VPN网络平台建设方案建议书.doc

《VPN网络平台建设方案建议书.doc》由会员分享，可在线阅读，更多相关《VPN网络平台建设方案建议书.doc（26页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、XXX公交公司VPN网络平台建设方案建议书提供商深圳奥联科技公司 Powered by APN GW TM Architecture 目 录方案简介- 4 -目前现状：- 4 -实施结果- 4 -APN GW平台实施：- 4 -第一章 客户需求及相关技术介绍- 4 -客户需求- 5 -面临问题分析- 5 -相关技术- 5 -nVPN技术介绍：- 6 -nVOIP技术介绍：- 6 -第二章 解决方案- 7 -设计思路：- 7 -线路选型：- 7 -设备选型：- 7 -APN GW方案描述- 8 -网络拓朴图- 8 -方案说明- 8 -其他VPN解决方案没有的特点- 9 -移动用户- 9 -APN

2、 GW产品简介- 9 -技术要点- 10 -硬件接口- 10 -物理规范- 10 -加密算法- 10 -符合标准- 11 -APN GW的安装设置- 11 -APN GW系列产品性能列表- 12 -第三章 与其他产品方案的比较- 15 -APNGW 架构的原理- 15 -与纯软件VPN的比较- 16 -与其他支持动态IP方案的比较- 17 -与传统的点到中心点方案的比较- 18 -与传统的固定IP地址VPN方案的比较- 18 -与城域网方案的比较- 19 -APNGW架构的优越性之安全性- 19 -APNGW架构的优越性之可管理性- 20 -APNGW架构的优越性之易扩展性- 20 -APNG

3、W架构的优越性之网状连接、即时通讯性- 20 -APNGW架构的优越性之易用性- 21 -APNGW架构的优越性之适应性- 21 -第四章 VOIP运用- 22 -APN专用网实现VOIP功能- 22 -VOIP语音服务模式- 23 -一般模式：- 23 -跳转模式：- 24 -VOIP产品选型：- 25 -语音服务标准- 25 -第五章 系统的安全性- 26 -APN体系- 26 -APN通讯的安全- 27 -密码算法- 27 -APN GW防火墙功能- 28 -上网管理- 28 -符合标准- 29 -第六章 报价及工程实施- 29 -方案报价- 29 -附录：APN GW部分客户名单- 3

4、0 -(APN GW TM是公司注册商标。Microsoft、Windows及Windows NT均为Microsoft Corporation之注册商标。)本公司对本建议书的内容保留未通知贵公司情况下更改的权利。其版权归山西雄龙科技有限公司所有。未经本公司书面许可，本手册的任何部分不得以任何形式手段复制或传播给贵公司以外的第三方。方案简介目前现状：XX市公交公司主要是经营太原市内的公交业务，现总部设在太原双塔西街，目前情况如下：n 在XX地区设立20多个公交站等分支机构，已通过自己独立建设的局域网联接到了互联网；n 总部使用了网通的2M光纤链路，现总部中心点局域网有120台左右PC，支机构分

5、别使用了ADSL或者其他宽带上网方式，各分支机构局域网PC分别为1-20台PC不等；n 总部构架了一台公交办公网络服务器，利用2兆光纤连接到了公网上，各分支通过公网访问内部办公系统。n 总部通过ISDN线路构架了公交IC卡售票系统专网。实施结果本方案主要是使用APN GW设备建立集团公司整体的网络安全架构平台，能够为太原市公交公司带来以下优势和好处： n 设备采用高稳定性的嵌入式系统硬件架构，运行稳定可靠，安装设置简单，减少维护成本。n 充分利用现有的网络资源，无需另外投入线路费用。n APN设备建立后每地可以节省一台pc代理服务器出来。同时避免了PC服务器夜间关机问题，满足全天24小时不间断

6、办公的需求。n 设备采用5种加密算法、4种数据完整性算法、5种身份认证算法保证数据在互联网上传输的安全性，防止核心的财务资料、产品资料等数据被窃取，减少企业不必要的损失。n 基于LAN-TO-LAN的VPN隧道架构，任何B/S和C/S结构的软件都可以安全高效的运行，对软件只要使用TCP/IP协议就可以使用，对软件的兼容性强。n 可以随时在现在的架构平台上增加VOIP和视频会议设备，扩展性强，降低企业运营成本。n 集成高性能防火墙，方便企业管理内部网络和外网访问权限。n 方便的和上游和下游合作伙伴建立安全访问隧道安全传输相关数据，提高整体管理效力。APN GW平台实施：n 总部线路采用专线上网

