOW可靠的目錄服務(wù)協(xié)議提供IP地址的交換，避免了使用動(dòng)態(tài)DNS方式中可靠性無法保證的問題，由于使用的是專有VPN服務(wù)的協(xié)議,其高可靠性和反應(yīng)時(shí)間保證了客戶VPN網(wǎng)絡(luò)的快速建立及穩(wěn)定。

2．安全性優(yōu)勢(shì)

處于同一組內(nèi)的設(shè)備內(nèi)置相同的組名，只有通過嚴(yán)格的組密碼驗(yàn)證方可下載同組其他設(shè)備的IP地址，建立VPN通道，而不是同一組內(nèi)的設(shè)備由于組名不一致，無法通過組驗(yàn)證，也就自然無法建立通道，所以就不會(huì)出現(xiàn)用戶A的節(jié)點(diǎn)與用戶B的節(jié)點(diǎn)建立VPN的情況。另外，由于一個(gè)節(jié)點(diǎn)只能從屬于一個(gè)組，不存在跨組建立VPN通道的情況，杜絕了非法用戶通過加入多個(gè)組竊取非授權(quán)訪問的問題。

3． 管理性優(yōu)勢(shì)

目錄服務(wù)器的多級(jí)管理界面，可提供系統(tǒng)管理員、管理員和用戶級(jí)登陸，由各級(jí)管理員對(duì)其權(quán)限范圍內(nèi)的VPN終端進(jìn)行集中式管理，包括增加、刪除節(jié)點(diǎn)、更換設(shè)備時(shí)清除目錄服務(wù)器綁定的節(jié)點(diǎn)硬件特征信息，操作界面簡(jiǎn)單便利，一目了然。

4． 靈活性優(yōu)勢(shì)

目錄服務(wù)技術(shù)，保證了VPN網(wǎng)絡(luò)的伸縮方便，添加新節(jié)點(diǎn)時(shí)，只需在同組內(nèi)新增節(jié)點(diǎn)，在VPN終端上配置相應(yīng)的license信息即可將該節(jié)點(diǎn)無縫納入VPN網(wǎng)絡(luò)中，不影響原有VPN的正常使用；而鏈路拆除時(shí)，只需目錄服務(wù)器一鍵式斷開即可輕松地將節(jié)點(diǎn)脫離VPN網(wǎng)絡(luò)，可隨時(shí)恢復(fù)使用，也可一鍵啟用。

并且，目錄服務(wù)技術(shù)可支持多種網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，如星型、全網(wǎng)狀及任意結(jié)構(gòu)，如客戶的網(wǎng)絡(luò)均具有動(dòng)態(tài)的公網(wǎng)IP，目錄服務(wù)技術(shù)可實(shí)現(xiàn)全連通VPN連接，任意兩個(gè)分支之間的數(shù)據(jù)均可以直接通訊而無需經(jīng)過中心點(diǎn)轉(zhuǎn)發(fā),這樣一來可以大大降低中心節(jié)點(diǎn)的負(fù)載，提高了數(shù)據(jù)傳輸?shù)男省?

作為國(guó)內(nèi)首家使用“目錄服務(wù)”技術(shù)的VPN廠商，上海冰峰在此技術(shù)上率先達(dá)到了國(guó)際水平，ICEFLOW VPN的目錄服務(wù)管理，其愈合速度達(dá)到了10S以內(nèi)，有效保證了VPN的穩(wěn)定性以及可管理性。相信目錄服務(wù)管理功能的VPN專網(wǎng)，將會(huì)引領(lǐng)VPN未來發(fā)展的潮流，它也必將為廣大客戶提供更為完善的服務(wù)。