作為一項成熟的異地聯(lián)網(wǎng)技術，用寬帶線路組建VPN已經(jīng)為越來越多企業(yè)和政府機關單位所認可并應用，因為寬帶線路組建VPN簡單方便、成本低廉、安全性高，相對于其它專網(wǎng)組建技術來說，有很大的優(yōu)勢。然而，VPN管理的問題，值得我們探索。

一．VPN管理需求

由于國內(nèi)的寬帶線路基本都使用動態(tài)IP，因此用戶在選擇VPN技術時，必須要考慮到管理上的要求。那么對于國內(nèi)大量沒有條件申請專線和靜態(tài)IP地址的用戶，各地的VPN設備如何快速尋址并進行管理呢？

二．VPN管理方式比較

行業(yè)內(nèi)現(xiàn)有的VPN解決方案中的動態(tài)IP管理技術，主要有以下幾種：

動態(tài)域名解析系統(tǒng)（DDNS）,目錄服務技術等等。

其中，基于動態(tài)域名解析系統(tǒng)是將用戶IP地址的變化動態(tài)地映射到相應的服務器中，進行及時的自動更新。DDNS一般由兩部分構成：第一部分是服務器端程序，位于服務商的主機上，另一部分是客戶端程序，就運行在廣大用戶的主機上。服務器端只負責接收和更新，不負責反饋是否收到并命令客戶端重發(fā)，因此是一個純單向傳輸?shù)南到y(tǒng)。仔細研究我們發(fā)現(xiàn)，這種DDNS的管理方式，有以下幾個缺點：

（1）可靠性差

DDNS方式中，用戶新的IP地址在自動提交失敗后，不能自動補充提交，必須人工干預。

（2）IP更新速度慢

動態(tài)DNS的檢測與提交周期，一般是在5~30分鐘，實時性較差。通常的動態(tài)DNS服務器都將更新頻率設置的很低，以避免服務器超載，同時，對惡意攻擊的抵抗能力也很差，系統(tǒng)非常脆弱。

（3）無法進行有效管理

動態(tài)DNS技術是單向的信息提交，管理服務器無法對動態(tài)IP客戶端進行有效管理。當出現(xiàn)異常情況，比如病毒泛濫或者黑客入侵，需要將一些節(jié)點從VPN網(wǎng)絡中剝離的時候，使用動態(tài)DNS系統(tǒng)的管理員，需要登錄到每一個節(jié)點上去操作，煩瑣而費時。

另外，其它Web管理方式諸如在Web頁上啟動一個程序，由這個網(wǎng)頁來實現(xiàn)動態(tài)IP地址檢索。此策略同樣由于多臺服務器維護多個用戶帳號的做法難以實現(xiàn)及時的更新，也給管理帶來很大的困難。

為此需要一種更加合理的VPN管理技術，有效解決其管理問題。近年來，成熟的目錄服務技術以其尋址快、穩(wěn)定可靠等優(yōu)勢，深受眾多VPN用戶青睞。

三．目錄服務

目錄服務是一個代表網(wǎng)絡用戶及資源的基于對象的數(shù)據(jù)庫，主要用于存放端用戶的信息及網(wǎng)絡配置數(shù)據(jù)，便于VPN管理人員和應用程序?qū)π畔⑦M行添加、修改和查詢。從而每一臺VPN設備都能夠維護自己的內(nèi)部數(shù)據(jù)庫，存儲每一名用戶的信息，包括用戶名、密碼以及撥號接入的屬性等。它既可以運行于由VPN提供控制的公用網(wǎng)的某一部分，也可以作為運行 于公司網(wǎng)絡的一個平臺。有專家預測，未來VPN的最為主要的部件是目錄服務器，目錄服務器決定了未來VPN的發(fā)展方向。

1．目錄服務協(xié)議原理

目錄服務方式使用VPN運營商提供的在公網(wǎng)上的多組目錄服務器集群,通過目錄協(xié)議交換設備相關信息，從而保障客戶VPN網(wǎng)絡的穩(wěn)定連接。

其技術工作原理如下圖：

(1) 目錄服務器：由放置于異地多個運營商機房的目錄服務器集群組成，完成用戶VPN終端身份的認證、動態(tài)IP地址交換、統(tǒng)計管理、系統(tǒng)管理及各節(jié)點License分發(fā)等功能。

(2) Group(組)：對應于特定的用戶，如A公司就是一個組的概念，同一用戶有多個分布在不同地域的辦事機構，它們從屬于同一個組，只有同組的VPN設備才能建立VPN通道。

(3) Site(節(jié)點)：對應于用戶分散在不同地域的某臺VPN終端設備，如A公司總部在上海，分公司在北京，則可以用A公司的上海節(jié)點、A公司的北京節(jié)點來標識這兩臺VPN終端。另外，同組內(nèi)節(jié)點不可重名，一個節(jié)點也只能從屬于一個組，不能跨多個組。

