四.　APN：运营级的IPSEC解决方案

　　1.VDN体系结构概述

　　依靠自主研发的VDN体系结构，基于ADSL接入的VPN整体解决方案相对于其他产品在集中管理、简单易用、组网灵活性等方面具有强大的优势，并且这些优势在运营上对外提供VPN服务上被通分体现出来。目前，深圳电信、香港电信盈科、陕西铁通、湖北铁通、浙江铁通、河南铁通、北京铁通、上海铁通等运营上已经使用APN产品来做VPN的接入服务。

　　VDN体系结构如下图所示：

　　图4-1 VDN体系结构图

　　VDN体系由四部分组成：

　　VDN服务平台

　　监控终端

　　管理终端

　　被管理的用户域

　　2.VDN　服务平台

　　VDN服务平台通过专线接入数据骨干网。管理员可以在任意可以连接互联网的计算机上(管理终端)上登陆VDN管理模块，进行客户信息管理。为新的用户建立新的管理域，并且在此管理域上生成对应的节点名称与许可证。VDN服务平台可以管理许多的管理域。如上图，在VDN服务平台上为公司A建立管理域domainA，在domainA下生成3个节点名site1，site2和site3;同样的为公司B建立管理域domainB，在domainB下生成3个节点名site1，site2和site3。VDN平台维护着所有的用户信息与管理域，并且通过这些数据为这些公司的APN终端设备服务。

　　终端设备连接数据骨干网后，根据已经在VDN平台上定义好的管理域与节点名称从VDN平台上下载相对应的许可证号。

　　终端设备成功下载许可证号之后，每次启动并且连接数据骨干网，都会自动的到VDN平台上进行身份认证。VDN平台检查终端设备传送上来的管理域名，节点名和许可证号，如果检查通过，VDN平台将通知此终端设备将外网的公网地址、内网网段等信息传递上来，并且记录到此管理域的一张路由信息表中。终端设备跟VDN平台之间的通信都经过168位的3DES加密算法进行加密，加密密钥以24位长的许可证号为密钥材料协商生成。因为每一个终端设备的许可证号都是不一样的，所以，每一个终端设备跟VDN平台通信的加密密钥也是不一样的。　终端设备认证通过后，就一直跟VDN平台保持着一条加密的数据通道，我们称为“安全通道”。

　　VDN平台将此终端设备的传送上来的信息加入此管理域的路由信息表后，会查询预先定义的网络拓扑关系，将路由信息汇总后发送到有需要的已经通过身份认证的此域其他节点。

　　如上图所示的公司A，site1节点认证通过后，VDN平台为管理域domainA开辟一张新的路由信息表，记录site1传送上来的公网地址和内网网段等信息;site2节点接着认证通过后，VDN平台将site2传送上来的信息也记录到相同的路由信息表中。然后，VDN将site1的路由信息发送给site2;将site2的路由信息发送给site1。

　　因为site1和site2之间的信息是通过VDN平台交换的，所以，互相之间不需要象其他厂家产品的解决方案一样，需要两端都是固定IP地址，或者至少有一端是固定IP地址。

　　Site1和site2通过VDN平台交换信息后，由其中一方发起IKE密钥协商，在IKE密钥协商过程中需要进行身份认证，APN终端设备目前支持最常见的预共享密钥身份认证和X。509格式的CA证书认证。IKE密钥协商完成后，site1和site2就建立起一条节点间的安全隧道，数据传送是以IKE协商出来的密钥和加密算法经过加密后传递的。身份认证、IKE密钥协商和特定的加密算法，是数据可以通过数据骨干网安全传递的条件，也是IPSec VPN技术的基础。

