【正文】 這樣降低故障對(duì)于整體網(wǎng)絡(luò)資源的影響。INode軟件支持備份LNS服務(wù)器。軟件通過在IPSEC報(bào)文前增加一層UDP報(bào)文頭的方式，使NAT設(shè)備不需要修改報(bào)文內(nèi)容，從而解決了IPSEC支持NAT穿越的問題，NAT設(shè)備只修改封裝的UDP頭，但是沒有影響IPSEC數(shù)據(jù)報(bào)文的內(nèi)容，即使經(jīng)過NAT轉(zhuǎn)換，仍然可以正常建立IPSEC隧道連接。NAT的基本原理在與修改報(bào)文的IP地址和端口信息，這樣，一旦報(bào)文經(jīng)過NAT設(shè)備，VPN隧道兩端就不可能建立IPSEC隧道連接。包括從IP地址，IP數(shù)據(jù)頭，協(xié)議端口號(hào)，VPN隧道兩端都有加密和防篡改, 否則對(duì)端接收后不能正確解密。INode軟件支持NAT穿越。當(dāng)建立VPN隧道之后，用戶可以繼續(xù)訪問internet資源，而不會(huì)因?yàn)榻⑺淼乐螅瑔适г械墓δ?。配置的界面如下圖：INode軟件建立VPN隧道之后不影響用戶原有的網(wǎng)絡(luò)功能。如果用戶需要訪問公司的內(nèi)部DNS服務(wù)器，由于用戶計(jì)算機(jī)上沒有針對(duì)DNS服務(wù)器的路由，所以用戶無法訪問DNS服務(wù)器。在實(shí)際應(yīng)用中，VPN隧道對(duì)端即公司本部組網(wǎng)中包含很多網(wǎng)段，例如，.*.*，.*.*，.*.*。注意：網(wǎng)關(guān)側(cè)設(shè)備也需要支持IKE協(xié)商Aggressive模式。這樣當(dāng)撥號(hào)用戶使用動(dòng)態(tài)IP地址，只要正確的配置對(duì)端name，而網(wǎng)關(guān)側(cè)設(shè)備也接受次name，就可以進(jìn)行IKE協(xié)商。但是，由于使用VPN`客戶端軟件的用戶經(jīng)常處于撥號(hào)上網(wǎng)的狀態(tài)，而每次上網(wǎng)時(shí)其IP地址是不固定的，如果要求VPN隧道的網(wǎng)關(guān)側(cè)設(shè)備每次都修改對(duì)端IP地址，其維護(hù)量就可想而知了。為保證數(shù)據(jù)安全，建立VPN隧道時(shí)使用IKE協(xié)商為IPSEC提供密鑰供IPSEC加密使用。INode軟件支持局域網(wǎng)用戶，同時(shí)也支持撥號(hào)用戶。為了更加安全，鼓勵(lì)用戶都使用隧道模式。INode軟件支持IPSEC隧道模式和傳輸模式，從安全性來講，隧道模式優(yōu)于傳輸模式。IPSec為IP協(xié)議棧提供在IP層實(shí)施的一系列安全服務(wù),為IP及其上層提供保護(hù)。由于此IP地址的分配是由VPN隧道對(duì)端分配的，其保密性更高，被攻擊的可能性也更小。首先，INode軟件支持使用PPP，L2TP協(xié)議和公司本部建立VPN隧道，在鏈路層建立隧道，更安全。需要訪問VPN的時(shí)候，只需要輸入個(gè)人專用用戶名和密碼，就可以輕松訪問VPN資源。相應(yīng)的，為了能夠訪問VPN，每個(gè)訪問此VPN的人員都需要對(duì)客戶端軟件進(jìn)行相應(yīng)的配置。配置文件的導(dǎo)入能夠極大的減輕維護(hù)工作量。具備簡(jiǎn)單的PC操作技能的人，就可以完成軟件配置，登錄并訪問VPN資源。通過安裝本軟件，可以使PC機(jī)能夠通過多種方式與我司的網(wǎng)絡(luò)設(shè)備（如路由器及Secpath系列網(wǎng)關(guān)設(shè)備等）進(jìn)行VPN互聯(lián)，并最終實(shí)現(xiàn)遠(yuǎn)端PC能夠安全、快捷地通過Internet訪問相應(yīng)企業(yè)總部VPN的目的.操作方便 一個(gè)成熟的VPN客戶端軟件，首先必須操作簡(jiǎn)單，界面友好。設(shè)備主動(dòng)訪問BIMS管理中心時(shí)，上報(bào)設(shè)備當(dāng)前的配置文件、設(shè)備軟件的特征信息，由BIMS管理中心來判斷是否需要對(duì)設(shè)備進(jìn)行更新，更新規(guī)則體現(xiàn)了該解決方案的智能性和易于管理的特點(diǎn)。