《安达通特色技术》由会员分享,可在线阅读,更多相关《安达通特色技术(12页珍藏版)》请在金锄头文库上搜索。
1、1安达通 VPN 专有技术20010 年 4 月2目 录特色 1:“单臂连接”技术 .3特色 2:“虚地址互连” 技术 .4特色 3:“自动路由” 技术 .4特色 4:“双边穿透”技术 .6特色 5:“链路均衡”技术 .7特色 6:“透明接入”技术 .8特色 7:“隧道接力” 技术 .8特色 8:“硬软件平台”技术 .9特色 9:“客户端策略动态下载”技术 .10特色 10:“主机绑定”技术 .10特色 11:“双网隔离”技术(IPSec Only 技术) .11特色 1:“ 单臂连接 ”技术传统 VPN 设备在部署时,遇到与防火墙、路由器配合使用时,通常采用“串联”(即:接在防火墙、路由器与
2、内网交换机之间)或“并联”方式(即:与防火墙、路由器并列部署)接入原有网络。 “串连”方式增加单点故障,并容易造成性能上的瓶颈;“并联”方式需要多个公网 IP 地址,并在客观上造成多个公网出口,带来安全隐患。针对这两种传统的 VPN 设备部署方式,安达通 VPN 安全网关则可采用一种非同寻常的部署方式: “单臂连接” 。采用此种部署模式,能够在对用户环境最小改动的前提下部署 VPN,极大提高了 VPN 设备对网络环境的适应能力。所谓“单臂连接”指的是安全网关只接一个口到内网交换机中,另外一个口不接线,即把安全网关设备当作一台服务器或主机,专门处理 VPN 报文的加解密。从实现技术上而言,单臂连
3、接结合了上述串行连接和并行连接两者的特点,需要在防火墙(路由器)上为安全网关做静态端口映射(静态 NAPT) ,同时也需要在防火墙(路由器)上添加静态路由来解决要通过 VPN 的数据包正确流向的问题。结合自动路由技术,单臂连接方式能在对用户环境最小改动的前提下部署 VPN,大大增加了 VPN 设备对网络环境的适应能力 。单臂连接实际案例配置示意图如下所示:I n t e r n e t各种接入方式移动 用户S u r e I D 1 7 2 . 1 6 . 1 . 1 - 1 0ADSL分部 网关分 部子网P C动 态获取I P1 9 2 . 1 6 8 . 2 . 0 / 2 4P C1 9
4、 2 . 1 6 8 . 2 . 2 5 4防火 墙总 部子网P C2 1 8 . 1 . 1 . 11 9 2 . 1 6 8 . 1 . 0 / 2 41 9 2 . 1 6 8 . 1 . 2 5 41 9 2 . 1 6 8 . 1 . 1V P N 安全网关光纤示例中总部局域网利用一台防火墙通过光纤接入互联网,防火墙外口 IP 地址为218.1.1.1,内口 IP 地址为 192.168.1.1,现仅将安全网关的 LAN 口接到内网交换机。安全网关工作在路由模式下,LAN 口 IP 地址 192.168.1.254, WAN 口任意设置一个 IP 地址,比如为 1.1.1.1,总部内
5、网只有一个子网 192.168.1.0/24。该单位有一异地分部,采用 ADSL接入互联网,并使用 SGW25A 安全网关作为接入设备,内网也只有一个子网为192.168.2.0/24。通过这样的部署,可实现该分部与总部子网的 VPN 互连。同时还可实现移动客户端的远程接入(如上图) ,客户端的私有 IP 地址为 172.16.1.1-10。本示例中采用“单臂连接”技术部署安达通 VPN 安全网关,几乎不用改动用户原有的网络拓扑,实施过程对用户无任何影响;而且没有在用户主干线路上串接设备,不会造成额外的单点故障而降低线路可靠性。4特色 2:“ 虚地址互连 ”技术众所周知,构建 VPN 网络时,
6、需要通信双方局域网的 IP 地址统一规划,错开网段;如果发生 VPN 双方内网 IP 网段相同或重叠等冲突情况,传统的 VPN 设备就无法部署。只有要求用户修改其中一方的 IP 地址来解决。这种做法本无可厚非,但是如果用户网络规模较大或用户的计算机水平较低时,就会带来相当大的工作量,因此它成为很多 VPN 工程实施人员非常头痛的事情。上海安达通公司凭借雄厚的技术实力,独创了虚地址互连技术,一举解决该问题,并在大量的 VPN 实施案例中(如:浙江石化全省加油站 IC 卡加油 VPN 互联项目)得到了充分验证。虚地址互连技术是指设备在对 IP 报文加密封装之前先做一次地址转换,从而屏蔽内网通信的真