7、设备APN GW2500 n 分支机构线路采用拨号或ADSL上网 设备APN GW2000（10台PC以上）线路采用拨号或ADSL上网 设备APN GW100（10台PC以下）注：小的站点（仅一两台PC）或者老总出差可以使用我们的软件移动客户端，但只有APN GW2000以上的设备支持移动客户端（即只有2000以上的设备可以跟移动客户端建立隧道）通过实施以上平台，整个太原市公交公司的数据安全性能够得到很好的保护，而且可以在平台上综合运用公交物资管理系统、内部邮件系统、VOIP免费电话系统、视频会议系统等，每月只是产生线路费用，由于分支机构已使用了费用低廉、带宽高的ADSL等宽带线路，线路费用上

8、无需投入。很好的节约了整个平台的实施费用。第一章 客户需求及相关技术介绍【关键词】VPN技术 客户需求现状：公司在各区都有分支、仓库。具体需要连接如下：1 各分支目前没有和总部建立数据专网传输的连接，总公司网通2M专线连接到互联网。2 各区的分支和办事处目前已接入互联网，通过公网访问公交办公网，服务器和数据的安全性存在很大的隐患。3 如果实施公交物资等管理系统，安目前的连接无法实现。要求：在性能和安全满足的条件下，采用较低的成本能完成以下功能：建立较完善的公交公司业务管理网络体系。在现有公司总部及分支站点、营运中心、仓储的局域网基础上，采用先进的VPN技术实现各分支机构的网络互联。与此同时，总

9、部和分支机构在统一管理的基础上可以方便的连接Internet，各部门或分之机构可以根据相应的权限访问、查询Internet资源。在这个内部的Intranet结构中，各部门和集团总部可以随时相连处理业务，运行内部办公系统、物质管理系统、财务、内部邮件系统等。在整个公司网络建立起来的情况下，增加VOIP语音网关设备，实现总公司和分支机构、各个分支机构之间的内部免费电话网络，使公司的电话费降到最低。建议：在VPN网络平台的基础上实现视频会议系统，各分支结构采用软视频的方式（具体技术方案见视频会议系统技术方案）面临问题分析如果采用传统的做法，可以使用专用线路，例如DDN/X.25/FrameRealy

10、等。还有其他方法就是采用无线联网技术，例如卫星、微波通讯等。采用专用线路，会投入大量的设备和支付每月昂贵的租用费。而且这些设备维护比较困难，需要专业人士和相关的网络技术；而且对于整个公司的发展来说，部分分店由于规模、地理位置的原因，也不可能每个地方都采用专线连接；如果采用专线方式，总部需要安装多套线路，这在管理、维护方面就会带来更大的不便，而且成本也会大幅提高；同时，对于许多地方，也是无法安装专线。而且随着分点的增加，总部的管理越来越困难，也不太符合实际情况。采用微波通讯，速度快，但受限制与地域条件。微波是高频传输，所以穿透力弱，对于非可视的两点或多点来说，比较难以实现连接，如果采用微波机站的

11、方法，成本就会非常昂贵；而且还有一个比较大的缺点在于：目前许多基于微波通讯的技术例如802.11B无线局域网技术，其网桥只能是工作在数据链接层的设备，这在多点通讯是，就需要一个中心点，无法实现其他各点各自的路由。这将加大中心点的负担。所以，我们提出采用VPN技术来实现互联互通，资源共享。同时推荐我们的APNGW系列产品来实现本案例。相关技术 本方案设计中采用了VPN技术和涉及到VOIP语音技术，现分别作介绍。n VPN技术介绍：虚拟私有网络VPN(Virtual Private Network)出现于Internet盛行的今天,它使企业网络几乎可以无限延伸到地球的每个角落,从而以安全、低廉的网

12、络互联模式为包罗万象的应用服务提供了发展的舞台。 虚拟专用网（VPN）是利用公众网资源为客户构成专用网的一种业务。我们这里所提的VPN有两层含义： 它是虚拟的网，即没有固定的物理连接，网路只有用户需要时才建立； 它是利用公众网络设施构成的专用网。 VPN实际上就是一种服务，用户感觉好象直接和他们的个人网络相连，但实际上是通过服务商来实现连接的。VPN可以为企业和服务提供商带来以下益处： 公司能利用无处不在的Internet通过单一网络结构为职员和商业伙伴提供无缝和安全的连接； 对于企业，基于拨号VPN的Extranet能加强与用户、商业伙伴和供应商的联系； 电话公司通过开展拨号VPN服务可以减

