目录服务技术的原理：

第一阶段：ICEFLOW的设备第一次接入公网，首先通过内置机制自动将自己的身份信息传至冰峰在各大ISP的目录服务器中，由冰峰的目录服务器统一管理冰峰设备的身份信息，身份信息的传输是经过加密和认证的，完全保证身份标识的安全性。身份信息的内容包括设备的公网IP、VPN网段、组名、节点名、License信息等。在冰峰的目录服务器上对于设备的身份信息作保存和备份。同样所有的冰峰设备，都会作上面的动作，这样冰峰的目录服务器就存储了所有的冰峰设备的身份信息。

第二阶段：所有设备的身份信息，目录服务器会对进行对比，比较设备的组名。比如有两台设备A和B的组名相同，则目录服务器会把A的身份信息复制一份到B，同时也复制一份B的身份信息到A。这样A和B设备就有了对端的身份信息，A和B再协商建立VPN的一些必要的条件，至此VPN通道就建立起来了。

第三阶段：我们称之为心跳期。建立VPN后的冰峰设备每隔10S就和目录服务器作一次身份标识的对比，在这个过程中只进行身份信息的对比，而不是真正的数据传输，以减少链路带宽的占有率。当某台设备的身份信息出现变更，则目录服务器会更新已存储的身份信息，同时也将此信息复制一份到同组的其它设备上，以保证VPN的建立和联通。

以上三个阶段的所有动作都是设备和目录服务器自动完成,不需要人为配置.设备的身份信息包括组名、节点名、license 等。这些信息由冰峰网络提供。我们可以把组名看成是一个企业的名称，节点名是分公司或者分支机构,license是设备的序列号.这三个要素构成了设备的完整身份信息.

通过冰峰的目录服务技术,无论是ADSL、有线通、还是其它的接入方式，ICEFLOW都能自动建立VPN隧道，隧道愈合速度控制在10S范围内，让用户无需消费等待时间。

通过冰峰的目录服务平台，企业网络管理员可以通过组信息、节点信息等查看整个企业VPN网络中所有分支节点的VPN设备连接情况，做到统一管理，对于各个节点设备在线情况也能做到一目了然。此外，通过冰峰目录服务平台，所有VPN设备都能做到统一认证，从而确保企业VPN网络的正常使用。

冰峰虚拟工作台技术采用类Windows界面，用户可非常直观得看到所有发布的程序及资源。在该桌面上进行的所有操作可完全按照操作Windows的方式来使用，完全符合普通用户的操作习惯。

对于B/S资源，可做到点击后即自动打开页面，而对于C/S程序，则会在登陆后自动搜索所用主机上已安装的相关客户端程序，无需在登陆VPN后再手动运行客户端来运行程序，可直接通过点击虚拟桌面上发布的该应用程序快捷方式即打开应用程序。

冰峰虚拟工作台技术通过人性化、直观的界面感受，减化了常规SSL VPN使用时的操作过程，更符合如今使用者追求简单、直观、美观的要求。

通过冰峰的目录服务平台，企业网络管理员可以通过组信息、节点信息等查看整个企业VPN网络中所有分支节点的VPN设备连接情况，做到统一管理，对于各个节点设备在线情况也能做到一目了然。此外，通过冰峰目录服务平台，所有VPN设备都能做到统一认证，从而确保企业VPN网络的正常使用。

冰峰远程镜像模式主要针对IPSec、SSL接入下的C/S应用加速，其原理如图所示，其优势有：

IF. 免除本地客户端安装，有效截止来自客户端上的安全入侵。
IF. 利用服务器的多用户协同工作，可以为各门店分配不同的镜像，独立执行各自操作，操作过程互不干预。
IF. 自动完成远程镜像安装，独立全屏工作窗口，用户上手简便。
IF. 程序执行全程为即时指令提交，提升线路的利用率，避免原C/S构架下的整体录入后，一次性存盘提交带来的大数量问题，使得用户操作速度大幅度提升。
IF. 避免ADSL拨号中断带来的重复提交问题。当用户在操作过程中出现了线路中断，可在下一次登录远程镜像模式时，继续完成之前未完成操作，而不必重复之前的状态。
IF. 通过镜像模式，还可以让ERP终端操作在执行打印服务时，路由到本地打印机。让各门店不仅在远程快速执行操作，还可以本地快速获得打印出的数据报表。

运用专线网络、普通拨号接入作为校区互联应用的基础，已经不是满足远程接入的必要手段。VPN技术的实现，特别是SSL VPN在B/S、C/S构架的网络上全面适应，以及高强度加密保障传输安全等性能，已逐步形成一种主流的替代模式。

如何保证大规模应用下的VPN接入？如何保证应用服务器负载能力？这是校园网建设中存在的问题之一。

要引入VPN接入，就必须考虑到大规模应用的支持问题，必须保证外网接入校园网的需求，以及在大规模访问的应用下，来自客户端的安全性，来自于服务器端的稳定性，来自于线路传输的及服务器数据处理的高效性，还有来自于用户应用的简便性。四者缺一不可。

