四.　APN：運(yùn)營級的IPSEC解決方案

　　1.VDN體系結(jié)構(gòu)概述

　　依靠自主研發(fā)的VDN體系結(jié)構(gòu)，基于ADSL接入的VPN整體解決方案相對于其他產(chǎn)品在集中管理、簡單易用、組網(wǎng)靈活性等方面具有強(qiáng)大的優(yōu)勢，并且這些優(yōu)勢在運(yùn)營上對外提供VPN服務(wù)上被通分體現(xiàn)出來。目前，深圳電信、香港電信盈科、陜西鐵通、湖北鐵通、浙江鐵通、河南鐵通、北京鐵通、上海鐵通等運(yùn)營上已經(jīng)使用APN產(chǎn)品來做VPN的接入服務(wù)。

　　VDN體系結(jié)構(gòu)如下圖所示：

　　圖4-1 VDN體系結(jié)構(gòu)圖

　　VDN體系由四部分組成：

　　VDN服務(wù)平臺

　　監(jiān)控終端

　　管理終端

　　被管理的用戶域

　　2.VDN　服務(wù)平臺

　　VDN服務(wù)平臺通過專線接入數(shù)據(jù)骨干網(wǎng)。管理員可以在任意可以連接互聯(lián)網(wǎng)的計算機(jī)上(管理終端)上登陸VDN管理模塊，進(jìn)行客戶信息管理。為新的用戶建立新的管理域，并且在此管理域上生成對應(yīng)的節(jié)點名稱與許可證。VDN服務(wù)平臺可以管理許多的管理域。如上圖，在VDN服務(wù)平臺上為公司A建立管理域domainA，在domainA下生成3個節(jié)點名site1，site2和site3;同樣的為公司B建立管理域domainB，在domainB下生成3個節(jié)點名site1，site2和site3。VDN平臺維護(hù)著所有的用戶信息與管理域，并且通過這些數(shù)據(jù)為這些公司的APN終端設(shè)備服務(wù)。

　　終端設(shè)備連接數(shù)據(jù)骨干網(wǎng)后，根據(jù)已經(jīng)在VDN平臺上定義好的管理域與節(jié)點名稱從VDN平臺上下載相對應(yīng)的許可證號。

　　終端設(shè)備成功下載許可證號之后，每次啟動并且連接數(shù)據(jù)骨干網(wǎng)，都會自動的到VDN平臺上進(jìn)行身份認(rèn)證。VDN平臺檢查終端設(shè)備傳送上來的管理域名，節(jié)點名和許可證號，如果檢查通過，VDN平臺將通知此終端設(shè)備將外網(wǎng)的公網(wǎng)地址、內(nèi)網(wǎng)網(wǎng)段等信息傳遞上來，并且記錄到此管理域的一張路由信息表中。終端設(shè)備跟VDN平臺之間的通信都經(jīng)過168位的3DES加密算法進(jìn)行加密，加密密鑰以24位長的許可證號為密鑰材料協(xié)商生成。因為每一個終端設(shè)備的許可證號都是不一樣的，所以，每一個終端設(shè)備跟VDN平臺通信的加密密鑰也是不一樣的。　終端設(shè)備認(rèn)證通過后，就一直跟VDN平臺保持著一條加密的數(shù)據(jù)通道，我們稱為“安全通道”。

　　VDN平臺將此終端設(shè)備的傳送上來的信息加入此管理域的路由信息表后，會查詢預(yù)先定義的網(wǎng)絡(luò)拓?fù)潢P(guān)系，將路由信息匯總后發(fā)送到有需要的已經(jīng)通過身份認(rèn)證的此域其他節(jié)點。

　　如上圖所示的公司A，site1節(jié)點認(rèn)證通過后，VDN平臺為管理域domainA開辟一張新的路由信息表，記錄site1傳送上來的公網(wǎng)地址和內(nèi)網(wǎng)網(wǎng)段等信息;site2節(jié)點接著認(rèn)證通過后，VDN平臺將site2傳送上來的信息也記錄到相同的路由信息表中。然后，VDN將site1的路由信息發(fā)送給site2;將site2的路由信息發(fā)送給site1。

