XX公司总部大厦楼内局域网建设方案.doc

VPN网络建设方案建议书 XXX公交公司 VPN网络平台建设方案建议书 提供商 深圳奥联科技公司 Powered by APN GW TM Architecture 目 录 方案简介 - 4 - 目前现状： - 4 - 实施结果 - 4 - APN GW平台实施： - 4 - 第一章 客户需求及相关技术介绍 - 4 - 客户需求 - 5 - 面临问题分析 - 5 - 相关技术 - 5 - n VPN技术介绍： - 6 - n VOIP技术介绍： - 6 - 第二章 解决方案 - 7 - 设计思路： - 7 - 线路选型： - 7 - 设备选型： - 7 - APN GW方案描述 - 8 - 网络拓朴图 - 8 - 方案说明 - 8 - 其他VPN解决方案没有的特点 - 9 - 移动用户 - 9 - APN GW产品简介 - 9 - 技术要点 - 10 - 硬件接口 - 10 - 物理规范 - 10 - 加密算法 - 10 - 符合标准 - 11 - APN GW的安装设置 - 11 - APN GW系列产品性能列表 - 12 - 第三章 与其他产品方案的比较 - 15 - APNGW 架构的原理 - 15 - 与纯软件VPN的比较 - 16 - 与其他支持动态IP方案的比较 - 17 - 与传统的点到中心点方案的比较 - 18 - 与传统的固定IP地址VPN方案的比较 - 18 - 与城域网方案的比较 - 19 - APNGW架构的优越性之安全性 - 19 - APNGW架构的优越性之可管理性 - 20 - APNGW架构的优越性之易扩展性 - 20 - APNGW架构的优越性之网状连接、即时通讯性 - 20 - APNGW架构的优越性之易用性 - 21 - APNGW架构的优越性之适应性 - 21 - 第四章 VOIP运用 - 22 - APN专用网实现VOIP功能 - 22 - VOIP语音服务模式 - 23 - 一般模式： - 23 - 跳转模式： - 24 - VOIP产品选型： - 25 - 语音服务标准 - 25 - 第五章 系统的安全性 - 26 - APN体系 - 26 - APN通讯的安全 - 27 - 密码算法 - 27 - APN GW防火墙功能 - 28 - 上网管理 - 28 - 符合标准 - 29 - 第六章 报价及工程实施 - 29 - 方案报价 - 29 - 附录：APN GW部分客户名单 - 30 - (APN GW TM是公司注册商标。Microsoft®、Windows®及Windows NT®均为Microsoft Corporation之注册商标。) 本公司对本建议书的内容保留未通知贵公司情况下更改的权利。其版权归山西雄龙科技有限公司所有。未经本公司书面许可，本手册的任何部分不得以任何形式手段复制或传播给贵公司以外的第三方。 方案简介 目前现状： XX市公交公司主要是经营太原市内的公交业务，现总部设在太原双塔西街，目前情况如下： n 在XX地区设立20多个公交站等分支机构，已通过自己独立建设的局域网联接到了互联网； n 总部使用了网通的2M光纤链路，现总部中心点局域网有120台左右PC，支机构分别使用了ADSL或者其他宽带上网方式，各分支机构局域网PC分别为1-20台PC不等； n 总部构架了一台公交办公网络服务器，利用2兆光纤连接到了公网上，各分支通过公网访问内部办公系统。 n 总部通过ISDN线路构架了公交IC卡售票系统专网。 实施结果 本方案主要是使用APN GW设备建立集团公司整体的网络安全架构平台，能够为太原市公交公司带来以下优势和好处： n 设备采用高稳定性的嵌入式系统硬件架构，运行稳定可靠，安装设置简单，减少维护成本。 n 充分利用现有的网络资源，无需另外投入线路费用。 n APN设备建立后每地可以节省一台pc代理服务器出来。同时避免了PC服务器夜间关机问题，满足全天24小时不间断办公的需求。 n 设备采用5种加密算法、4种数据完整性算法、5种身份认证算法保证数据在互联网上传输的安全性，防止核心的财务资料、产品资料等数据被窃取，减少企业不必要的损失。 