安达通特色技术.docVIP

PAGE  PAGE 12 安达通VPN专有技术 20010年4月 目 录  TOC \o 1-3 \h \z \u  HYPERLINK \l _Toc127812092 特色1：“单臂连接”技术  PAGEREF _Toc127812092 \h 3  HYPERLINK \l _Toc127812093 特色2：“虚地址互连”技术  PAGEREF _Toc127812093 \h 4  HYPERLINK \l _Toc127812094 特色3：“自动路由”技术  PAGEREF _Toc127812094 \h 4  HYPERLINK \l _Toc127812095 特色4：“双边穿透”技术  PAGEREF _Toc127812095 \h 6  HYPERLINK \l _Toc127812096 特色5：“链路均衡”技术  PAGEREF _Toc127812096 \h 7  HYPERLINK \l _Toc127812097 特色6：“透明接入”技术  PAGEREF _Toc127812097 \h 8  HYPERLINK \l _Toc127812098 特色7：“隧道接力”技术  PAGEREF _Toc127812098 \h 8  HYPERLINK \l _Toc127812099 特色8：“硬软件平台”技术  PAGEREF _Toc127812099 \h 9  HYPERLINK \l _Toc127812100 特色9：“客户端策略动态下载”技术  PAGEREF _Toc127812100 \h 10  HYPERLINK \l _Toc127812101 特色10：“主机绑定”技术  PAGEREF _Toc127812101 \h 10  HYPERLINK \l _Toc127812102 特色11：“双网隔离”技术（IPSec Only技术）  PAGEREF _Toc127812102 \h 11 特色1：“单臂连接”技术 传统VPN设备在部署时，遇到与防火墙、路由器配合使用时，通常采用“串联”（即：接在防火墙、路由器与内网交换机之间）或“并联”方式（即：与防火墙、路由器并列部署）接入原有网络。“串连”方式增加单点故障，并容易造成性能上的瓶颈；“并联”方式需要多个公网IP地址，并在客观上造成多个公网出口，带来安全隐患。针对这两种传统的VPN设备部署方式，安达通VPN安全网关则可采用一种非同寻常的部署方式：“单臂连接”。采用此种部署模式，能够在对用户环境最小改动的前提下部署VPN，极大提高了VPN设备对网络环境的适应能力。 所谓“单臂连接”指的是安全网关只接一个口到内网交换机中，另外一个口不接线，即把安全网关设备当作一台服务器或主机，专门处理VPN报文的加解密。从实现技术上而言，单臂连接结合了上述串行连接和并行连接两者的特点，需要在防火墙（路由器）上为安全网关做静态端口映射（静态NAPT），同时也需要在防火墙（路由器）上添加静态路由来解决要通过VPN的数据包正确流向的问题。结合自动路由技术，单臂连接方式能在对用户环境最小改动的前提下部署VPN，大大增加了VPN设备对网络环境的适应能力 。 单臂连接实际案例配置示意图如下所示： 示例中总部局域网利用一台防火墙通过光纤接入互联网，防火墙外口IP地址为218.1.1.1，内口IP地址为192.168.1.1，现仅将安全网关的LAN口接到内网交换机。安全网关工作在路由模式下，LAN口IP地址192.168.1.254，WAN口任意设置一个IP地址，比如为1.1.1.1，总部内网只有一个子网192.168.1.0/24。该单位有一异地分部，采用ADSL接入互联网，并使用SGW25A安全网关作为接入设备，内网也只有一个子网为192.168.2.0/24。通过这样的部署，可实现该分部与总部子网的VPN互连。同时还可实现移动客户端的远程接入（如上图），客户端的私有IP地址为172.16.1.1-10。 本示例中采用“单臂连接”技术部署安达通VPN安全网关，几乎不用改动用户原有的网络拓扑，实施过程对用户无任何影响；而且没有在用户主干线路上串接设备，不会造成额外的单点故障而降低线路可靠性。 特色2：“虚地址互连”技术 众所周知，构建VPN网络时，需要通信双方局域网的IP地址统一规划，错开网段；如果发生VPN双方内网IP网段相同或重叠等冲突情况，传统的VPN设备就无法部署。只有要求用户修改其中一方的IP地址来解决。这种做法本无可厚非，但是如果用户网络规模较大或用户的计算机水平较低