設(shè)備側(cè)和管理中心側(cè)采用協(xié)議進(jìn)行通信，BIMS管理中心側(cè)作為 Server，設(shè)備側(cè)作為 Client，設(shè)備通過定期訪問管理中心側(cè)來實(shí)現(xiàn)相互通信并完成設(shè)備的管理。同時(shí)，為了保證通訊安全，BIMS對(duì)傳輸?shù)南?shù)據(jù)進(jìn)行加密處理。網(wǎng)管通過一個(gè)固定的、全網(wǎng)唯一的ID來識(shí)別設(shè)備，而不再依賴于設(shè)備的IP地址，所以設(shè)備擁有公網(wǎng)或私網(wǎng)IP地址或IP地址經(jīng)常變化都不會(huì)影響網(wǎng)管對(duì)設(shè)備的識(shí)別。BIMS采用一種被動(dòng)的方式對(duì)設(shè)備進(jìn)行管理，即網(wǎng)管作為Server，設(shè)備作為Client，依靠設(shè)備周期性的主動(dòng)訪問網(wǎng)管來實(shí)現(xiàn)對(duì)設(shè)備的管理。如果設(shè)備的IP地址不固定，就增加了主動(dòng)管理的難度；如果設(shè)備位于NAT網(wǎng)關(guān)后面，基本上沒有什么有效的管理手段。 BIMS分支智能管理系統(tǒng)BIMS（QuidView組件）分支智能管理系統(tǒng)實(shí)現(xiàn)從網(wǎng)絡(luò)管理中心來集中對(duì)網(wǎng)絡(luò)設(shè)備的管理，如配置文件下發(fā)、設(shè)備軟件升級(jí)等。同時(shí)，VPN拓?fù)鋱D將立刻刷新以反映最新的網(wǎng)絡(luò)狀態(tài)。故障管理模塊能夠與Quidview IPSec VPN其他組件密切配合，幫助用戶快速定位網(wǎng)絡(luò)故障?？梢圆樵僔PN鏈路的通斷歷史，診斷VPN鏈路的穩(wěn)定性。IPSec VPN Manager顯示拓?fù)?全方位監(jiān)控網(wǎng)絡(luò)性能基于Quidview網(wǎng)絡(luò)管理框架的性能管理模塊，IPSec VPN軟件提供了豐富的VPN設(shè)備的性能管理功能，可以對(duì)VPN網(wǎng)絡(luò)中的各項(xiàng)重要性能指標(biāo)進(jìn)行監(jiān)視，幫助用戶全方位的監(jiān)控VPN網(wǎng)絡(luò)的運(yùn)行狀態(tài)。IPSec VPN Manager配置界面 直觀展示VPN拓?fù)銺uidview IPSec VPN軟件能夠自動(dòng)發(fā)現(xiàn)和構(gòu)建VPN拓?fù)洌脩粼谕負(fù)渖峡梢灾庇^查看VPN通道狀態(tài)、通道流量情況、VPN設(shè)備的運(yùn)行情況等。為了減少配置操作，IPSec VPN網(wǎng)絡(luò)配置以網(wǎng)絡(luò)域?yàn)榕渲脝挝?，?duì)網(wǎng)絡(luò)域的配置會(huì)自動(dòng)賦予網(wǎng)絡(luò)域內(nèi)的全部設(shè)備，用戶可一次性對(duì)網(wǎng)絡(luò)域內(nèi)所有設(shè)備進(jìn)行相同配置部署。為了避免在設(shè)備上留下冗余的配置信息，軟件支持“清除”功能，能夠在重新配置以及配置命令下發(fā)出現(xiàn)失敗的情況下，清除設(shè)備上不需要的冗余的配置。同時(shí)，提供了預(yù)定義配置參數(shù)功能，方便高級(jí)用戶設(shè)置高級(jí)選項(xiàng)，重用配置信息。3. IPSec VPN管理系統(tǒng)IPSec VPN的命令行配置非常復(fù)雜，需要大量的培訓(xùn)工作，同時(shí)日常的維護(hù)管理工作也極為繁重。切換時(shí)間的長(zhǎng)短與timeout定時(shí)器的設(shè)置有關(guān)，定時(shí)器設(shè)定的超時(shí)時(shí)間越短，通信中斷時(shí)間越短（注意：超時(shí)時(shí)間過短會(huì)增加網(wǎng)絡(luò)開銷，一般情況下采用缺省值即可）。當(dāng)失敗事件達(dá)到3次時(shí)，刪除ISAKMP SA 和相應(yīng)的IPSec SA。