1、1全动态 IP 接入节点 VPN 互联解决方案该方案特点:用户网络均采用拨号方式上网(ADSL 和电话 modem) ,没有固定的 IP 地址(包括总部) 。传统的 VPN 设备无法进行互联。本公司提供全动态 IP 接入环境下的 VPN 互联方案。方案概述:1、IP-VPN 的联网方式大致有三种:1、 固定 IP 与固定 IP;2、 固定 IP 与动态 IP;3、 动态 IP 与动态 IP。第一种的联网方式是比较传统的方式,技术上最容易实现,目前的防火墙等设备就可以实现这种功能;第二种 VPN 联网方式(如:方案一)对于目前大多数专业的 VPN 厂商也基本能解决;而第三种方式即动态 IP 与动
2、态 IP 之间的 VPN 通讯却成为很多厂商和科研机构望而却步的技术难题,实现及解决大规模的实际应用就更加困难。本公司作为国内领先的专业 VPN 厂商,投入了很大的人力、财力,经过一段时间的攻关和研究,最终以“策略服务器”的方式解决了这个难题。“策略服务器”管理系统由 DynamicVPN 管理服务器、网络管理员和 DynamicVPN 网元组成。Dynamic 管理服务器由 WEB 服务器、管理应用服务器、数据库服务器组成。WEB 服务器负责以 WEB 服务的形式对外提供各种管理服务,管理应用服务器完成具体的逻辑与业务处理功能,数据库服务器负责保存 DynamicVPN 管理所需要的各种数据
3、,它可以是关系数据库和/或 LDAP 服务器。本公司的“策略服务器”不但真正解决了全动态的 VPN 组网方案,还融入了 PKI 技术,采用基于数字证书的动态 IKE 进行协商和认证,解决了大规模 VPN 组网的安全管理和安全认证技术。22、目前网络的现状公司总部目前通过 ADSL 接入 Internet,分部和门店通过 ADSL 或拨号接入Internet,分部及门店需要实时将商业数据上报总部,总部也需要根据反馈的信息实时向分部及门店下发商业调整指令等信息,上述整个流程由一套商业软件系统来完成。网络示意图如下:原有的网络示意图该方案中,建议在总部采用:Sgw25B (支持 ADSL 接入的硬件
4、安全网关);在有较大 LAN的分公司采用 Sgw25A(支持 ADSL 接入的硬件安全网关);在只有少量机器需要互联的地方(如:门店)采用“安全网关客户端软件”(装在局域网网关处的 PC 上);另外,由于整个系统没有固定 IP,所以还要借用本公司托管在电信为全移动 IP 的 VPN 客户提供的公共的策略服务器(不需要用户维护,能够确保用户 VPN 专网的绝对安全。也可以由用户自建,如:放在用户的电信托管机房) ,该策略服务器主要用于各个局域网边界部署的安全网关以及安全客户端相互交换当时的地址。如下图:3VPN 网络布署每个拨号网关(硬/软件)在接入internet时,首先在策略服务器相应的目录下注册自己当前的IP,并取得同组的各上线网关/客户端的此时IP地址。接下来发起通讯的这一方,就可以根据获得的对端网关的IP地址,建立相应的VPN连接并进行通讯了。