　　因為site1和site2之間的信息是通過VDN平臺交換的，所以，互相之間不需要象其他廠家產(chǎn)品的解決方案一樣，需要兩端都是固定IP地址，或者至少有一端是固定IP地址。

　　Site1和site2通過VDN平臺交換信息后，由其中一方發(fā)起IKE密鑰協(xié)商，在IKE密鑰協(xié)商過程中需要進(jìn)行身份認(rèn)證，APN終端設(shè)備目前支持最常見的預(yù)共享密鑰身份認(rèn)證和X。509格式的CA證書認(rèn)證。IKE密鑰協(xié)商完成后，site1和site2就建立起一條節(jié)點間的安全隧道，數(shù)據(jù)傳送是以IKE協(xié)商出來的密鑰和加密算法經(jīng)過加密后傳遞的。身份認(rèn)證、IKE密鑰協(xié)商和特定的加密算法，是數(shù)據(jù)可以通過數(shù)據(jù)骨干網(wǎng)安全傳遞的條件，也是IPSec VPN技術(shù)的基礎(chǔ)。

　　Site1和site2之間的數(shù)據(jù)傳送是通過兩者之間建立的Tunnel直接進(jìn)行的，不需要通過第三方來中轉(zhuǎn)數(shù)據(jù)，跟其他的星型結(jié)構(gòu)的解決方案有著根本區(qū)別。

　　系統(tǒng)管理員可以定義此管理域下面節(jié)點之間的網(wǎng)絡(luò)拓?fù)潢P(guān)系。管理員可為此管理域指定一個中心點，其他點都能跟此中心點建立隧道的星型關(guān)系;也可以定義一種全部或者部分網(wǎng)狀的關(guān)系;甚至可以定義星型、網(wǎng)狀和現(xiàn)狀結(jié)合的樹狀復(fù)雜關(guān)系。可以說，可以在VDN平臺上為一個公司的VPN網(wǎng)絡(luò)拓?fù)潢P(guān)系進(jìn)行任意的定義，這些都不需要對終端設(shè)備的配置進(jìn)行任何的改動。

　　當(dāng)系統(tǒng)管理員定義了公司A的管理域domainA的site3只能跟site1通，而不能跟site2通時，site3通過身份認(rèn)證后，VDN平臺檢查此管理域的網(wǎng)絡(luò)拓?fù)潢P(guān)系表，最后決定把site1的路由信息發(fā)送給site3，把site3的信息發(fā)送給site1，但，site2不會得到site3的信息，site3也不會得到site2的信息。這樣，site3能跟site1建立隧道，而不能跟site2建立隧道。

　　VDN平臺是每個管理域里節(jié)點之間的信息交換平臺，它是協(xié)調(diào)者的角色。但是，節(jié)點之間建立隧道后的數(shù)據(jù)絕對不會傳送到平臺上來，這，相似于目前最為流行的軟交換技術(shù)。

　　網(wǎng)絡(luò)維護(hù)人員可以通過任意連接數(shù)據(jù)骨干網(wǎng)的管理終端查詢VDN平臺上在線節(jié)點的信息、查看每個節(jié)點的登陸歷史記錄。

　　對于提供服務(wù)的運(yùn)營商或者是集中管理模式的應(yīng)用中，管理員甚至可以通過VDN平臺和在線終端設(shè)備之間的“安全通道”對設(shè)備進(jìn)行管理與維護(hù)。并且可在VDN平臺上制定統(tǒng)一的防火墻策略，然后下發(fā)到所有相關(guān)的終端設(shè)備上。