　　Site1和site2之间的数据传送是通过两者之间建立的Tunnel直接进行的，不需要通过第三方来中转数据，跟其他的星型结构的解决方案有着根本区别。

　　系统管理员可以定义此管理域下面节点之间的网络拓扑关系。管理员可为此管理域指定一个中心点，其他点都能跟此中心点建立隧道的星型关系;也可以定义一种全部或者部分网状的关系;甚至可以定义星型、网状和现状结合的树状复杂关系。可以说，可以在VDN平台上为一个公司的VPN网络拓扑关系进行任意的定义，这些都不需要对终端设备的配置进行任何的改动。

　　当系统管理员定义了公司A的管理域domainA的site3只能跟site1通，而不能跟site2通时，site3通过身份认证后，VDN平台检查此管理域的网络拓扑关系表，最后决定把site1的路由信息发送给site3，把site3的信息发送给site1，但，site2不会得到site3的信息，site3也不会得到site2的信息。这样，site3能跟site1建立隧道，而不能跟site2建立隧道。

　　VDN平台是每个管理域里节点之间的信息交换平台，它是协调者的角色。但是，节点之间建立隧道后的数据绝对不会传送到平台上来，这，相似于目前最为流行的软交换技术。

　　网络维护人员可以通过任意连接数据骨干网的管理终端查询VDN平台上在线节点的信息、查看每个节点的登陆历史记录。

　　对于提供服务的运营商或者是集中管理模式的应用中，管理员甚至可以通过VDN平台和在线终端设备之间的“安全通道”对设备进行管理与维护。并且可在VDN平台上制定统一的防火墙策略，然后下发到所有相关的终端设备上。

　　3.监控终端

　　用户端所用的APN终端设备都支持snmp功能。用户不仅仅能使用第三方的网管软件进行管理和监控，APN厂家也提供通过VDN平台实现对所有在线终端设备进行管理和监控的功能。

　　监控终端可以是任意一台运行“VDN管理系统”网管软件并且连接数据骨干网的计算机。监控终端跟VDN平台建立加密的通道后，以VDN平台为桥梁，通过VDN平台跟各在线终端建立起来的“安全通道”，可查询所有在线节点的终端信息(如版本，系统运行状态，建立起来的通道信息等)，并且可以实时的监控流量情况，给出流量曲线图。

　　在以后的功能扩展中，会加入如事件报警功能，数据收集功能等。这些功能都能更好的体现VDN体系架构在运营服务和集中管理上的强大优势。

　　针对与一些终端设备受到攻击，或者内网网络有病毒产生大量数据包通过设备时造成设备运行不稳定、网络经常中断和死机等情况，系统管理员可以有针对性的对这些节点进行事件定义，当网管系统检测到此定义的事件发生后，马上通过email、手机短信等方式通知系统管理员，使得系统管理员能更快、更准确的发现故障与排除故障。

　　系统管理员可以有针对性的通过网管系统通知VDN平台定期收集终端上的局域网每IP的流量情况、上网情况等信息，以为用户提供月报表等信息。

　　4.管理终端

　　管理终端可以是任意一台运行IE浏览器并且连接数据骨干网的计算机。系统管理员、网络维护员通过不同权限的管理帐号进行登陆，并且可以进行权限允许范围内的操作。比如，系统管理员可以生成新的用户信息，为此用户生成新的管理域，并且在管理域下增加节点名和许可证，最后可以为此管理域的节点定义网络拓扑关系。系统管理员还拥有网络维护员的权限。网络维护员可以通过平台查看在线节点信息，查看全部节点的历史登陆记录，在运营模式和集中管理模式下通过“安全通道”对在线终端设备进行管理与维护。管理终端跟VDN管理模块之间通过安全的https进行通信。

　　5.被管理的用户域

　　VDN平台上可以生成很多的管理域。VDN平台只会根据定义的网络拓扑关系协调同一个管理域的节点之间的关系，为他们交换路由信息，协调他们建立通信的加密通道。

　　不同管理域的路由信息是不被交换的。这通分保证了不同公司之间的VPN网络是严格隔开的，虽然他们被同一个VDN平台所管理。