n 基于LAN-TO-LAN的VPN隧道架构，任何B/S和C/S结构的软件都可以安全高效的运行，对软件只要使用TCP/IP协议就可以使用，对软件的兼容性强。 n 可以随时在现在的架构平台上增加VOIP和视频会议设备，扩展性强，降低企业运营成本。 n 集成高性能防火墙，方便企业管理内部网络和外网访问权限。 n 方便的和上游和下游合作伙伴建立安全访问隧道安全传输相关数据，提高整体管理效力。 APN GW平台实施： n 总部 线路――采用专线上网 设备――APN GW2500 n 分支机构 线路――采用拨号或ADSL上网 设备――APN GW2000（10台PC以上） 线路――采用拨号或ADSL上网 设备——APN GW100（10台PC以下） 注：小的站点（仅一两台PC）或者老总出差可以使用我们的软件移动客户端，但只有APN GW2000以上的设备支持移动客户端（即只有2000以上的设备可以跟移动客户端建立隧道） 通过实施以上平台，整个太原市公交公司的数据安全性能够得到很好的保护，而且可以在平台上综合运用公交物资管理系统、内部邮件系统、VOIP免费电话系统、视频会议系统等，每月只是产生线路费用，由于分支机构已使用了费用低廉、带宽高的ADSL等宽带线路，线路费用上无需投入。很好的节约了整个平台的实施费用。 第一章 客户需求及相关技术介绍 【关键词】VPN技术 客户需求 现状： 公司在各区都有分支、仓库。具体需要连接如下： 1． 各分支目前没有和总部建立数据专网传输的连接，总公司网通2M专线连接到互联网。 2． 各区的分支和办事处目前已接入互联网，通过公网访问公交办公网，服务器和数据的安全性存在很大的隐患。 3． 如果实施公交物资等管理系统，安目前的连接无法实现。 要求： 在性能和安全满足的条件下，采用较低的成本能完成以下功能： ◆建立较完善的公交公司业务管理网络体系。在现有公司总部及分支站点、营运中心、仓储的局域网基础上，采用先进的VPN技术实现各分支机构的网络互联。与此同时，总部和分支机构在统一管理的基础上可以方便的连接Internet，各部门或分之机构可以根据相应的权限访问、查询Internet资源。 ◆在这个内部的Intranet结构中，各部门和集团总部可以随时相连处理业务，运行内部办公系统、物质管理系统、财务、内部邮件系统等。 ◆在整个公司网络建立起来的情况下，增加VOIP语音网关设备，实现总公司和分支机构、各个分支机构之间的内部免费电话网络，使公司的电话费降到最低。 建议：在VPN网络平台的基础上实现视频会议系统，各分支结构采用软视频的方式（具体技术方案见视频会议系统技术方案） 面临问题分析 如果采用传统的做法，可以使用专用线路，例如DDN/X.25/FrameRealy等。还有其他方法就是采用无线联网技术，例如卫星、微波通讯等。 采用专用线路，会投入大量的设备和支付每月昂贵的租用费。而且这些设备维护比较困难，需要专业人士和相关的网络技术；而且对于整个公司的发展来说，部分分店由于规模、地理位置的原因，也不可能每个地方都采用专线连接；如果采用专线方式，总部需要安装多套线路，这在管理、维护方面就会带来更大的不便，而且成本也会大幅提高；同时，对于许多地方，也是无法安装专线。而且随着分点的增加，总部的管理越来越困难，也不太符合实际情况。 采用微波通讯，速度快，但受限制与地域条件。微波是高频传输，所以穿透力弱，对于非可视的两点或多点来说，比较难以实现连接，如果采用微波机站的方法，成本就会非常昂贵；而且还有一个比较大的缺点在于：目前许多基于微波通讯的技术例如802.11B无线局域网技术，其网桥只能是工作在数据链接层的设备，这在多点通讯是，就需要一个中心点，无法实现其他各点各自的路由。这将加大中心点的负担。 所以，我们提出采用VPN技术来实现互联互通，资源共享。 同时推荐我们的APNGW系列产品来实现本案例。 相关技术 本方案设计中采用了VPN技术和涉及到VOIP语音技术，现分别作介绍。 n VPN技术介绍： 虚拟私有网络VPN(Virtual Private Network)出现于Internet盛行的今天,它使企业网络几乎可以无限延伸到地球的每个角落,从而以安全、低廉的网络互联模式为包罗万象的应用服务提供了发展的舞台。 