　　3.監(jiān)控終端

　　用戶端所用的APN終端設(shè)備都支持snmp功能。用戶不僅僅能使用第三方的網(wǎng)管軟件進(jìn)行管理和監(jiān)控，APN廠家也提供通過VDN平臺實現(xiàn)對所有在線終端設(shè)備進(jìn)行管理和監(jiān)控的功能。

　　監(jiān)控終端可以是任意一臺運(yùn)行“VDN管理系統(tǒng)”網(wǎng)管軟件并且連接數(shù)據(jù)骨干網(wǎng)的計算機(jī)。監(jiān)控終端跟VDN平臺建立加密的通道后，以VDN平臺為橋梁，通過VDN平臺跟各在線終端建立起來的“安全通道”，可查詢所有在線節(jié)點的終端信息(如版本，系統(tǒng)運(yùn)行狀態(tài)，建立起來的通道信息等)，并且可以實時的監(jiān)控流量情況，給出流量曲線圖。

　　在以后的功能擴(kuò)展中，會加入如事件報警功能，數(shù)據(jù)收集功能等。這些功能都能更好的體現(xiàn)VDN體系架構(gòu)在運(yùn)營服務(wù)和集中管理上的強(qiáng)大優(yōu)勢。

　　針對與一些終端設(shè)備受到攻擊，或者內(nèi)網(wǎng)網(wǎng)絡(luò)有病毒產(chǎn)生大量數(shù)據(jù)包通過設(shè)備時造成設(shè)備運(yùn)行不穩(wěn)定、網(wǎng)絡(luò)經(jīng)常中斷和死機(jī)等情況，系統(tǒng)管理員可以有針對性的對這些節(jié)點進(jìn)行事件定義，當(dāng)網(wǎng)管系統(tǒng)檢測到此定義的事件發(fā)生后，馬上通過email、手機(jī)短信等方式通知系統(tǒng)管理員，使得系統(tǒng)管理員能更快、更準(zhǔn)確的發(fā)現(xiàn)故障與排除故障。

　　系統(tǒng)管理員可以有針對性的通過網(wǎng)管系統(tǒng)通知VDN平臺定期收集終端上的局域網(wǎng)每IP的流量情況、上網(wǎng)情況等信息，以為用戶提供月報表等信息。

　　4.管理終端

　　管理終端可以是任意一臺運(yùn)行IE瀏覽器并且連接數(shù)據(jù)骨干網(wǎng)的計算機(jī)。系統(tǒng)管理員、網(wǎng)絡(luò)維護(hù)員通過不同權(quán)限的管理帳號進(jìn)行登陸，并且可以進(jìn)行權(quán)限允許范圍內(nèi)的操作。比如，系統(tǒng)管理員可以生成新的用戶信息，為此用戶生成新的管理域，并且在管理域下增加節(jié)點名和許可證，最后可以為此管理域的節(jié)點定義網(wǎng)絡(luò)拓?fù)潢P(guān)系。系統(tǒng)管理員還擁有網(wǎng)絡(luò)維護(hù)員的權(quán)限。網(wǎng)絡(luò)維護(hù)員可以通過平臺查看在線節(jié)點信息，查看全部節(jié)點的歷史登陸記錄，在運(yùn)營模式和集中管理模式下通過“安全通道”對在線終端設(shè)備進(jìn)行管理與維護(hù)。管理終端跟VDN管理模塊之間通過安全的https進(jìn)行通信。

　　5.被管理的用戶域

　　VDN平臺上可以生成很多的管理域。VDN平臺只會根據(jù)定義的網(wǎng)絡(luò)拓?fù)潢P(guān)系協(xié)調(diào)同一個管理域的節(jié)點之間的關(guān)系，為他們交換路由信息，協(xié)調(diào)他們建立通信的加密通道。

　　不同管理域的路由信息是不被交換的。這通分保證了不同公司之間的VPN網(wǎng)絡(luò)是嚴(yán)格隔開的，雖然他們被同一個VDN平臺所管理。