【正文】 權(quán) VPN 使企業(yè)可以使用 NSP 的設(shè)施和服務(wù)，同時又完全掌握著自己網(wǎng)絡(luò)的控制權(quán)。 VPN 組網(wǎng)技術(shù)與專線組網(wǎng)技術(shù)相比，優(yōu)點是節(jié)省企業(yè)的通信費用，方便企業(yè)網(wǎng)絡(luò)互聯(lián)和靈活擴充，并且提高企業(yè)網(wǎng)絡(luò)的可管理性；缺點是穩(wěn)定性 可靠性 不如專線網(wǎng)絡(luò)。 我國互聯(lián)網(wǎng)這幾年發(fā)展迅速，特別是骨干網(wǎng)建設(shè)已經(jīng)走在世界的前列 。但是，為什么在國外已經(jīng)很普及的 VPN 的應(yīng)用在國內(nèi)還沒有大規(guī)模的使用呢？究其原因，最根本的就是 VPN 這種技術(shù)還沒有深入人心，并且傳統(tǒng)的 VPN 設(shè)備使用復(fù)雜，需要專門的技術(shù)人員來實施。在方案中必須要求可以集中管理、配置簡單、維護方便、擴展容易和可靈活定義網(wǎng)絡(luò)拓撲。 第二章 解決方案 針對與客戶的實際需求情況，以下提供 2 種可 供企業(yè)選擇 的 解決 方案。 2) 公司總部網(wǎng)絡(luò)規(guī)模較大，分公司和分支辦事處都需要跟中心點通信，進行數(shù)據(jù)交換。所以建議使用最高端的設(shè)備GW5000 的包含 VDN 模塊型號設(shè)備。因為需要對外提供 VDN 服務(wù)，所以要求 有固定的公網(wǎng) IP 地址。但是只能生成一個管理域信息，是企業(yè)版的 VDN 服務(wù)平臺。在初期建設(shè)中，可將整個 VPN 網(wǎng)絡(luò)按區(qū)域分為 3級。當以后上語音、視頻等其他系統(tǒng)，需要鄉(xiāng)鎮(zhèn)間通信時，可在 VDN 上進行網(wǎng)絡(luò)拓撲的重定義，非常簡單、快速，這是其他 VPN 產(chǎn)品解 決方案所無法完成的； ? 對所有的終端設(shè)備提供身份認證服務(wù)，跟所有通過認證后的設(shè)備建立“安全通道”，為它們進行信息交換，協(xié)調(diào)它們建立通信的隧道； ? 在集中管理模式下，可通過 VDN 統(tǒng)一下發(fā)防火墻策略；通過“安全通道”對終端設(shè)備進行遠程管理和維護；使用 SNMP 網(wǎng)管系統(tǒng)對在線設(shè)備進行狀態(tài)查詢與流量監(jiān)控等； GW5000 除了包含 VDN 功能模塊外，還是具有最高性能的 VPN 接入設(shè)備（中心點的終端設(shè)備）提供作為智能接入終端的所有功能，如高性能的防火墻，移動客戶端接入服務(wù)，帶寬管理，流量監(jiān)控， snmp agent 等。需要一個固定的公網(wǎng) IP 地址。所以，建議使用 GW2500 的中高端 VPN 接入設(shè)備。不要求有固定的公網(wǎng) IP 地址。但對于有大型企業(yè)有多個節(jié)點的 VPN 網(wǎng)絡(luò)規(guī)模來說，都需要申請固定公 網(wǎng) IP 地址的話，每月的使用費將大幅度提高。 4) 分支辦事處網(wǎng)絡(luò)規(guī)模小，大部分只有幾臺的計算機，沒有服務(wù)器。 GW200 處于 VPN 網(wǎng)絡(luò)的最邊緣。所以，GW200除了提供防火墻、移動客戶端接入，帶寬管理，流量監(jiān)控和 snmp agent等功能 外，還提供非常清晰的設(shè)備運行狀態(tài)指示燈。 5) 所有終端上的防火墻規(guī)則可以單獨配置，也可以通過 VDN 統(tǒng)一下發(fā)，如可在 VDN 上制定不能連接 Inter 的策略，然后下發(fā)到所有的終端設(shè)備上。不需要安裝硬件的 APN 設(shè)備。其弱點是，由于失去了 VDN 平臺對終端設(shè)備所特有的集中管理，狀態(tài)檢測和流量監(jiān)控等功能，鄉(xiāng)鎮(zhèn)級的節(jié)點將變得很難維護和管理。