虚拟专用网（VPN）是利用公众网资源为客户构成专用网的一种业务。我们这里所提的VPN有两层含义： ◆它是虚拟的网，即没有固定的物理连接，网路只有用户需要时才建立； ◆它是利用公众网络设施构成的专用网。 VPN实际上就是一种服务，用户感觉好象直接和他们的个人网络相连，但实际上是通过服务商来实现连接的。VPN可以为企业和服务提供商带来以下益处： ◆公司能利用无处不在的Internet通过单一网络结构为职员和商业伙伴提供无缝和安全的连接； ◆对于企业，基于拨号VPN的Extranet能加强与用户、商业伙伴和供应商的联系； ◆电话公司通过开展拨号VPN服务可以减轻终端阻塞； ◆通过Extranet分层和相关竞争服务，ISP也可以提供不同的拨号VPN。 VPN兼备了公众网和专用网的许多特点，将公众网可靠的性能、丰富的功能与专用网的灵活、高效结合在一起，是介于公众网与专用网之间的一种网。 VPN能够充分利用现有网路资源，提供经济、灵活的连网方式，为客户节省设备、人员和管理所需的投资，降低用户的电信费用，在近几年得到了迅速的应用。 有专家认为，VPN将是本世纪末发展速度最快的业务之一。 n VOIP技术介绍： VOIP全称voice-over-internet-protocal , Internet 电话技术是目前Internet 应用领域的一个热门话题。它主要指在Internet 中实时传送声音，从广义上讲，它包括在Internet 中实时传送多媒体信息。基于因特网的实时语音通信，是目前Internet技术应用的一个重大发展方向，通过IP网络，传送商业质量的话音/传真。其特点在于其软硬件均经过精心设计和开发，可以通过任何IP网络提供无缝的话音/传真集成。 对于公众业务，和传统的PSTN相比，IP电话有以下优点: ◆能够更加高效地利用网络资源，由于IP电话采用的是分组交换技术，可以实现信道的统计复用，并且采用了高效的语音压缩技术，使网络资源的利用效率更高，大大降低了运营商的成本。 ◆可以提供更为廉价的服务 对于企业用户来说，通过IP网关传送长途电话/传真，同样具有重要的意义: ◆节省长途电话费用，用IP网络完成所有话音/传真的传送，能极大地降低了公司内部跨地域、跨国界的电话/传真成本。 ◆减少设备投资 公司可以在原来只能传送数据的网络上获得增值的话音服务，而无需再另外租用或者购买单独用于话音的设备和线路。由于所有内部通信（话音、数据、传真）都通过同一网络传送，企业可以大大降低购买和维护设备的费用。 第二章 解决方案 【关键词】APN GW 设计思路： 1． 采用APN GW产品，通过VPN技术把各分支机构和总部连接起来，组建基于TCP/IP的虚拟专用网络； 2． 组建网络之后可以直接运行任何基于TCP/IP的软件，包括KINGDEE的ERP、财务等软件。 3． 利用VOIP语音网关可以实现总部和分支机构、分支机构之间进行免费内部电话运用。 4． 组建网络之后可以在VPN网络平台上实现视频会议，远程培训等。 线路选型： 推荐使用ADSL作为连接的主要方式，其连接速度快，包月价格也相对便宜。 针对客户现有情况，我们推荐的方案主要有两种： ◆总部线路―――――网通2M专线 ◆分支机构线路―――目前上网方式主要集中在ADSL和宽带，根据调查显示各分公司一般是在市内，上网线路资源比较有优势，依据目前国内网络建设的现状和未来的发展情况，推荐采用以下上网方式： ――已经使用ADSL的分公司上网方式不变，可以继续使用。 －－没有使用上网线路的分公司可以申请ADSL线路或宽带线路。 ――已经使用宽带上网的分公司，请确认IP地址的合法性，如果是私有IP地址，可以找运营商要一个合法的互联网IP地址，不一定需要静态IP地址，动态的IP地址也可以，如果不行可以考虑申请ADSL线路。 设备选型： 总部设备： 建议采用 APN GW2500 ,它代有专业的FIREWALL防火墙和DMZ管理，，隧道传输经过3DES高安全性的加密算法，同时配有完整的路由策略、完整的日志功能。 