13、轻终端阻塞； 通过Extranet分层和相关竞争服务，ISP也可以提供不同的拨号VPN。 VPN兼备了公众网和专用网的许多特点，将公众网可靠的性能、丰富的功能与专用网的灵活、高效结合在一起，是介于公众网与专用网之间的一种网。 VPN能够充分利用现有网路资源，提供经济、灵活的连网方式，为客户节省设备、人员和管理所需的投资，降低用户的电信费用，在近几年得到了迅速的应用。 有专家认为，VPN将是本世纪末发展速度最快的业务之一。 n VOIP技术介绍：VOIP全称voice-over-internet-protocal , Internet 电话技术是目前Internet 应用领域的一个热门话题。它主

14、要指在Internet 中实时传送声音，从广义上讲，它包括在Internet 中实时传送多媒体信息。基于因特网的实时语音通信，是目前Internet技术应用的一个重大发展方向，通过IP网络，传送商业质量的话音/传真。其特点在于其软硬件均经过精心设计和开发，可以通过任何IP网络提供无缝的话音/传真集成。对于公众业务，和传统的PSTN相比，IP电话有以下优点: 能够更加高效地利用网络资源，由于IP电话采用的是分组交换技术，可以实现信道的统计复用，并且采用了高效的语音压缩技术，使网络资源的利用效率更高，大大降低了运营商的成本。 可以提供更为廉价的服务 对于企业用户来说，通过IP网关传送长途电话/传真

15、，同样具有重要的意义: 节省长途电话费用，用IP网络完成所有话音/传真的传送，能极大地降低了公司内部跨地域、跨国界的电话/传真成本。 减少设备投资 公司可以在原来只能传送数据的网络上获得增值的话音服务，而无需再另外租用或者购买单独用于话音的设备和线路。由于所有内部通信（话音、数据、传真）都通过同一网络传送，企业可以大大降低购买和维护设备的费用。 第二章 解决方案【关键词】APN GW 设计思路：1 采用APN GW产品，通过VPN技术把各分支机构和总部连接起来，组建基于TCP/IP的虚拟专用网络；2 组建网络之后可以直接运行任何基于TCP/IP的软件，包括KINGDEE的ERP、财务等软件。3

16、 利用VOIP语音网关可以实现总部和分支机构、分支机构之间进行免费内部电话运用。4 组建网络之后可以在VPN网络平台上实现视频会议，远程培训等。线路选型：推荐使用ADSL作为连接的主要方式，其连接速度快，包月价格也相对便宜。针对客户现有情况，我们推荐的方案主要有两种：总部线路网通2M专线分支机构线路目前上网方式主要集中在ADSL和宽带，根据调查显示各分公司一般是在市内，上网线路资源比较有优势，依据目前国内网络建设的现状和未来的发展情况，推荐采用以下上网方式：已经使用ADSL的分公司上网方式不变，可以继续使用。没有使用上网线路的分公司可以申请ADSL线路或宽带线路。已经使用宽带上网的分公司，请确

17、认IP地址的合法性，如果是私有IP地址，可以找运营商要一个合法的互联网IP地址，不一定需要静态IP地址，动态的IP地址也可以，如果不行可以考虑申请ADSL线路。设备选型：总部设备： 建议采用 APN GW2500 ,它代有专业的FIREWALL防火墙和DMZ管理，隧道传输经过3DES高安全性的加密算法，同时配有完整的路由策略、完整的日志功能。分点设备： 建议采用APN GW2000设备，基于IPSEC构建的高安全性加密算法，同时配备备选的5种加密算法可供选择，还有3种保证数据安全性的加密算法选择，配备基于IP TABLE的包过滤和状态检测防火墙，完整的日志功能和路由安全策略，WEB页面配置（如

18、果分支机构LAN里PC少于10台，建议使用APN GW 100，该设备不支持移动客户端）APN GW方案描述公司在全市有多个办事处。以后可以很方便的扩展到其他各地；没有地域的限制1. 在其他异地办公室分别放置一台APN GW 2000/100，建议都使用ADSL或有合法IP地址的宽带上网。总部建议采用APN GW 2500进行对联；2. 在每点安装APN GW产品之后，当地的局域网可以用它作为代理服务器上网；3. 每点与其它点的通讯速度取决于其中一个点连接internet的速度的最低上行速度。4. 任何两点之间可以自由通讯，其连接无需转发。连接是网状的，需要星状结构可以通过APN GW5000