由于軟件客戶端需要安裝在 WINDOWS 系統(tǒng)上，由于操作系統(tǒng)和軟件兼容性等原因會安裝和調(diào)試變得復(fù)雜。這，必然會帶來非常大的售后服務(wù)量。移動用戶最好只使用在需要移動的場合 3．設(shè)備選型與清單 序號 設(shè)備型號 使用位置 數(shù)量（臺） 1 APN GW5000 公司總部 2 APN GW2500 分公司 3 APN 移動客戶端 移動辦公 第三章 APN 的優(yōu)勢及其產(chǎn)品介紹 1． APN 產(chǎn)品系列介紹 APN 系列產(chǎn)品全部由奧聯(lián)公司設(shè)計生產(chǎn)，針對目前中國的網(wǎng)絡(luò)現(xiàn)狀，突出了 “ 穩(wěn)定安全、簡單易用 、專業(yè)智能” 的設(shè)計思想。 軟件客戶端 SSL 支持文件證書與 USB KEY 證書模式 支持非證書的用戶名和密碼認證模式 支持 包括 NAT 穿透 的各種各樣上網(wǎng)方式 GW200：中低端用戶、中小型辦公室、分支機構(gòu)、辦事處的首選 ，集成防火墻 IPSEC 并發(fā)隧道： 128 條 網(wǎng)絡(luò)并發(fā)連接數(shù)： 8K 標配支持的移動客戶端數(shù)： 5 個 最大支持的移動客戶端數(shù)： 16 個 APNGW 2020：中型辦公 室的首選 ，集成防火墻 IPSEC 并發(fā)隧道： 1024 條 網(wǎng)絡(luò)并發(fā)連接數(shù)： 16K 標配支持的移動客戶端數(shù)： 10 個 最大支持的移動客戶端數(shù)： 32 個 GW2500：企業(yè)中心、總部必備，集成高性能防火墻 IPSEC 并發(fā)隧道： 1024 條 網(wǎng)絡(luò)并發(fā)連接數(shù)： 32K 標配支持的移動客戶端數(shù)： 15 個 最大支持的移動客戶端數(shù)： 128 個 支持 DMZ GW5000：大型企業(yè)總部集中管理及中心節(jié)點接入，集成高性能防火墻 IPSEC 并發(fā)隧道： 2048 條 網(wǎng)絡(luò)并發(fā)連接數(shù)： 65K 標配支持的移動客戶端數(shù)： 20 個 最大支持的 移動客戶端數(shù)： 256 個 支持 DMZ 支持 VDN 功能，對 VPN 集中管理 ，進行網(wǎng)絡(luò)拓撲定義 2． 產(chǎn)品性能 參數(shù) 列表 GW200 GW200(A) GW2020 GW2500 GW5000 接口 2 個 10/100M 接 口 ；1console 口； 2 個 10/100M接口； 1console口； 1 Modem接口 3個 10/100M接 口 ；1console 口；1 Modem 接口 3 個 10/100M接 口 ；1console 口； 功耗 最大 5W 最大 25W 最大 50W 最大 50W 輸入電壓 110240v 使用環(huán)境 溫度 0~45 ℃ 使用環(huán)境 濕度 5~95% 配置方式 WEB GUI/Tel/VT100 終端控制端口命令 WEB GUI 中文、英文 并發(fā)會話數(shù) 8,192 16,384 32,768 65,536 IPSEC隧道數(shù) 128 1024 1024 1024 移動客戶 端 No 標配 5 個 標配 10 個 標配 10 個 支持 DMZ NO NO YES YES 硬件加密器 NO NO YES YES VDN服務(wù)管理 NO NO NO YES 3DES 加密速度 防火墻 地址過濾，包過濾、狀態(tài)檢測 IP地址和 MAC綁定 NO 支持 基于端口 服務(wù)和 IP過濾 支持 基于時間 的訪問控制 NO 支持 網(wǎng)絡(luò)地址 轉(zhuǎn)換 支持 NAT/PAT 擴展接口 NO NO 支持擴展存儲器作為日志存儲 日志 支持本地、遠程日志、審計功能 攻擊防范 內(nèi)置常見攻擊之防范 DNS服務(wù) 內(nèi)置 DNS服務(wù) 系統(tǒng)資源 系統(tǒng)資源在線查看、動態(tài)刷新、提前預(yù)警 