分点设备： 建议采用APN GW2000设备，基于IPSEC构建的高安全性加密算法，同时配备备选的5种加密算法可供选择，还有3种保证数据安全性的加密算法选择，配备基于IP TABLE的包过滤和状态检测防火墙，完整的日志功能和路由安全策略，WEB页面配置（如果分支机构LAN里PC少于10台，建议使用APN GW 100，该设备不支持移动客户端） APN GW方案描述 公司在全市有多个办事处。以后可以很方便的扩展到其他各地；没有地域的限制 1. 在其他异地办公室分别放置一台APN GW 2000/100，建议都使用ADSL或有合法IP地址的宽带上网。总部建议采用APN GW 2500进行对联； 2. 在每点安装APN GW产品之后，当地的局域网可以用它作为代理服务器上网； 3. 每点与其它点的通讯速度取决于其中一个点连接internet的速度的最低上行速度。 4. 任何两点之间可以自由通讯，其连接无需转发。连接是网状的，需要星状结构可以通过APN GW5000设备进行转换。 5. 可以定义其他分点的连接情况，可以形成任意网络状况的连接。 6. 所有的管理都是基于APN GW 5000，非常智能和高效； 7. 选择电话费用较高的办事处加装VOIP语音网关设备，可以实现加密情况下的电话通讯，同时可以实现集团公司分点之间的无话费的运用，最大程度降低企业运营成本。 8. 通过在VPN网络平台上搭建的视频会议系统可以实现远程培训；再加上IP摄像头可以实现远程音、视频监控；同时只要使用相应的安全数据监控采集系统，便可以在VPN隧道内进行安全的传输； 网络拓朴图 以下是本方案的网络拓朴图： 图1 方案拓扑图 方案说明 1. 总部采用1台GW2500； 2. 各分部采用GW2000/100（十台PC以上的分公司用2000） 3. 整个过程中，现在的系统在硬件和网络上几乎无需改动； 4. 在这个网络基础上，可以直接运行VOIP，视频会议和任何基于TCP/IP的应用程序； 5. 各点基于IPSec建立VPN通道，传输经过AES/3DES等多种加密算法（可以自由选择）；同时采用MD5/RSA2048算法； 其他VPN解决方案没有的特点 1. 可扩展性：假如在安装了18个点之后，以后如果扩展，只需要在新加的点里设置即可。对前面的APNGW不需要做任何的设置（注意：如果采用其他产品，一般需要对其他点都有一一设置），直接可以使用； 2. 可管理性：可选APNGW管理模块，定制APNGW节点之间的路由逻辑关系，例如可以设定A与B连接，与C又不可连接，而B与C又可以连接； 3. 支持动态IP地址的网状的网络连接：基于APNGW架构建立的VPN网络，任意点之间是可以直接通讯，没有中心瓶颈的限制；这也是其他产品没有的特点； 4. 能与现在有的任何网络无缝接入：如果部分节点已经有了DDN、FRAMERELAY或其他VPN隧道，APNGW可以无缝的接入到现在的网络之中； 5. 易用性：APNGW产品安装、维护十分简单。一般有一点TCP/IP基础的技术人员，在几分钟内可以学会设置和安装。而且产品基于嵌入式设计，几乎无需维护； 移动用户 可以采用我们的client软件，通过笔记本电脑直接联入公司网络。我们可提供开放的接口，可以让其无缝的连接到VPN体系中。 具体应用：总部、分部都采用APNGW系列产品组建VPN网络。单机和移动用户可以采用移动客户端通过PPTP协议接入到APN系统中。 APN GW产品简介 为了实现现在线路的连接，我们提出的解决方案中利用我们的APN GW产品。它最大的特点就是费用低，稳定可靠，无需专线，无需固定IP地址。可以支持多种上网方式，如拨号、ISDN、ADSL。 产品特征 l APN GW是解决网络安全传输的最高效，最节省的组网技术。 l APN GW是专业代理服务器，实现一条线路的共享上网。 l APN GW是专业的高效防火墙，可以管理外网、内网、专网。可谓防外又防内。 l APN GW能使用动态IP接入Internet的LAN之间进行互联。 l APN GW能够实时监控网络内部的一举一动，提供网络监控日志功能。 