冰峰目录服务技术
    上海冰峰网络作为专业的VPN解决方案提供商及产品供应商,是国内仅有的几家具备完全自主知识产权的IPSEC和SSL VPN产品线的厂商之一,鉴于国内绝大部分企业采用宽带接入方式的特点,冰峰网络在国内首家引入目录服务技术,革命性地解决了组建VPN网络时面临的动态IP问题,摒弃了传统的依赖于DDNS动态寻址的VPN组网方式,有效地保证了VPN网络的可靠性和稳定性。那么,冰峰网络是如何通过目录服务技术解决全动态寻址的问题的呢?又是如何保证用户异地机构间敏感数据传输的安全性的呢?这些都是用户普遍关心的问题。
一、目录服务协议原理
    目录服务方式使用冰峰网络提供的在公网上的多组目录服务器集群,通过ICEFLOW目录协议交换设备相关信息,从而保障客户VPN网络的稳定连接。
 
   1. 几个基本概念
(1) 目录服务器:由放置于异地多个运营商机房的目录服务器集群组成,完成用户VPN终端身份的认证、动态IP地址交换、统计管理、系统管理及各节点License分发等功能。
(2) Group(组):对应于特定的用户,如A公司就是一个组的概念,同一用户有多个分布在不同地域的办事机构,它们从属于同一个组,只有同组的VPN设备才能建立VPN通道。
(3) Site(节点):对应于用户分散在不同地域的某台VPN终端设备,如A公司总部在上海,分公司在北京,则可以用A公司的上海节点、A公司的北京节点来标识这两台VPN终端。另外,同组内节点不可重名,一个节点也只能从属于一个组,不能跨多个组。
(4) License:每台VPN终端设备出厂时都必须内置一串由目录服务器随机生成的License,License和组名、节点名共同构成该设备的唯一身份信息,缺一不可。
   2. 目录服务协议工作过程(以R5000H产品为例,其它型号产品同理)
   R5000H产品启动时,首先进行PPPOE拨号,拨号成功后,即可获取当前使用的公网IP,随后,R5000H会自动搜索其内置的目录服务器列表,经冰峰独有的优先路径算法后,与指定的目录服务器进行数据交换,数据中主要包括R5000H身份认证,IP地址登记及IP地址下载三部分。
(1) 身份认证:首先,目录服务器会对R5000H的身份进行认证,与目录服务器内置的设备信息库比对R5000H提交的组信息、节点信息、license信息及硬件特征信息(如是首次提交,仅比对组、节点和License信息,并记录该节点的硬件特征信息),比对一致后,R5000H通过身份验证。
(2) IP地址登记:确认了R5000H的合法身份后,把该R5000H的IP地址记录到目录服务器对应的地址库,假设同时与该R5000H同组的其他设备也完成了身份验证和地址提交工作,那么,在目录服务器的地址库中就保存了所有VPN终端当前的IP地址。IP地址下载。下载与该R5000H同组的其他设备的IP地址,这样,这个R5000H就知道了它同组的其他所有设备的IP地址。
   在此之后,每次有设备IP地址变动是都会通知目录服务器,目录服务器会将变动通知同组的其他设备,这样,保证了每台设备上一直保存着最新的IP列表,同时IP地址的同步保证了VPN网络在发生异常时,最多10秒内自动愈合。
二、技术优势
   1. 稳定性优势
    目录服务方式是灵活的VPN组网方式,它使用ICEFLOW可靠的目录服务协议提供IP地址的交换,避免了使用动态DNS方式中可靠性无法保证的问题,由于使用的是专有VPN服务的协议,其高可靠性和反应时间保证了客户VPN网络的快速建立及稳定。
    冰峰网络通过负载均衡技术和备份方案,保证目录服务器的稳定可靠。通过负载均衡技术结合最优路径选择原则,VPN终端会与最快响应其认证请求的目录服务器通信,提交下载相应信息,确保VPN终端在断线恢复时快速与目录服务器进行信息交互,将用户由于网络断线重连导致的VPN断开影响降到最低,一般情况下,愈合时间会控制在10S以内;通过群集技术和异地备份技术确保目录服务器的100%在线率和实时数据同步,避免由于单台目录服务器宕机或网络问题导致的VPN无法建立问题。
   2. 安全性优势
    处于同一组内的设备内置相同的组名,只有通过严格的组密码验证方可下载同组其他设备的IP地址,建立VPN通道,而不是同一组内的设备由于组名不一致,无法通过组验证,也就自然无法建立通道,所以就不会出现用户A的节点与用户B的节点建立VPN的情况。另外,由于一个节点只能从属于一个组,不存在跨组建立VPN通道的情况,杜绝了非法用户通过加入多个组窃取非授权访问的问题。
    冰峰系列产品在向目录服务器提交其身份验证信息时,包含了自身的硬件特征信息,目录服务器通过独有的指纹认证技术,比对VPN终端当前提交的硬件特征信息和目录服务器数据库内保存的节点硬件信息,比对一致方可提交IP地址信息,假设非法用户拥有同型号的一台设备,即使将所有的配置参数完整的复制到另一台相同的VPN设备上,也不可仿冒原来节点的身份信息,无法接入客户的VPN网络,从而防止非法VPN隧道的建立。
    目录服务器作为建立VPN通道过程中的第三方,仅仅在VPN建立之初实现终端身份验证和各方动态IP地址交换的作用,它本身并不会成为VPN通道内的成员,因而客户所有的数据传输都不会经过目录服务器转发,我们也无从截获用户的任何私有信息。
   3. 可管理性优势
    使用冰峰目录技术提供动态地址交换,VPN终端之间无须进行复杂的参数协商,只需三步基本配置(WAN口配置、LAN口配置及License配置)即可建立VPN通道,终端设备身份验证、IP地址提交和下载以及VPN隧道建立的整个过程对于客户来说完全是透明的,无须用户配备专业的网管人员,大大节约了用户的维护成本。
    冰峰目录器的多级管理界面,可提供系统管理员、管理员和用户级登陆,由各级管理员对其权限范围内的VPN终端进行集中式管理,包括增加、删除节点、更换设备时清除目录服务器绑定的节点硬件特征信息,操作界面简单便利,一目了然。
   4. 灵活性优势
    冰峰目录服务技术,保证了VPN网络的伸缩方便,添加新节点时,只需在同组内新增节点,在VPN终端上配置相应的license信息即可将该节点无缝纳入VPN网络中,不影响原有VPN的正常使用;而链路拆除时,只需目录服务器一键式断开即可轻松地将节点脱离VPN网络,可随时恢复使用,也可一键启用。
    冰峰目录服务技术可支持多种网络拓扑结构,如星型、全网状及任意结构,如客户的网络均具有动态的公网IP,冰峰目录服务技术可实现全连通VPN连接,任意两个分支之间的数据均可以直接通讯而无需经过中心点转发,这样一来可以大大降低中心节点的负载,提高了数据传输的效率。