19、设备进行转换。5. 可以定义其他分点的连接情况，可以形成任意网络状况的连接。6. 所有的管理都是基于APN GW 5000，非常智能和高效；7. 选择电话费用较高的办事处加装VOIP语音网关设备，可以实现加密情况下的电话通讯，同时可以实现集团公司分点之间的无话费的运用，最大程度降低企业运营成本。8. 通过在VPN网络平台上搭建的视频会议系统可以实现远程培训；再加上IP摄像头可以实现远程音、视频监控；同时只要使用相应的安全数据监控采集系统，便可以在VPN隧道内进行安全的传输；网络拓朴图以下是本方案的网络拓朴图：图1 方案拓扑图方案说明1. 总部采用1台GW2500；2. 各分部采用GW2000/

20、100（十台PC以上的分公司用2000）3. 整个过程中，现在的系统在硬件和网络上几乎无需改动；4. 在这个网络基础上，可以直接运行VOIP，视频会议和任何基于TCP/IP的应用程序；5. 各点基于IPSec建立VPN通道，传输经过AES/3DES等多种加密算法（可以自由选择）；同时采用MD5/RSA2048算法；其他VPN解决方案没有的特点1. 可扩展性：假如在安装了18个点之后，以后如果扩展，只需要在新加的点里设置即可。对前面的APNGW不需要做任何的设置（注意：如果采用其他产品，一般需要对其他点都有一一设置），直接可以使用；2. 可管理性：可选APNGW管理模块，定制APNGW节点之间的

21、路由逻辑关系，例如可以设定A与B连接，与C又不可连接，而B与C又可以连接；3. 支持动态IP地址的网状的网络连接：基于APNGW架构建立的VPN网络，任意点之间是可以直接通讯，没有中心瓶颈的限制；这也是其他产品没有的特点；4. 能与现在有的任何网络无缝接入：如果部分节点已经有了DDN、FRAMERELAY或其他VPN隧道，APNGW可以无缝的接入到现在的网络之中；5. 易用性：APNGW产品安装、维护十分简单。一般有一点TCP/IP基础的技术人员，在几分钟内可以学会设置和安装。而且产品基于嵌入式设计，几乎无需维护；移动用户可以采用我们的client软件，通过笔记本电脑直接联入公司网络。我们可提

22、供开放的接口，可以让其无缝的连接到VPN体系中。具体应用：总部、分部都采用APNGW系列产品组建VPN网络。单机和移动用户可以采用移动客户端通过PPTP协议接入到APN系统中。APN GW产品简介为了实现现在线路的连接，我们提出的解决方案中利用我们的APN GW产品。它最大的特点就是费用低，稳定可靠，无需专线，无需固定IP地址。可以支持多种上网方式，如拨号、ISDN、ADSL。产品特征l APN GW是解决网络安全传输的最高效，最节省的组网技术。l APN GW是专业代理服务器，实现一条线路的共享上网。l APN GW是专业的高效防火墙，可以管理外网、内网、专网。可谓防外又防内。 l APN

23、GW能使用动态IP接入Internet的LAN之间进行互联。l APN GW能够实时监控网络内部的一举一动，提供网络监控日志功能。 l APN GW能形成网状的网络连接，通讯无中心瓶颈，构建高效的即时通讯平台；l 以最低成本接入，最低通讯成本提供高性能高可靠性的企业专网的计算机网络技术。 l APN GW支持ADSL ISDN DDN Dial-up方式，静态/动态IP接入。在相同的通讯带宽下，节省80%通讯费用。l APN GW能使普通企事业也能通过Internet组建自己的企业专网。使企业所有于局域网上应用的网络应用以最低的成本应用至Internet所及的范围。技术要点l 协议：TCP/I

24、Pl 基于IPSec国际标准l 完善的路由功能l 完善的宽带代理服务器。NAT/PAT 地址转换技术保护内部网络。l DHCP服务器l DNS 服务器l 设备是一个高性能的防火墙l 内置PPPoEl Telnet or VT100终端控制端口命令行 l 支持NAT穿透硬件接口l Console接口：系统配置及系统监测，通过RS-232 (9600, 8N1)进行通讯l 局域网接口：Ethernet Interface, 10/100BASE-T l 广域网接口： Ethernet Interface 10/100BASE-T) / PPPoE通讯口接口 ( 用于接ADSL Cable Mode