l APN GW能形成网状的网络连接，通讯无中心瓶颈，构建高效的即时通讯平台； l 以最低成本接入，最低通讯成本提供高性能高可靠性的企业专网的计算机网络技术。 l APN GW支持ADSL ISDN DDN Dial-up方式，静态/动态IP接入。在相同的通讯带宽下，节省80%通讯费用。 l APN GW能使普通企事业也能通过Internet组建自己的企业专网。使企业所有于局域网上应用的网络应用以最低的成本应用至Internet所及的范围。 技术要点 l 协议：TCP/IP l 基于IPSec国际标准 l 完善的路由功能 l 完善的宽带代理服务器。NAT/PAT 地址转换技术保护内部网络。 l DHCP服务器 l DNS 服务器 l 设备是一个高性能的防火墙 l 内置PPPoE l Telnet or VT100终端控制端口命令行 l 支持NAT穿透 硬件接口 l Console接口：系统配置及系统监测，通过RS-232 (9600, 8N1)进行通讯 l 局域网接口：Ethernet Interface, 10/100BASE-T l 广域网接口： Ethernet Interface 10/100BASE-T) / PPPoE通讯口接口 ( 用于接ADSL Cable Modem) l 广域网接口： RS-232, 外置Dial-up Modem / ISDN TA 物理规范 l 输入电压： 110V~230V l 功率：最大约40W (GW1000/2000) l 使用环境温度：0~45 ℃ l 使用环境湿度：5~95% 加密算法 数据传输可自由选择 l AES/128位加密算法 l 3DES/168位加密算法 l SERPENT/128位加密算法 l BLOWFISH/128位加密算法 l TWOFISH/128位加密算法 l 国家密码委员会指定的硬件加密卡或第三方算法 保证数据完整可自由选择 l MD5-96 l SHA1-96 l SHA2-256 l SHA2-512 身份认证支持 l RSA 2048 l Pre-share Key 符合标准 l RFC2401 Security Architecture for the Internet Protocol l RFC2411 IP Security Document Roadmap l RFC2402 IP Authentication Header l RFC2406 IP Encapsulating Security Payload (ESP) l RFC2367 PF_KEY Key Management API, Version 2 l RFC2407 The Internet IP Security Domain of Interpretation for ISAKMP l RFC2408 Internet Security Association and Key Management Protocol (ISAKMP) l RFC2409 The Internet Key Exchange (IKE) l RFC2412 The OAKLEY Key Determination Protocol l RFC2528 Internet X.509 Public Key Infrastructure l RFC2085 HMAC-MD5 IP Authentication with Replay Prevention l RFC2104 HMAC: Keyed-Hashing for Message Authentication l RFC2202 Test Cases for HMAC-MD5 and HMAC-SHA-1 l RFC2207 RSVP Extensions for IPSEC Data Flows l RFC2403 The Use of HMAC-MD5-96 within ESP and AH l RFC2404 The Use of HMAC-SHA-1-96 within ESP and AH l RFC2405 The ESP DES-CBC Cipher Algorithm With Explicit IV l RFC2410 The NULL Encryption Algorithm and Its Use With IPsec l RFC2451 The ESP CBC-Mode Cipher Algorithms l RFC2521 ICMP Security Failures Messages APN GW的安装设置 APN GW的安装非常简单。