作為一項(xiàng)成熟的異地聯(lián)網(wǎng)技術(shù),用寬帶線路組建VPN已經(jīng)為越來越多企業(yè)和政府機(jī)關(guān)單位所認(rèn)可并應(yīng)用,因?yàn)閷拵Ь€路組建VPN簡(jiǎn)單方便、成本低廉、安全性高,相對(duì)于其它專網(wǎng)組建技術(shù)來說,有很大的優(yōu)勢(shì)。然而,VPN管理的問題,值得我們探索。
一.VPN管理需求
由于國(guó)內(nèi)的寬帶線路基本都使用動(dòng)態(tài)IP,因此用戶在選擇VPN技術(shù)時(shí),必須要考慮到管理上的要求。那么對(duì)于國(guó)內(nèi)大量沒有條件申請(qǐng)專線和靜態(tài)IP地址的用戶,各地的VPN設(shè)備如何快速尋址并進(jìn)行管理呢?
二.VPN管理方式比較
行業(yè)內(nèi)現(xiàn)有的VPN解決方案中的動(dòng)態(tài)IP管理技術(shù),主要有以下幾種:
動(dòng)態(tài)域名解析系統(tǒng)(DDNS),目錄服務(wù)技術(shù)等等。
其中,基于動(dòng)態(tài)域名解析系統(tǒng)是將用戶IP地址的變化動(dòng)態(tài)地映射到相應(yīng)的服務(wù)器中,進(jìn)行及時(shí)的自動(dòng)更新。DDNS一般由兩部分構(gòu)成:第一部分是服務(wù)器端程序,位于服務(wù)商的主機(jī)上,另一部分是客戶端程序,就運(yùn)行在廣大用戶的主機(jī)上。服務(wù)器端只負(fù)責(zé)接收和更新,不負(fù)責(zé)反饋是否收到并命令客戶端重發(fā),因此是一個(gè)純單向傳輸?shù)南到y(tǒng)。仔細(xì)研究我們發(fā)現(xiàn),這種DDNS的管理方式,有以下幾個(gè)缺點(diǎn):
(1)可靠性差
DDNS方式中,用戶新的IP地址在自動(dòng)提交失敗后,不能自動(dòng)補(bǔ)充提交,必須人工干預(yù)。
(2)IP更新速度慢
動(dòng)態(tài)DNS的檢測(cè)與提交周期,一般是在5~30分鐘,實(shí)時(shí)性較差。通常的動(dòng)態(tài)DNS服務(wù)器都將更新頻率設(shè)置的很低,以避免服務(wù)器超載,同時(shí),對(duì)惡意攻擊的抵抗能力也很差,系統(tǒng)非常脆弱。
(3)無法進(jìn)行有效管理
動(dòng)態(tài)DNS技術(shù)是單向的信息提交,管理服務(wù)器無法對(duì)動(dòng)態(tài)IP客戶端進(jìn)行有效管理。當(dāng)出現(xiàn)異常情況,比如病毒泛濫或者黑客入侵,需要將一些節(jié)點(diǎn)從VPN網(wǎng)絡(luò)中剝離的時(shí)候,使用動(dòng)態(tài)DNS系統(tǒng)的管理員,需要登錄到每一個(gè)節(jié)點(diǎn)上去操作,煩瑣而費(fèi)時(shí)。
另外,其它Web管理方式諸如在Web頁(yè)上啟動(dòng)一個(gè)程序,由這個(gè)網(wǎng)頁(yè)來實(shí)現(xiàn)動(dòng)態(tài)IP地址檢索。此策略同樣由于多臺(tái)服務(wù)器維護(hù)多個(gè)用戶帳號(hào)的做法難以實(shí)現(xiàn)及時(shí)的更新,也給管理帶來很大的困難。
為此需要一種更加合理的VPN管理技術(shù),有效解決其管理問題。近年來,成熟的目錄服務(wù)技術(shù)以其尋址快、穩(wěn)定可靠等優(yōu)勢(shì),深受眾多VPN用戶青睞。
三.目錄服務(wù)
