动态VPN解决方案.DOCVIP

动态VPN解决方案 图1 传统VPN方式下的全联通 Quidway SecPath　VPN安全网关（以下简称网关）可以提供动态VPN的解决方案，能有效地解决以上传统VPN的缺陷。动态VPN采用了Client和Server的方式，任意一个Client设备只需要知道Server的信息就能够和其他Client设备进行互通，并且这种互通是自动的，不需要任何人为的干预。企业的总部放置一台网关作为Server，其他设备完全就可以随时通过 VPN互联，并且每个属于该VPN内的Client设备都能够互相访问（如图2所示）。通过这种方案进行VPN的组网不尽降低了维护成本，而且使得网络应用更加灵活，加上动态VPN提供的认证和加密特性完全保证了用户的网络安全。 图2 动态VPN组网方式 2 动态VPN的基本原理和关键技术 2.1 动态VPN的基本原理 动态VPN 采用了Client / Server的方式，一台网关作为Server，其他的网关作为Client。每个Client都需要到Server进行注册，注册成功之后Client 就可以互相通讯了。Server在一个VPN当中的主要任务就是获得Client的注册信息，当有一个Client需要访问另一个Client时通知该 Client所要到达目的地的真正地址。 动态VPN 采用了隧道技术，即在每对互相通讯的网关上都自动打通一条隧道，所有的数据都在隧道中传输，当该隧道没有数据流量的时候又会自动切断该隧道以节约资源或成本。目前动态VPN支持两种隧道方式，即GRE隧道和UDP隧道。GRE隧道方式属于标准协议的隧道；而UDP隧道方式是华为3Com公司的专利方式，这种方式能够很好的解决穿透NAT/防火墙的问题，这是GRE方式所不及的。 2.2 动态VPN的关键技术 2.2.1 穿透NAT/防火墙技术 动态VPN 采用UDP方式建立隧道，使用这种技术建立隧道的最大好处就是能够穿透NAT/防火墙。传统的GRE方式建立隧道，由于GRE Tunnel是基于三层IP建立隧道，所以不支持PAT端口方式的一对多的地址转换，就需要大量的公网IP地址。动态VPN采用UDP方式建立隧道就完全避免了这种问题的发生，当网关使用UDP连接建立隧道，可以支持地址和端口的应用，当隧道通过NAT/防火墙的时候就会转换为对应的公网IP地址和相应的端口号，从而完成数据的穿越NAT网关。 2.2.2 动态IP地址构建VPN技术 传统的GRE方式建立隧道就必须知道对端设备的IP地址，一旦有一台设备IP地址更换，那其他相关设备就全部都需要更改配置；同时由于传统的GRE隧道建立必须知道对方的IP地址，这样就使得动态IP地址的设备就无法正常建链。 现在的宽带不断的推广应用，如果中小企业使用xDSL 或者以太网接入方式的话要比以前专线方式接入节省大量的线路租用费用，但是一般的xDSL接入或者以太网接入使用的是动态的IP地址，这样就出现了一个问题，如何使用动态的IP地址来建立企业自己的VPN网络？显然传统的VPN构建方式已经满足不了现在的应用了，为此华为3Com公司的Quidway SecPath VPN安全网关，推出适合动态IP地址构建企业VPN的动态VPN技术和解决方案。 动态VPN 在同一个VPN内部构建隧道不需要知道其他Client网关的任何信息，只需要配置自己的信息并指定相应的Server就完成了。所以使用动态VPN时用户只需配置一次，不管其他Client设备怎么更改也都能够进行互相通讯，同时用户也不用关心自己当前使用的IP地址是多少，更加适应现在动态IP地址的使用方式。 为了能够让用户使用更加方便、为了让更多的用户能够享受华为3Com动态VPN的优点、同时也为了用户降低组网成本，华为3Com公司还推出基于PC的客户端软件Quidway SecPoint，这样用户能够在外出时只需通过PC进行ADSL或者普通拨号方式就能够和公司的其他用户进行连接。 下图描述一个公司的VPN 网络，既有固定IP地址用户（总部固定网络），也有动态IP地址用户（分支机构ADSL拨号和SOHO用户普通拨号）。如果这时有公司内部人员出差需要访问公司网络资源，那么只需要该用户拨号上网，到公司Server上注册，然后就可以访问任何用户（包括固定IP地址用户和其他动态IP地址用户设备）。在下图中以红色虚线表示。 图3 移动拨号用户访问整个VPN网络 2.2.3自动建立隧道技术 使用传统GRE 方式构建VPN，如果有N台网关需要建立一个全联通的网络的话就需要在每台网关上创建N－1个Tunnel接口，使每个Tunnel接口对应一台对端设备，并且需要配置N－1个对端地址，整个网络一共需要配置N×(N－1)个Tunnel接口，这个工作量对于一个中型网络来说简直就是不可想象的工作量。不光如此