只需连接好线路，启动机器，通过232口和windows的超级终端来设置即可。设置参数包括：广域网（类型、用户名、密码）、局域网（IP地址）。 一般功能通过WEB页面设置都可以做到，比较方便，详细的配置需要通过配置线缆进行配置。 APN GW系列产品性能列表 公司名称 深圳市奥联科技有限公司 产品名称 APN GW100/2000/2500 网站 产品定位 需要最高性能和可靠性的大型组织机构企业/大型网状的连接、从企业级、电信级用户 防火墙 紧密集成/支持分组管理、VPN通道中的用户管理和上网管理等多个模块 产品配置情况 可支持最大连接数 单域1024个、同一系统中无域数目的限制（决定于硬件）标准的5000支持1024以上个域 VPN实现机制 硬件、软件、应用 可提供网络接口 至少2个以太网口，1个console口，1个232口 操作系统平台 基于Linux的自主开发平台 协议 VPN采用协议 IPSec/PPTP/GRE/ VPN可承载协议 IP IP压缩 支持 NAT（网络地址转换） 支持 路由协议支持情况 静态路由、RIP等部分动态路由协议 功能 硬件加速功能 硬件可选 V两侧是否需要独立子网 需要 冗余与恢复 5000支持冗余备份 冗余与恢复对业务的影响 无影响 VPN网关支持流量均衡 支持 安全 安全策略 地址，端口，服务，时间，协议类型 安全机制 加密和认证、标准的IPSec和独创的Licenses认证机制 认证机制 Licenses认证机制、EAP 密匙管理协议 IKE IKE IKE Phase I 模式支持 支持 可分别设置IKE和IPSec特征 支持 IKE认证支持情况 PreShared Key、RSA硬件Key认证 认证算法支持 MD5-96、SHA1-96、SHA2-256、 SHA2-512 加密算法支持 AES/128位加密算法、3DES/168、SERPENT/128、 BLOWFISH/128、TWOFISH/128、硬件加密卡或第三方算法 加密、认证方法不同于IPSec 支持 PKI兼容情况 PKI 自动协商功能 支持 支持Internet访问 支持 日志 支持、可以查看网络用户的使用情况和系统日志 其他 网状连接，通讯无中心瓶颈 客户端 对PPTP的支持情况 支持 远程接入认证方法 Licenses认证本地用户名和口令 客户端软件平台 Windows 2000/XP 客户端支持的协议 IP/IPX 管理 是否集中管理 集中管理 管理平台 集中在5000上 远端管理 Telnet APNGW2000性能指标 硬件配置 CY233/64M RAM/8M Flash 网络接口卡 全双工10/100M自适应 最大支持隧道数目 1024个 加密算法与处理能力 加密算法名称 加密算法处理速度Kb/s NULL 7196.4 AES/128/MD5 4404.96 3DES/168/MD5 2774.4 SERPENT/128/MD5 4594.8 BLOWFISH/128/MD5 5080.24 TWOFISH/128/MD5 4933.2 VPN协议 IPSec/PPTP/GRE 隧道支持协议 http/UDP/FTP/SMTP/POP3等透明传输 输入电压 交流110V-240V 最大功率 40w 使用环境温度 0~45 ℃ 使用环境湿度 5~95% 平均无故障时间 MTBF>=28000小时 电气标准 FCC/CE APNGW2500性能指标 标准配置 C500/64M可扩展512M RAM/32M Flash/1Flash扩展口、1硬件加密卡插槽 网络接口卡 全双工10/100M自适应 