目錄服務(wù)是一個(gè)代表網(wǎng)絡(luò)用戶及資源的基于對(duì)象的數(shù)據(jù)庫(kù),主要用于存放端用戶的信息及網(wǎng)絡(luò)配置數(shù)據(jù),便于VPN管理人員和應(yīng)用程序?qū)π畔⑦M(jìn)行添加、修改和查詢。從而每一臺(tái)VPN設(shè)備都能夠維護(hù)自己的內(nèi)部數(shù)據(jù)庫(kù),存儲(chǔ)每一名用戶的信息,包括用戶名、密碼以及撥號(hào)接入的屬性等。它既可以運(yùn)行于由VPN提供控制的公用網(wǎng)的某一部分,也可以作為運(yùn)行 于公司網(wǎng)絡(luò)的一個(gè)平臺(tái)。有專家預(yù)測(cè),未來VPN的最為主要的部件是目錄服務(wù)器,目錄服務(wù)器決定了未來VPN的發(fā)展方向。
1.目錄服務(wù)協(xié)議原理
目錄服務(wù)方式使用VPN運(yùn)營(yíng)商提供的在公網(wǎng)上的多組目錄服務(wù)器集群,通過目錄協(xié)議交換設(shè)備相關(guān)信息,從而保障客戶VPN網(wǎng)絡(luò)的穩(wěn)定連接。
其技術(shù)工作原理如下圖:

(1) 目錄服務(wù)器:由放置于異地多個(gè)運(yùn)營(yíng)商機(jī)房的目錄服務(wù)器集群組成,完成用戶VPN終端身份的認(rèn)證、動(dòng)態(tài)IP地址交換、統(tǒng)計(jì)管理、系統(tǒng)管理及各節(jié)點(diǎn)License分發(fā)等功能。
(2) Group(組):對(duì)應(yīng)于特定的用戶,如A公司就是一個(gè)組的概念,同一用戶有多個(gè)分布在不同地域的辦事機(jī)構(gòu),它們從屬于同一個(gè)組,只有同組的VPN設(shè)備才能建立VPN通道。
(3) Site(節(jié)點(diǎn)):對(duì)應(yīng)于用戶分散在不同地域的某臺(tái)VPN終端設(shè)備,如A公司總部在上海,分公司在北京,則可以用A公司的上海節(jié)點(diǎn)、A公司的北京節(jié)點(diǎn)來標(biāo)識(shí)這兩臺(tái)VPN終端。另外,同組內(nèi)節(jié)點(diǎn)不可重名,一個(gè)節(jié)點(diǎn)也只能從屬于一個(gè)組,不能跨多個(gè)組。
(4) License:每臺(tái)VPN終端設(shè)備出廠時(shí)都必須內(nèi)置一串由目錄服務(wù)器隨機(jī)生成的License,License和組名、節(jié)點(diǎn)名共同構(gòu)成該設(shè)備的唯一身份信息,缺一不可。
上述目錄服務(wù)管理方式,能有效管理VPN系統(tǒng),網(wǎng)絡(luò)管理人員能隨時(shí)跟蹤和掌握以下情況:系統(tǒng)的使用者、連接數(shù)目、異常活動(dòng)、出錯(cuò)情況,以及其他可能預(yù)示出現(xiàn)設(shè)備故障或網(wǎng)絡(luò)受到攻擊的現(xiàn)象。日志記錄和實(shí)時(shí)信息對(duì)審計(jì)和報(bào)警或其它錯(cuò)誤提示具有很大幫助。對(duì)設(shè)備進(jìn)行實(shí)時(shí)監(jiān)測(cè)可以在系統(tǒng)出現(xiàn)問題時(shí)及時(shí)向管理員發(fā)出警告。一臺(tái)VPN目錄服務(wù)器能夠提供以上所有信息信息以及對(duì)數(shù)據(jù)進(jìn)行正確處理所需要的時(shí)間日志、報(bào)告和數(shù)據(jù)存儲(chǔ)設(shè)備。
這種使用網(wǎng)絡(luò)目錄的方式,也改變了傳統(tǒng)網(wǎng)絡(luò)的訪問點(diǎn),與路由器不同的是,這些載有整個(gè)公司用戶相關(guān)資料及網(wǎng)絡(luò)配置的目錄可置于用戶或網(wǎng)絡(luò)運(yùn)行中心NOC的安全區(qū)內(nèi)。該安全區(qū)是進(jìn)一步開發(fā)VPN的基礎(chǔ),它主要由策略服務(wù)器與認(rèn)證服務(wù)器組成。策略服務(wù)器根據(jù)公司的規(guī)則制定訪問策略,認(rèn)證服務(wù)器則負(fù)責(zé)公共密鑰的認(rèn)證及其他有關(guān)安全任務(wù),網(wǎng)絡(luò)具有了上述安全機(jī)制、網(wǎng)絡(luò)目錄及QoS的保證,端用戶就可以建立用于遠(yuǎn)程教育、遠(yuǎn)程醫(yī)療及虛擬會(huì)議的VPN連接了。