对于大规模应用下的VPN接入需求来说，综合归类，体现较为突出的问题有以下三点：

IF. 大规模应用，致使服务器的超负荷运作；
IF. 单点故障，致使业务风险增加；
IF. 设备高端化，使得采购成本的增加。

随着教育信息化的应用越渐规模化，网络硬件设备的高端化，面临的问题也是呈正比攀升。以问题为中心进行化解，从而抑止应用落差的增长势头，完善和弥补以往信息化应用中的不足之处，将应用更优化，将问题归零化，这才是合格的解决方案所该做到的内容。

如图所示：

对于多用户群的接入，以SSL VPN安全产品作为校园网络中心网关，让用户群通过SSL方式建立专用安全隧道，再以Web浏览器进行远程登陆。首先解决了安全接入，及缓解专线占用的高额费用问题。

其次以集群技术（接入、线路、应用）拓展规模应用，并以负载均衡技术平衡多服务器之间的占用与冗余问题。

完善的解决方案应该从产品研发设计之初，就开始在思考怎么才能通过一机多能的形式去为用户节约网络设备的采购成本。

为此，在大规模应用下的VPN接入解决方案里，集成技术充分地发挥了它的作用。通过系统硬件集成，将防火墙、负载均衡等规模化应用功能，以及其他在应用上所涉及到的技术通通整合在VPN设备之中。让一机多功能的设想充分实现，并在真正意义上为用户节约了设备多样化的经费投入。

作为突出于解决方案里负载均衡，它的意义起到决定大规模应用的可行与否。

如图所示：

外网数据流进入校园网访问会自由分布在三个服务器中。但大数据流量往往是流向默认的服务器A。

在不采用负载均衡模块时，在大规模集群应用便会出现默认服务器超负荷运行，而备用服务器还处在空闲状态。

我们分析对比一下采用SSL VPN设备的情况，首先在使用SSL VPN的方式下，就节省了负载均衡设备的开支。其集成的负载均衡模块可以在出现大流量数据的状况时，根据调度算法和动态权重分配计算，将数据分流到备用服务器，以减免主服务器的超负荷运行，同时提高了资源的利用率消除冗余。

普通的VPN设备即便可以平衡多服务器的利用率，但一旦线路上的服务器出现在应用故障，假使VPN设备还继续在平衡分配数据流的话，将得不偿失。是以在集成了负载均衡工作策略的VPN设备中还应该加入了应用检测与负载检测功能，以保障单点故障出现时，其它设备能够及时反应并接入故障设备的工作数据流。

如图所示：

当服务器A出现故障时，会自动将服务不可达的指令反馈到VPN设备上，此时VPN设备将截断流向服务器A的数据流，并将后续数据导向其他工作中的服务器上。

同理，当检测出服务器C的反馈信息为满负载状态时，也会将流向服务器C的数据流导向状态正常的服务器B。这就是VPN的应用检测与负载检测工作策略，是保障系统正常运作的基本。

网络世界无所谓纵横分布，每一个交点上都可能汇集着多条不同的线路，就说国内现状，电信、网通、铁通、联通争相角逐，又有教育网、科技网的应用覆盖，这就很难保证同一所高校的所有节点应用在同一个网内。多线路的接入会产生数据在线路之间转移时的延时现象。而对于大流量的数据在传输过程中，又会导致带宽瓶颈等问题。多线路智能分流技术便应运而生了。

如何保证多条线路充分利用？这是校园网建设中存在的问题之一。

从之前提到的需求来看，这是教育行业中普遍存在的问题。我们处于一个多线路接入应用的时代。教育网、移动、联通、电信……舍去任何一方的资源都违背了因特网资源共享的理念。从外网接入需求看，保障线路并行、优质线路选择、实时路由选择是当前应用下的首要需求。相对于从内网访问需求看，优化传输、数据分流也是不可或缺的要素。

从这个需求的角度出发，可以分别从内网访问和外网接入的两个角度却理解这一解决方案的应用特征。

内网用户在访问外网资源时，VPN设备将根据用户的目标地址，引导对方接入相应的资源线路。这是多线路智能分流技术的体现，也是VPN设备第三个智能化的体现。

网络线路的多样化，造成了数据传输的复杂，如果不采用多线路智能分流技术，很可能在访问电信资源时，却是经由教育网线路出去的。线路的过长和带宽的差异便会产生之前提到的种种问题。这本身也违背了运筹学中所提到的较短线路问题的优化原理。

