作为一项成熟的异地联网技术，用宽带线路组建VPN已经为越来越多企业和政府机关单位所认可并应用，因为宽带线路组建VPN简单方便、成本低廉、安全性高，相对于其它专网组建技术来说，有很大的优势。然而，VPN管理的问题，值得我们探索。

一．VPN管理需求

由于国内的宽带线路基本都使用动态IP，因此用户在选择VPN技术时，必须要考虑到管理上的要求。那么对于国内大量没有条件申请专线和静态IP地址的用户，各地的VPN设备如何快速寻址并进行管理呢？

二．VPN管理方式比较

行业内现有的VPN解决方案中的动态IP管理技术，主要有以下几种：

动态域名解析系统（DDNS）,目录服务技术等等。

其中，基于动态域名解析系统是将用户IP地址的变化动态地映射到相应的服务器中，进行及时的自动更新。DDNS一般由两部分构成：第一部分是服务器端程序，位于服务商的主机上，另一部分是客户端程序，就运行在广大用户的主机上。服务器端只负责接收和更新，不负责反馈是否收到并命令客户端重发，因此是一个纯单向传输的系统。仔细研究我们发现，这种DDNS的管理方式，有以下几个缺点：

（1）可靠性差

DDNS方式中，用户新的IP地址在自动提交失败后，不能自动补充提交，必须人工干预。

（2）IP更新速度慢

动态DNS的检测与提交周期，一般是在5~30分钟，实时性较差。通常的动态DNS服务器都将更新频率设置的很低，以避免服务器超载，同时，对恶意攻击的抵抗能力也很差，系统非常脆弱。

（3）无法进行有效管理

动态DNS技术是单向的信息提交，管理服务器无法对动态IP客户端进行有效管理。当出现异常情况，比如病毒泛滥或者黑客入侵，需要将一些节点从VPN网络中剥离的时候，使用动态DNS系统的管理员，需要登录到每一个节点上去操作，烦琐而费时。

另外，其它Web管理方式诸如在Web页上启动一个程序，由这个网页来实现动态IP地址检索。此策略同样由于多台服务器维护多个用户帐号的做法难以实现及时的更新，也给管理带来很大的困难。

为此需要一种更加合理的VPN管理技术，有效解决其管理问题。近年来，成熟的目录服务技术以其寻址快、稳定可靠等优势，深受众多VPN用户青睐。

三．目录服务

目录服务是一个代表网络用户及资源的基于对象的数据库，主要用于存放端用户的信息及网络配置数据，便于VPN管理人员和应用程序对信息进行添加、修改和查询。从而每一台VPN设备都能够维护自己的内部数据库，存储每一名用户的信息，包括用户名、密码以及拨号接入的属性等。它既可以运行于由VPN提供控制的公用网的某一部分，也可以作为运行 于公司网络的一个平台。有专家预测，未来VPN的最为主要的部件是目录服务器，目录服务器决定了未来VPN的发展方向。

1．目录服务协议原理

目录服务方式使用VPN运营商提供的在公网上的多组目录服务器集群,通过目录协议交换设备相关信息，从而保障客户VPN网络的稳定连接。

其技术工作原理如下图：

(1) 目录服务器：由放置于异地多个运营商机房的目录服务器集群组成，完成用户VPN终端身份的认证、动态IP地址交换、统计管理、系统管理及各节点License分发等功能。

(2) Group(组)：对应于特定的用户，如A公司就是一个组的概念，同一用户有多个分布在不同地域的办事机构，它们从属于同一个组，只有同组的VPN设备才能建立VPN通道。

(3) Site(节点)：对应于用户分散在不同地域的某台VPN终端设备，如A公司总部在上海，分公司在北京，则可以用A公司的上海节点、A公司的北京节点来标识这两台VPN终端。另外，同组内节点不可重名，一个节点也只能从属于一个组，不能跨多个组。

(4) License：每台VPN终端设备出厂时都必须内置一串由目录服务器随机生成的License，License和组名、节点名共同构成该设备的唯一身份信息，缺一不可。

上述目录服务管理方式，能有效管理VPN系统，网络管理人员能随时跟踪和掌握以下情况：系统的使用者、连接数目、异常活动、出错情况，以及其他可能预示出现设备故障或网络受到攻击的现象。日志记录和实时信息对审计和报警或其它错误提示具有很大帮助。对设备进行实时监测可以在系统出现问题时及时向管理员发出警告。一台VPN目录服务器能够提供以上所有信息信息以及对数据进行正确处理所需要的时间日志、报告和数据存储设备。

这种使用网络目录的方式，也改变了传统网络的访问点，与路由器不同的是，这些载有整个公司用户相关资料及网络配置的目录可置于用户或网络运行中心NOC的安全区内。该安全区是进一步开发VPN的基础，它主要由策略服务器与认证服务器组成。策略服务器根据公司的规则制定访问策略，认证服务器则负责公共密钥的认证及其他有关安全任务，网络具有了上述安全机制、网络目录及QoS的保证，端用户就可以建立用于远程教育、远程医疗及虚拟会议的VPN连接了。

四．目录服务技术优势

1．稳定性优势

目录服务是灵活的VPN管理方式,它使用ICEFLOW可靠的目录服务协议提供IP地址的交换，避免了使用动态DNS方式中可靠性无法保证的问题，由于使用的是专有VPN服务的协议,其高可靠性和反应时间保证了客户VPN网络的快速建立及稳定。

2．安全性优势

处于同一组内的设备内置相同的组名，只有通过严格的组密码验证方可下载同组其他设备的IP地址，建立VPN通道，而不是同一组内的设备由于组名不一致，无法通过组验证，也就自然无法建立通道，所以就不会出现用户A的节点与用户B的节点建立VPN的情况。另外，由于一个节点只能从属于一个组，不存在跨组建立VPN通道的情况，杜绝了非法用户通过加入多个组窃取非授权访问的问题。

3． 管理性优势

目录服务器的多级管理界面，可提供系统管理员、管理员和用户级登陆，由各级管理员对其权限范围内的VPN终端进行集中式管理，包括增加、删除节点、更换设备时清除目录服务器绑定的节点硬件特征信息，操作界面简单便利，一目了然。

4． 灵活性优势

目录服务技术，保证了VPN网络的伸缩方便，添加新节点时，只需在同组内新增节点，在VPN终端上配置相应的license信息即可将该节点无缝纳入VPN网络中，不影响原有VPN的正常使用；而链路拆除时，只需目录服务器一键式断开即可轻松地将节点脱离VPN网络，可随时恢复使用，也可一键启用。

并且，目录服务技术可支持多种网络拓扑结构，如星型、全网状及任意结构，如客户的网络均具有动态的公网IP，目录服务技术可实现全连通VPN连接，任意两个分支之间的数据均可以直接通讯而无需经过中心点转发,这样一来可以大大降低中心节点的负载，提高了数据传输的效率。

作为国内首家使用“目录服务”技术的VPN厂商，上海冰峰在此技术上率先达到了国际水平，ICEFLOW VPN的目录服务管理，其愈合速度达到了10S以内，有效保证了VPN的稳定性以及可管理性。相信目录服务管理功能的VPN专网，将会引领VPN未来发展的潮流，它也必将为广大客户提供更为完善的服务。