最大支持隧道数目 1024个每域 通道明文处理能力 70Mbps 硬件加密卡（低端） 33.2Mbps 3DES/MD5处理能力 30.8Mbps blowfish/MD5处理能力 55.8Mbps VPN协议 IPSec/PPTP/GRE 隧道支持协议 http/UDP/FTP/SMTP/POP3等透明传输 输入电压 交流110V-240V 最大功率 100w 使用环境温度 0~45 ℃ 使用环境湿度 5~95% 平均无故障时间 MTBF>=38000小时 电气标准 FCC/CE APNGW5000性能指标 标准配置 PIII800/64M可扩展512M RAM/32M Flash/支持外挂硬盘 网络接口卡 全双工10/100M自适应 最大支持隧道数目 1024个每域 最大支持虚拟域数目 没有限制 通道明文处理能力 75.5Mbps 硬件加密卡（低端） 35.8Mbps 3DES/MD5处理能力 33.8Mbps blowfish/MD5处理能力 60.8Mbps VPN协议 IPSec/PPTP/GRE 隧道支持协议 http/UDP/FTP/SMTP/POP3等透明传输 输入电压 交流110V-240V 最大功率 100w 使用环境温度 0~45 ℃ 使用环境湿度 5~95% 平均无故障时间 MTBF>=40000小时 电气标准 FCC/CE 第三章 与其他产品方案的比较 【关键词】VDN IPSec APNGW 架构的原理 在浩如烟海的因特网中，任何APN之间是如何能找到对方的呢？ 在Internet上，不论您在任何地方上网，当您键入一个网址时，您的电脑总是准确的定位到一个地方去。这是由于因特网上有许多DNS服务器在为许多域名作解析。 根据这个思路的启发，我们设计了VDN 服务。每个APN在因特网上会属于一个虚拟的域，有自己独特的虚拟域名和虚拟主机名。同时，在Internet上，我们自己开发出一种机制来解析这些域名，使得在同一个域之间的主机能够相互按照事先预定的规则快速搜索到同域的其他机器。这种服务我们称之为VDN服务。APN GW能够获得VDN服务而与同域的其他APN建立VPN通道。需要说明的是，VDN不同于一般的DNS或DDNS，是我们自己研发的另外一套机制。 VDN Server之间支持多台冗错处理和数据同步。 我们有一系列的技术和措施保证如果其中一个VDN服务失效时APN可以随时切换到其他的VDN服务器而不会影响虚拟域策略的获得。只要APN缓存中有其中一个服务器有效，它就可以正常工作。 根据我们这项技术，我们在浩瀚的因特网中巧妙的建立了一个小小的因特网。而且由于这种机制，同一虚拟域之间一旦建立了联系，各虚拟主机之间可以任意通讯，没有任何中心节点或瓶颈的限制，所以，APN的连接是网状的。 正是因为如此，APN GW有良好的扩展性。 GW5000是VDN Server的一种。它是针对行业用户自己建立VDN Server的一种产品。支持用户建立单域控制多用户的连接。采用自己建立此项服务，您可以为本公司的APN建立更快更迅速的连接。 图3 APN GW系统体系 与纯软件VPN的比较 目前有一些纯软件的VPN解决方案，例如采用企业的网站作为登录的转换点，用软件的方法来实现VPN。 比较项目 某软件产品 APN 说明 原理 www服务器是公网固定的IP地址，提供每点连接后握手服务； 整个网络需要一个中心点； 分部只能与中心点通讯，分部与分部之间不能通讯； 整个网络是星状的，只能连接中心点。 VPN服务提供路由策略； 没有中心点的限制； 整个网络是网状的； 通讯效率 只能是与中心点通讯，而且该点还不能做转发，这比其他一些软件的VPN还要逊色； APN的连接是网状的，各点之间可以自由通讯，所以可以提供VOIP、视频会议、文件共享等功能。 网状连接是未来分布计算、实时通讯的方向 对操作系统要求 web服务器端：ASP,JSP,PHP （这将有安全隐患！） 中心点：windows 客户端：windows 没有限制 安装维护 需要维护整个软件系统；例如病毒、兼容性等问题；依赖于机器本身的性能，维护上会有比较大的麻烦 是一个硬件系统，嵌入式Linux设计，几乎无需维护 连接公网时，在Windows机器上还需安装例如Modem驱动、PPPoE拨号程序。