而实质上，采用了智能分流应用后，校园网访问外网资源，可以由相应的接入端口线路出去，到达访问地址，从而优化传输，实现数据分流。

另一种方式是外网用户接入内网时，VPN设备将根据用户的源接入地址，引导对方接入相应的线路端口，访问目的资源。这里体现的是第四个智能化技术，即自适应智能选路。

多线路应用下的网络现状，体现较为突出的要属电信网通之间的互联上。正常情况下，网通用户访问电信资源，都需要经由特定网关中转，延时约在420毫秒以上，但是换做集成多线路智能技术的VPN设备进行中转，则可以将延时缩小到60毫秒以下，这基本上是正常线路的传输时长，这是保证多线路并存的核心。

在这里，读者或许会认为多线路智能分流与自适应用智能选路有许多类似的地方。其不同之处在于前者是多线路的智能分流，是将接入的用户导向对应的目的端口，后者则是将不同的接入用户通过相应的线路端口导入，再通过VPN设备，引入目标地址。

实质上，这里所提到的两种方式，在技术上是可以实现并存的。这也是VPN设备高扩展性能的体现，以随时随地面对信息化的未来发展。

由于当前中国国情，导致中国“南电北网”的情况出现，许多企业由于本身规模的扩大，许多分公司或分支机构分布在全国各地，所使用的运营商线路也由于地域的原因而造成差异，从而从线路上直接导致分公司与总部的网络速度迟缓。因此，现在越来越多的公司采用在总部申请双线路的方式来改善网络速度。

冰峰路由设备通过双线路接入方式可以做到两方面的网络优化。一方面是VPN的数据传输速度优化；另一方面是局域网用户的上网速度优化。

冰峰VPN产品可完全结合双线路使用，利用总部VPN设备作为双线路中心节点以及中转设备，通过分组不同运营商线路的分支，利用同一运营商线路速度稳定的特点，解决不同运营商情况下的网络延迟问题。

举例说明，该公司有分支机构A和B，A采用电信线路，B采用网通线路，为了保证全公司网络的畅通，在总部同时申请了电信和网通线路，利用冰峰目录服务技术，将总部的电信IP与分支A建立电信组，将总部的网通IP与分支B建立网通组，这样，A与总部的网络延迟仅为电信间的极小延迟，而B则同样是这样。而如果A与B直接需要通信，由于原来A、B的不同运营商线路问题，导致速度会非常缓慢，通过以上的网络构造后，A到B的整条网络通路的延迟仅为A到总部电信的网络延迟加上B到总部网通的网络延迟再加上可以忽略不计的总部两个网口之间的网络延迟，从而达到双线路网络优化分流目的。将VPN节点间的数据传输速度可提高几倍到十几倍。

双线接入的另一个优化体现在局域网用户的上网速度上。冰峰设备内置的地址分组可以让网络管理人员很轻松的制定基于地址组的策略路由。设备内置的地址组分为电信组和网通组，当用户去访问电信的资源时，数据经过电信线路接入到互联网。同理，网通资源走网通线路。并且地址组可以编辑。这种应用不存在各ISP间的数据接口问题，从而优化网络。

冰峰双线路功能，有效解决了当前许多客户头疼的运营商线路差异导致网络速度延迟大的问题，并为内网用户对于不用公网运营商线路资源的访问提高了访问速度， 给许多企业带来了福音。

双机双线技术，可以保证数据中心在任何时间内都保持健康在线状态，实时提供服务，不影响企业业务系统。

如图：两条光纤接入公网，每条光纤均通过收发器转换为以太网信号，经一个小交换机，由两根以太网线接到两台F5200上，实现每条光纤都接了两台VPN设备，每台VPN设备都接到两条光线，实现负载均衡和线路备份，设备备份。

IF. 两条线路、两台VPN设备均正常时：客户端自动从两条线路接入在两台VPN设备上，两条线路自动分摊流量，两台VPN设备自动分摊负荷。
IF. 当1条线路故障，2台VPN设备正常时：终端均通过正常的线路接入到两台VPN设备上，两台VPN设备自动分摊负荷；
IF. 当2条线路正常，1台VPN设备故障时：客户端自动通过两条线路接入到1台VPN设备上，两条线路分摊流量。

双机双线技术，可以保证数据中心在任何时间内都保持健康在线状态，实时提供服务，不影响企业业务系统。

如图：两条光纤接入公网，每条光纤均通过收发器转换为以太网信号，经一个小交换机，由两根以太网线接到两台F5200上，实现每条光纤都接了两台VPN设备，每台VPN设备都接到两条光线，实现负载均衡和线路备份，设备备份。

IF. 两条线路、两台VPN设备均正常时：客户端自动从两条线路接入在两台VPN设备上，两条线路自动分摊流量，两台VPN设备自动分摊负荷。
IF. 当1条线路故障，2台VPN设备正常时：终端均通过正常的线路接入到两台VPN设备上，两台VPN设备自动分摊负荷；
IF. 当2条线路正常，1台VPN设备故障时：客户端自动通过两条线路接入到1台VPN设备上，两条线路分摊流量。