(4) License：每臺VPN終端設備出廠時都必須內(nèi)置一串由目錄服務器隨機生成的License，License和組名、節(jié)點名共同構成該設備的唯一身份信息，缺一不可。

上述目錄服務管理方式，能有效管理VPN系統(tǒng)，網(wǎng)絡管理人員能隨時跟蹤和掌握以下情況：系統(tǒng)的使用者、連接數(shù)目、異常活動、出錯情況，以及其他可能預示出現(xiàn)設備故障或網(wǎng)絡受到攻擊的現(xiàn)象。日志記錄和實時信息對審計和報警或其它錯誤提示具有很大幫助。對設備進行實時監(jiān)測可以在系統(tǒng)出現(xiàn)問題時及時向管理員發(fā)出警告。一臺VPN目錄服務器能夠提供以上所有信息信息以及對數(shù)據(jù)進行正確處理所需要的時間日志、報告和數(shù)據(jù)存儲設備。

這種使用網(wǎng)絡目錄的方式，也改變了傳統(tǒng)網(wǎng)絡的訪問點，與路由器不同的是，這些載有整個公司用戶相關資料及網(wǎng)絡配置的目錄可置于用戶或網(wǎng)絡運行中心NOC的安全區(qū)內(nèi)。該安全區(qū)是進一步開發(fā)VPN的基礎，它主要由策略服務器與認證服務器組成。策略服務器根據(jù)公司的規(guī)則制定訪問策略，認證服務器則負責公共密鑰的認證及其他有關安全任務，網(wǎng)絡具有了上述安全機制、網(wǎng)絡目錄及QoS的保證，端用戶就可以建立用于遠程教育、遠程醫(yī)療及虛擬會議的VPN連接了。

四．目錄服務技術優(yōu)勢

1．穩(wěn)定性優(yōu)勢

目錄服務是靈活的VPN管理方式,它使用ICEFLOW可靠的目錄服務協(xié)議提供IP地址的交換，避免了使用動態(tài)DNS方式中可靠性無法保證的問題，由于使用的是專有VPN服務的協(xié)議,其高可靠性和反應時間保證了客戶VPN網(wǎng)絡的快速建立及穩(wěn)定。

2．安全性優(yōu)勢

處于同一組內(nèi)的設備內(nèi)置相同的組名，只有通過嚴格的組密碼驗證方可下載同組其他設備的IP地址，建立VPN通道，而不是同一組內(nèi)的設備由于組名不一致，無法通過組驗證，也就自然無法建立通道，所以就不會出現(xiàn)用戶A的節(jié)點與用戶B的節(jié)點建立VPN的情況。另外，由于一個節(jié)點只能從屬于一個組，不存在跨組建立VPN通道的情況，杜絕了非法用戶通過加入多個組竊取非授權訪問的問題。

3． 管理性優(yōu)勢

目錄服務器的多級管理界面，可提供系統(tǒng)管理員、管理員和用戶級登陸，由各級管理員對其權限范圍內(nèi)的VPN終端進行集中式管理，包括增加、刪除節(jié)點、更換設備時清除目錄服務器綁定的節(jié)點硬件特征信息，操作界面簡單便利，一目了然。

4． 靈活性優(yōu)勢

目錄服務技術，保證了VPN網(wǎng)絡的伸縮方便，添加新節(jié)點時，只需在同組內(nèi)新增節(jié)點，在VPN終端上配置相應的license信息即可將該節(jié)點無縫納入VPN網(wǎng)絡中，不影響原有VPN的正常使用；而鏈路拆除時，只需目錄服務器一鍵式斷開即可輕松地將節(jié)點脫離VPN網(wǎng)絡，可隨時恢復使用，也可一鍵啟用。

并且，目錄服務技術可支持多種網(wǎng)絡拓撲結構，如星型、全網(wǎng)狀及任意結構，如客戶的網(wǎng)絡均具有動態(tài)的公網(wǎng)IP，目錄服務技術可實現(xiàn)全連通VPN連接，任意兩個分支之間的數(shù)據(jù)均可以直接通訊而無需經(jīng)過中心點轉(zhuǎn)發(fā),這樣一來可以大大降低中心節(jié)點的負載，提高了數(shù)據(jù)傳輸?shù)男省?

作為國內(nèi)首家使用“目錄服務”技術的VPN廠商，上海冰峰在此技術上率先達到了國際水平，ICEFLOW VPN的目錄服務管理，其愈合速度達到了10S以內(nèi)，有效保證了VPN的穩(wěn)定性以及可管理性。相信目錄服務管理功能的VPN專網(wǎng)，將會引領VPN未來發(fā)展的潮流，它也必將為廣大客戶提供更為完善的服務。