提供软件的机器还需配置双网卡；如果要上网还要装相应的代理上网软件，安装的越多，维护和稳定性更需加困难 一个设备就可以完成。 可管理性 从原理上无法实现 节点可定义性 协议 是第二层的协议，所以它只能建立client、server这样的构架。 APN采用的IPSec/GRE/是工作在网络层的协议。也支持PPTP协议。 投入 在每个局域网内需要提供一个电脑作为网关、代理 这能真正的节约成本吗？ 可扩展 可扩展性差 非常容易扩展 产品 把FTP/Lan/Dproxy分成三个软件 APNGW一切解决。集成防火墙、DHCP服务、DNS服务、NAT代理上网和管理 与其他支持动态IP方案的比较 目前在市面上有一些其他的VPN产品，采用DDNS方式来解决动态IP的问题，究其原理，是先在国外的某DDNS服务器上注册一个虚拟域名，然后通过DDNS的客户端程序来读解该域名为IP地址，建立连接的时候以该域名为对象建立连接。 目前还没有其他产品类似于我们的VDN方式的设计。 比较项目 DDNS解决方式 APN 说明 原理 通过在国外的DDNS服务器上注册，就象申请免费的电子邮件一样，需填写大量的个人资料后才获得域名 通过VDN来实现连接和管理 需要事先注册 DDNS会是免费的吗？ 安全 DDNS的设计是为动态IP提供web服务的，所以部分DDNS上面还可以查到已经登记的域名；Client与DDNS服务之间通讯是没有加密的：因为DDNS的设计的初衷在于“让更多的人都知道” VDN与APN之间的通讯经过3DES＋随机数的方式，黑客无从下手；VDN的设计的原则是“安全服务”，高性能的防火墙，隐蔽IP地址，ssh管理 管理 由于设计的原理不一样，所以无从管理 可以在VDN上配置管理模块，实现对各节点的管理，通讯日志的查看，License的维护 通讯效率 其实这还是传统的VPN方式。 网状通讯 扩展性 每增加一点，首先要先去一个网站申请域名，同时还需要对以前的各点进行配置。 增加的点与原来的同域的点直接通讯，原来的APN不需进行改动 远程维护 没有控制点 可以从5000上远程维护其他各地的点 其他 现在国外的DDNS又部分暂时没有收费，而部分是收费的，例如www.ddns.nu，每月收费$10-$25不等，需要美金支付。 企业可以自建5000,推荐使用中国电信提供的有偿解析服务。 “没有免费的午餐” 与传统的点到中心点方案的比较 传统的VPN中，以Intel为代表的点到中心点的Shiva产品曾经风光一时。起初这种设计思路也是为了节约IP资源而设计的。因为Client端可以采用动态IP的方式连接总部的固定IP。其实Windows 2000中已经集成了这样的功能。 比较项目 点到中心解决方式 APN 说明 原理 采用直接拨入中心的固定IP的方式建立星状的VPN 与VDN获得策略的方式建立网状的VPN 协议 一般是第二层协议 第三层的协议 二者的比较参考后面的文档 管理 客户端大多是软件方式，功能有限；网关方式需要单独的一个个的管理 可以统一管理 通讯效率 中心点参与任何其他的点的通讯 互联互通，节点通讯与VDN无关 扩展性 都是到中心点 扩展后可以访问其他节点 隧道 每个Client都会建立隧道，对中心点的要求带宽和处理能力很高；软件方式需要在每个电脑上都有安装软件，每个电脑都会建立隧道（最大254） VDN不参与通讯，而各节点之间是网关型，一个局域网共享一个隧道，支持1024个隧道 总结 其实是客户端软件的方式 也支持软件接入，支持windows2000的直接拨入 与传统的固定IP地址VPN方案的比较 其实这是VPN的最传统的方式。以Cisco为代表的产品都是这样去解决。在欧美发达国家，由于固定IP地址的费用比较低，所以这种方式很容易实现，而在亚洲许多国家，IP地址比较匮乏，从而使得DDN固定IP的费用非常昂贵。 客观的说，DDN的VPN无疑是稳定的，虽然配置要求专业人员，也能形成网状的连接。但是从购买设备、安装调试和后期的维护的费用都是巨大的