DHCP 內(nèi)置 DHCP服務(wù) 廣域接口 支持 xDSL/ Cable Modem/Dial up/ISDN/LAN 接入 Qos設(shè)置 NO 支持多級 QOS 防火墻策略 1024 條 支持 4096 條防火墻策略 時間策略 NO 支持 256 條時間策略 流量監(jiān)控 NO 支持 IP 瀏覽監(jiān)控 支持 IP 壓縮支持 支持，可手工選擇 雙機熱備 NO NO 支持 Dynamic MSS 支持 MSS 可調(diào)節(jié) NATT 支持內(nèi)網(wǎng)穿透，支持自定義內(nèi)網(wǎng)穿透 隧道循檢和自動恢復(fù) 可以自動檢測隧道和恢復(fù)隧道 IKE 支持 數(shù)據(jù)傳輸加密算法 支持多種加密算法可選 AES/12 3DES/16 SERPENT/12 BLOWFISH/12 TWOFISH/12硬件加密卡或第三方算法 數(shù)據(jù)完整加密算法 MD59 SHA19 SHA225 SHA2512 身份認證 PSK/ RSA 手工秘鑰 路由協(xié)議 靜態(tài)路由、 RIP/OSPF 與其他 VPN 互通 能和 Cisco、 screen 等其他 VPN 產(chǎn)品互通 雙向 NATT建立VPN 支持 配置備份 支持配置備份和恢復(fù) 在線升級 支持遠程在線升級 智能向?qū)? 可以智能判斷常見故障，指導(dǎo)用戶使用 帶寬管理 支持 流量監(jiān)控 NO NO 以圖形顯示當前設(shè)備的 IP 包流量 URL 查看 NO NO 支持查看當前上網(wǎng)的 URL 捕捉 URL 過濾 NO NO 支持自由屏蔽 URL 全動態(tài) IP 形成VPN 支持全部動態(tài) IP 形成網(wǎng)狀 VPN 自由擴展 新裝節(jié)點可以自由擴展，不用更改原來已經(jīng)安裝的節(jié)點 集中管理 由平臺集中統(tǒng)一管理 自由拓撲 可以自由設(shè)計 VPN 網(wǎng)絡(luò)的形狀，可以形成星狀、網(wǎng)狀、樹狀或者混合形狀的網(wǎng)絡(luò)拓撲 子網(wǎng)共享 可以自由和原來已經(jīng)建立了 DDN 線路和其他線路實現(xiàn)無縫聯(lián)合 3． APN 獨特的優(yōu)勢 ? 管理報警功能 ：中 心管理節(jié)點具備巡檢警告、定時檢查在線、 n 次包無應(yīng)答、重聯(lián)或 APN 離線等等檢測報警模塊功能，可以實現(xiàn)在第一時間發(fā)現(xiàn)問題和解決問題。隨時安裝， 5 分鐘內(nèi)完成配置，和任何原來節(jié)點馬上可以直接通訊，沒有通訊瓶頸。而且隨時需要隨時做新的調(diào)整，自由定義節(jié)點，自由切換。 ? 統(tǒng)一管理 ：基于 APN GW 的交互式管理平 臺，很容易做到統(tǒng)一管理、統(tǒng)一維護。例如星狀、網(wǎng)狀、組合形狀等。 ? 網(wǎng)絡(luò)監(jiān)控 ：可在網(wǎng)關(guān)上監(jiān)控 IP 數(shù)據(jù)包、流量，內(nèi)部上網(wǎng)的情況，訪問的站點。 ? 動態(tài) IP形成網(wǎng)狀連接 ：可以全部采用動態(tài) IP地址，而且自由形成網(wǎng)狀連接或任意形狀的網(wǎng)絡(luò)拓撲。2020 年以后，其它 VPN 廠家才開始提出了為解決動態(tài) IP 地址的 DDNS，或是通過 WEB服務(wù)器中轉(zhuǎn)節(jié)點信息的方法。這是由于因特網(wǎng)上有許多 DNS 服務(wù)器在為許多域名作解析。每個 APN 終端設(shè)備 在因特網(wǎng)上會屬 于一個虛擬的域，有自己獨特的虛擬域名和虛擬主機名。這種服務(wù)我們稱之為 VDN 服務(wù)。 通過 VDN 架構(gòu)的解決方案，我們可以實現(xiàn)： 1． 身份認證 APN 終端設(shè)備必須得到由 VDN 服務(wù)模塊分發(fā)的一組包含虛擬域、虛擬主機和許可證的參數(shù)，才能合法的通過 VDN 服務(wù)器的認證，才能在 VDN 服務(wù)器上被加入到特定的域中。 