四.目錄服務(wù)技術(shù)優(yōu)勢(shì)
1.穩(wěn)定性優(yōu)勢(shì)
目錄服務(wù)是靈活的VPN管理方式,它使用ICEFLOW可靠的目錄服務(wù)協(xié)議提供IP地址的交換,避免了使用動(dòng)態(tài)DNS方式中可靠性無法保證的問題,由于使用的是專有VPN服務(wù)的協(xié)議,其高可靠性和反應(yīng)時(shí)間保證了客戶VPN網(wǎng)絡(luò)的快速建立及穩(wěn)定。
2.安全性優(yōu)勢(shì)
處于同一組內(nèi)的設(shè)備內(nèi)置相同的組名,只有通過嚴(yán)格的組密碼驗(yàn)證方可下載同組其他設(shè)備的IP地址,建立VPN通道,而不是同一組內(nèi)的設(shè)備由于組名不一致,無法通過組驗(yàn)證,也就自然無法建立通道,所以就不會(huì)出現(xiàn)用戶A的節(jié)點(diǎn)與用戶B的節(jié)點(diǎn)建立VPN的情況。另外,由于一個(gè)節(jié)點(diǎn)只能從屬于一個(gè)組,不存在跨組建立VPN通道的情況,杜絕了非法用戶通過加入多個(gè)組竊取非授權(quán)訪問的問題。
3. 管理性優(yōu)勢(shì)
目錄服務(wù)器的多級(jí)管理界面,可提供系統(tǒng)管理員、管理員和用戶級(jí)登陸,由各級(jí)管理員對(duì)其權(quán)限范圍內(nèi)的VPN終端進(jìn)行集中式管理,包括增加、刪除節(jié)點(diǎn)、更換設(shè)備時(shí)清除目錄服務(wù)器綁定的節(jié)點(diǎn)硬件特征信息,操作界面簡(jiǎn)單便利,一目了然。
4. 靈活性優(yōu)勢(shì)
目錄服務(wù)技術(shù),保證了VPN網(wǎng)絡(luò)的伸縮方便,添加新節(jié)點(diǎn)時(shí),只需在同組內(nèi)新增節(jié)點(diǎn),在VPN終端上配置相應(yīng)的license信息即可將該節(jié)點(diǎn)無縫納入VPN網(wǎng)絡(luò)中,不影響原有VPN的正常使用;而鏈路拆除時(shí),只需目錄服務(wù)器一鍵式斷開即可輕松地將節(jié)點(diǎn)脫離VPN網(wǎng)絡(luò),可隨時(shí)恢復(fù)使用,也可一鍵啟用。
并且,目錄服務(wù)技術(shù)可支持多種網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu),如星型、全網(wǎng)狀及任意結(jié)構(gòu),如客戶的網(wǎng)絡(luò)均具有動(dòng)態(tài)的公網(wǎng)IP,目錄服務(wù)技術(shù)可實(shí)現(xiàn)全連通VPN連接,任意兩個(gè)分支之間的數(shù)據(jù)均可以直接通訊而無需經(jīng)過中心點(diǎn)轉(zhuǎn)發(fā),這樣一來可以大大降低中心節(jié)點(diǎn)的負(fù)載,提高了數(shù)據(jù)傳輸?shù)男省?
作為國(guó)內(nèi)首家使用“目錄服務(wù)”技術(shù)的VPN廠商,上海冰峰在此技術(shù)上率先達(dá)到了國(guó)際水平,ICEFLOW VPN的目錄服務(wù)管理,其愈合速度達(dá)到了10S以內(nèi),有效保證了VPN的穩(wěn)定性以及可管理性。相信目錄服務(wù)管理功能的VPN專網(wǎng),將會(huì)引領(lǐng)VPN未來發(fā)展的潮流,它也必將為廣大客戶提供更為完善的服務(wù)。