7、实私网 IP 地址。在地址冲突的情况下,在 VPN 通信的一方实施虚地址变换,先把与对方冲突的 IP 转换成自己规划的一段虚拟 IP 地址,再进行 VPN 隧道封装,用新规划的虚拟 IP 地址去访问对方的子网,这样就实现了在地址冲突环境下的 VPN 互联,用户 PC的实际 IP 地址也就不需要进行改变了。在虚地址互连技术中,虚拟 IP 地址规划就尤为重要,要规划一段与整个 VPN 体系中都不冲突的 IP 作为虚拟 IP 地址,虚拟 IP 地址通常采用私网 IP。在实际操作中,虚地址互连技术又通常分为两种,即“动态虚地址互连技术”和“静态虚地址互连技术” 。 “动态虚地址互连技术”通常把一段 I
8、P 地址转换成一个 IP 地址,只能实现单向的数据访问,即做虚地址变换的一方单向访问对方;而“静态虚地址互连技术”把原来的 IP 地址与虚拟 IP 地址之间建立一一的对应关系,能实现双向的访问,但在未实施虚地址变换的一方必须用虚拟 IP 地址访问对方的主机。一个总部局域网和分部局域网 IP 地址冲突,用虚地址互连技术来实现互联的示意图如下所示:安全 网关I n t e r n e t安全 网关1 9 2 . 1 6 8 . 1 . 0 / 2 4 1 9 2 . 1 6 8 . 1 . 0 / 2 4服务 器P CP C P C总部分部将 1 9 2 . 1 6 8 . 1 . 0 网 段I
9、P 转 换成虚拟I P 2 0 . 2 0 . 1 . 0 网段用虚拟地址访问如图所示,在分部的 ADT 安全网关上实施了虚地址变换,将与总部冲突的 192.168.1.0网段转换成虚拟地址 20.20.1.0 网段,进而进行 VPN 互联,从而用该虚拟地址去访问总部子网。特色 3:“ 自动路由 ”技术用 VPN 设备建立网对网形式的 VPN 网络时,为了保证双方子网之间能够通过 VPN隧道通信,通常的一个前提条件是,需要双方子网的缺省路由都指向 VPN 设备的内网口;如果是内网有多个网段的情况,则需要在内网的三层交换机或各路由器上添加到对端 VPN网络的静态路由,即到对端 VPN 网络的 I
10、P 数据包都转发到 VPN 设备的内网口。这样才能5保证从本地子网到 VPN 对端的数据包能被 VPN 设备正确的加密封装并发送。组建 VPN 网络时内网路由指向如下图所示:I n t e r n e t防火 墙光纤安全 网关ADSL三层 交换内网安全 网关内网P CP C缺省 路由到对 端子网的静 态路由上述的这些要求在某些用户环境下部署 VPN 时会带来相当大的影响,比如客户端接入一个相当大而且复杂的专网内部,如果使用传统的部署办法,则需要在内部专网的每个路由器和三层交换机上都添加静态路由;如果内部采用动态路由协议,则需要做静态发布,对用户原有的内网系统影响较大,且配合工作相当繁琐且复杂,
11、极容易因为部署 VPN 而造成其他相关问题。为了避免因为部署 VPN 带来这些副作用,使得用户能够快速轻松的部署 VPN,安达通公司开发了独创的“自动路由技术” ,彻底解决了上述的问题。“自动路由技术”的基本原理是 VPN 设备收到对端设备(或客户端软件)发过来的密文后,在执行解密操作后在做一次地址转换,将对端的私网 IP 地址转换成本地内网的IP(通常是安全网关 LAN 口 IP) ,在转换后再发送报文,用转换后的本地内网 IP 与本地子网内的主机或与本地子网相连的其他私网进行通信,而返回的报文则恰好相反,先做 NAT反变换后在进行 VPN 加密和封装。通过该技术,从 IP 上来看,使得 V
12、PN 不同子网之间的通信实际上变成了本地内网之间的通信,从而无需改变任何内网路由的配置,因为内网之间在没有部署 VPN 之前本身就是可以互通的。采用该技术,由于 NAT 变换是在解密后实施的,因此通常在单向访问的 VPN 网络中(只是一端发起访问,比如移动客户端访问专网)使用该技术,且在被访问端的 VPN 网关上配置相应的策略。那在需双向访问的 VPN 网络中能否使用“自动路由技术”呢?答案是肯定的,在需双向访问的 VPN 中,实施“先做 VPN 再做静态 NAT”,即要将对端 VPN 网络的内网主机 IP 静态一一映射成本地的内网地址,前提是本地内网要有足够多的未使用的IP 地址分配给对端的
13、 VPN 主机。采用该技术 VPN 联网成功后,实施双向访问时,本地子网访问对端子网时需要用一一映射后的本地内网地址,也就是访问本地子网地址实际上访问的是对端 VPN 子网的内网主机。以一个安徽某电力公司移动办公的案例为例,在接入的 VPN 网关上实施“自动路由技术” ,无需在电力内网的路由器和三层交换机上添加静态路由,如下图所示:6I n t e r n e t各种接入方式移动 用户 1S u r e I D 安全 网关ADSL省公司网络某市 电力公司内网路由 器ADSL接入网段内 网网段2内 网网段1内 网网段n 路由 器三层 交换 机移动 用户 nS u r e I D各种接入方式在安全网 关上配置 “ 先做V P N 后做N A T