APN 終端設(shè)備跟 VDN 服務(wù)器的通信是經(jīng)過 168 位高強度加密算法 3DES 算法加密的，確保兩者之間通信的安全。 VDN 服務(wù)模塊在 APN終端設(shè)備身份認證通過后可以決定是否把同域的其他節(jié)點的在線信息發(fā)送給這個APN。這個網(wǎng)絡(luò)拓樸的初始定義或者以后的網(wǎng)絡(luò)拓樸的改變，都是在 VDN服務(wù)器上完成，而不需要改動 APN終端設(shè)備上的任何設(shè)置。只要在實施 VPN 網(wǎng)絡(luò)之前規(guī)劃好各個節(jié)點所使用的內(nèi)部網(wǎng)段，每個節(jié)點就可以單獨配置，而不需要節(jié)點之間的配合和聯(lián)調(diào)，節(jié)點與節(jié)點之間的隧道建立都有 VDN 服務(wù)器去協(xié) 助完成。 4． 事件報警功能 APN 終端設(shè)備到 VDN服務(wù)器身份認證通過后，兩者之間會時刻保持著聯(lián)系，交換互相之間的狀態(tài)。當發(fā)生這些事件時，管理 VDN 的管理終端（通過 連接）上會給出客戶警告音樂提示，同時 VDN 服務(wù)器可以給設(shè)定 的管理員的 Email 發(fā)送警告郵件。 APN 終端設(shè)備具有環(huán)路檢測功能，不但可以檢查本身的 VPN隧道是否正常，還可以將原有 DDN線路的通斷情況向 VDN 服務(wù)器進行報告，由 VDN 服務(wù)器向管理終端或者通過 Email 向管理人員發(fā)送警告信息。 6． 集中管理功能 在 VDN 管理終端上通過 連接 VDN 服務(wù)器，可以分發(fā) APN 終端設(shè)備 所需要的 License；定義整個 VPN 網(wǎng)絡(luò)的拓樸結(jié)構(gòu)；定義監(jiān)控的事件；查看每一個APN 終端設(shè)備是否在線以及在線信息；查看設(shè)備登陸的歷史記錄等。這樣的模式，可以只開放簡單維護的權(quán)限設(shè)備當?shù)氐墓芾韱T，而把更高的管理權(quán)限集中在中心點的授權(quán)人員。 運營級 VDN 服務(wù)平臺： 可以生成多個不同的虛擬域，為多個 VPN 網(wǎng)絡(luò)的終端設(shè)備進行服務(wù)。 一般情況下，這樣的 VDN 服務(wù)平臺都在有一個或者以上的異地備份的服務(wù)器，在主服務(wù)器的網(wǎng)絡(luò)連接線路或者服務(wù)器本身出現(xiàn)故障時，異地的備份服務(wù)器能繼續(xù)提供服務(wù)。這樣，企業(yè)就不需要依賴第三方提供的 VDN 服務(wù)，所有的 APN終端設(shè)備都有本身的 VDN 模塊分發(fā)許可證和進行管理。 要是考慮更高的穩(wěn)定可靠性，也可以在異地布署包含 VDN 模塊的 APN 設(shè)備作為備份服務(wù)器。每增加一個節(jié)點，需要考慮這個節(jié)點要跟哪里通信，要一條一條的配置隧道，并且需要對對 端的設(shè)備進行配置； 6) 維護困難。 第四章 APN GW 產(chǎn)品與其他產(chǎn)品的比較 1． 設(shè)計理念比較 目前市面的其他 VPN 產(chǎn)品，大多是采用傳統(tǒng)的設(shè)計思路，以 IPSEC 協(xié)議為核心的建立通訊網(wǎng)關(guān)。 APN 產(chǎn)品是設(shè)計定位是作為智能 VPN 產(chǎn)品，充分考慮國內(nèi) VPN 市場的需求而定制。 2． 成功案例 比較 APN 產(chǎn)品自從推出市場以來，作為專業(yè)的 VPN 產(chǎn)品，已經(jīng) 1． 和 5 個運營商建立了 VPN 增值業(yè)務(wù)的合作模式，開展了多個用戶； 2． 被多家超過 50 個節(jié)點的大型企業(yè)、集團 VPN 聯(lián)網(wǎng)使用； 3． 麥當勞（中國有限公司）、康佳集團、創(chuàng)維、格蘭士、