運(yùn)行機(jī)制發(fā)送端：當(dāng)啟動(dòng)了DPD功能以后，如在intervaltime定時(shí)器指定的時(shí)間間隔內(nèi)沒有收到對(duì)端的IPSec報(bào)文，且本端欲向?qū)Χ税l(fā)送IPSec報(bào)文時(shí)，DPD向?qū)Χ税l(fā)送DPD請(qǐng)求，并等待應(yīng)答報(bào)文。l intervaltime：觸發(fā)DPD查詢的間隔時(shí)間，該時(shí)間指明隔多久沒有收到對(duì)端IPSec報(bào)文時(shí)觸發(fā)DPD查詢。該數(shù)據(jù)結(jié)構(gòu)可以被多個(gè)IKE Peer引用，這樣用戶不必針對(duì)接口一一進(jìn)行重復(fù)配置。解決了VRRP備份組主備切換使安全隧道通信中斷的問題，擴(kuò)展了IPSec的應(yīng)用范圍，提高了IPSec協(xié)議的健壯性。與IPSec中原有的周期性Keepalive功能相比，DPD具有產(chǎn)生數(shù)據(jù)流量小、檢測(cè)及時(shí)、隧道恢復(fù)快的優(yōu)點(diǎn)。IPSec DPD（IPSec Dead Peer Detection ondemand）為按需型IPSec/IKE安全隧道對(duì)端狀態(tài)探測(cè)功能。啟動(dòng)DPD功能后，當(dāng)接收端長(zhǎng)時(shí)間收不到對(duì)端的報(bào)文時(shí)，能夠觸發(fā)DPD查詢，主動(dòng)向?qū)Χ税l(fā)送請(qǐng)求報(bào)文，對(duì)IKE Peer是否存在進(jìn)行檢測(cè)。IPSec隧道快速切換，這一切換由IPSec DPD實(shí)現(xiàn)。而且為了保證網(wǎng)關(guān)切換后，網(wǎng)關(guān)內(nèi)外的流量能同時(shí)切換到新的網(wǎng)關(guān)上，需要在網(wǎng)關(guān)內(nèi)外都設(shè)置VRRP組，并將這一對(duì)VRRP組關(guān)聯(lián)起來。在網(wǎng)絡(luò)出現(xiàn)異常時(shí)，如何保證業(yè)務(wù)流量能夠盡快恢復(fù)？網(wǎng)關(guān)快速切換，這一切換由VRRP實(shí)現(xiàn)。 快速切換網(wǎng)絡(luò)異常的情況有很多種。如果備份組內(nèi)的Master路由器壞掉，Backup路由器將會(huì)通過選舉策略選出一個(gè)新的Master路由器，繼續(xù)向網(wǎng)絡(luò)內(nèi)的主機(jī)提供路由服務(wù)。VRRP組網(wǎng)示意圖（這個(gè)IP地址可以和備份組內(nèi)的某個(gè)路由器的接口地址相同），備份組內(nèi)的路由器也有自己的IP地址（，）。我們結(jié)合下圖來看一下VRRP的實(shí)現(xiàn)原理。當(dāng)路由器RouterA壞掉時(shí)，本網(wǎng)段內(nèi)所有以RouterA為缺省路由下一跳的主機(jī)將斷掉與外部的通信。VRRP（Virtual Router Redundancy Protocol，虛擬路由冗余協(xié)議）是一種容錯(cuò)協(xié)議。圖1 可靠性設(shè)計(jì)組網(wǎng)圖2中，可靠性設(shè)計(jì)重點(diǎn)體現(xiàn)在VPN Server的雙機(jī)備份、負(fù)載分擔(dān)和異?？焖偾袚Q3個(gè)方面。 可靠性方案H3C IPSec VPN高可靠性設(shè)計(jì)的核心理念就是增大網(wǎng)絡(luò)冗余性的同時(shí)做到負(fù)載分擔(dān)。在一臺(tái)DVPN設(shè)備上最多可以支持200個(gè)DVPN域的Server。對(duì)于整個(gè)DVPN域內(nèi)的各種策略、以及數(shù)據(jù)使用的算法套件和超時(shí)重協(xié)商時(shí)間統(tǒng)一由Server進(jìn)行管理，所有的DVPN設(shè)備使用相同的策略（會(huì)話的數(shù)據(jù)IPSec SA的密鑰是在Session建立過程中進(jìn)行協(xié)商，每個(gè)Session會(huì)產(chǎn)生單獨(dú)的IPSec密鑰）。DVPN對(duì)所有的轉(zhuǎn)發(fā)數(shù)據(jù)報(bào)文采用