[分享]全动态IP接入节点VPN互联解决方案...

全动态IP接入节点VPN互联解决方案

该方案特点：

用户网络均采用拨号方式上网（ADSL和电话modem），没有固定的IP地址（包括总部）。传统的VPN设备无法进行互联。安达通公司提供全动态IP接入环境下的VPN互联方案。

方案概述：

1、IP-VPN的联网方式大致有三种：

· 固定IP与固定IP；

· 固定IP与动态IP；

· 动态IP与动态IP。

第一种的联网方式是比较传统的方式，技术上最容易实现，目前的防火墙等设备就可以实现这种功能；第二种VPN联网方式（如：方案一）对于目前大多数专业的VPN厂商也基本能解决；而第三种方式即动态IP与动态IP之间的VPN通讯却成为很多厂商和科研机构望而却步的技术难题，实现及解决大规模的实际应用就更加困难。

安达通公司作为国内领先的专业VPN厂商，投入了很大的人力、财力，经过一段时间的攻关和研究，最终以“策略服务器”的方式解决了这个难题。

“策略服务器”管理系统由DynamicVPN管理服务器、网络管理员和DynamicVPN网元组成。Dynamic管理服务器由WEB服务器、管理应用服务器、数据库服务器组成。WEB服务器负责以WEB服务的形式对外提供各种管理服务，管理应用服务器完成具体的逻辑与业务处理功能，数据库服务器负责保存DynamicVPN管理所需要的各种数据，它可以是关系数据库和/或LDAP服务器。

安达通公司的“策略服务器”不但真正解决了全动态的VPN组网方案，还融入了PKI技术，采用基于数字证书的动态IKE进行协商和认证，解决了大规模VPN组网的安全管理和安全认证技术。

2、目前网络的现状

公司总部目前通过ADSL接入Internet，分部和门店通过ADSL或拨号接入Internet，分部及门店需要实时将商业数据上报总部，总部也需要根据反馈的信息实时向分部及门店下发商业调整指令等信息，上述整个流程由一套商业软件系统来完成。网络示意图如下：

原有的网络示意图

该方案中，建议在总部采用：Sgw25B (支持ADSL接入的硬件安全网关)；在有较大LAN的分公司采用Sgw25A(支持ADSL接入的硬件安全网关)；在只有少量机器需要互联的地方（如：门店）采用“安全网关客户端软件”(装在局域网网关处的PC上)；另外，由于整个系统没有固定IP，所以还要借用安达通公司托管在电信为全移动IP的VPN客户提供的公共的策略服务器（不需要用户维护，能够确保用户VPN专网的绝对安全。也可以由用户自建，如：放在用户的电信托管机房），该策略服务器主要用于各个局域网边界部署的安全网关以及安全客户端相互交换当时的地址。如下图：

VPN网络布署

每个拨号网关（硬/软件）在接入internet时，首先在策略服务器相应的目录下注册自己当前的IP，并取得同组的各上线网关/客户端的此时IP地址。接下来发起通讯的这一方，就可以根据获得的对端网关的IP地址，建立相应的VPN连接并进行通讯了。