25、m) l 广域网接口： RS-232, 外置Dial-up Modem / ISDN TA物理规范l 输入电压： 110V230Vl 功率：最大约40W (GW1000/2000) l 使用环境温度：045 l 使用环境湿度：595%加密算法数据传输可自由选择l AES/128位加密算法l 3DES/168位加密算法l SERPENT/128位加密算法l BLOWFISH/128位加密算法l TWOFISH/128位加密算法l 国家密码委员会指定的硬件加密卡或第三方算法保证数据完整可自由选择l MD5-96l SHA1-96l SHA2-256l SHA2-512身份认证支持l RSA 204

26、8l Pre-share Key符合标准l RFC2401 Security Architecture for the Internet Protocoll RFC2411 IP Security Document Roadmapl RFC2402 IP Authentication Headerl RFC2406 IP Encapsulating Security Payload (ESP)l RFC2367 PF_KEY Key Management API, Version 2l RFC2407 The Internet IP Security Domain of Interpretat

27、ion for ISAKMPl RFC2408 Internet Security Association and Key Management Protocol (ISAKMP)l RFC2409 The Internet Key Exchange (IKE)l RFC2412 The OAKLEY Key Determination Protocoll RFC2528 Internet X.509 Public Key Infrastructurel RFC2085 HMAC-MD5 IP Authentication with Replay Preventionl RFC2104 HMA

28、C: Keyed-Hashing for Message Authenticationl RFC2202 Test Cases for HMAC-MD5 and HMAC-SHA-1l RFC2207 RSVP Extensions for IPSEC Data Flowsl RFC2403 The Use of HMAC-MD5-96 within ESP and AHl RFC2404 The Use of HMAC-SHA-1-96 within ESP and AHl RFC2405 The ESP DES-CBC Cipher Algorithm With Explicit IVl

29、RFC2410 The NULL Encryption Algorithm and Its Use With IPsecl RFC2451 The ESP CBC-Mode Cipher Algorithmsl RFC2521 ICMP Security Failures MessagesAPN GW的安装设置APN GW的安装非常简单。只需连接好线路，启动机器，通过232口和windows的超级终端来设置即可。设置参数包括：广域网（类型、用户名、密码）、局域网（IP地址）。一般功能通过WEB页面设置都可以做到，比较方便，详细的配置需要通过配置线缆进行配置。APN GW系列产品性能列表公司名称

30、深圳市奥联科技有限公司产品名称APN GW100/2000/2500网站产品定位需要最高性能和可靠性的大型组织机构企业/大型网状的连接、从企业级、电信级用户防火墙紧密集成/支持分组管理、VPN通道中的用户管理和上网管理等多个模块产品配置情况可支持最大连接数单域1024个、同一系统中无域数目的限制（决定于硬件）标准的5000支持1024以上个域VPN实现机制硬件、软件、应用可提供网络接口至少2个以太网口，1个console口，1个232口操作系统平台基于Linux的自主开发平台协议VPN采用协议IPSec/PPTP/GRE/VPN可承载协议IPIP压缩支持NAT（网络地址转换）支持路由协议支持情

31、况静态路由、RIP等部分动态路由协议功能硬件加速功能硬件可选V两侧是否需要独立子网需要冗余与恢复5000支持冗余备份冗余与恢复对业务的影响无影响VPN网关支持流量均衡支持安全安全策略地址，端口，服务，时间，协议类型安全机制加密和认证、标准的IPSec和独创的Licenses认证机制认证机制Licenses认证机制、EAP密匙管理协议IKEIKEIKE Phase I 模式支持支持可分别设置IKE和IPSec特征支持IKE认证支持情况PreShared Key、RSA硬件Key认证认证算法支持MD5-96、SHA1-96、SHA2-256、 SHA2-512加密算法支持AES/128位加密算法、

32、3DES/168、SERPENT/128、 BLOWFISH/128、TWOFISH/128、硬件加密卡或第三方算法加密、认证方法不同于IPSec支持PKI兼容情况PKI自动协商功能支持支持Internet访问支持日志支持、可以查看网络用户的使用情况和系统日志其他网状连接，通讯无中心瓶颈客户端对PPTP的支持情况支持远程接入认证方法Licenses认证本地用户名和口令客户端软件平台Windows 2000/XP客户端支持的协议IP/IPX管理是否集中管理集中管理管理平台集中在5000上远端管理TelnetAPNGW2000性能指标硬件配置CY233/64M RAM/8M Flash网络接口卡全

33、双工10/100M自适应最大支持隧道数目1024个加密算法与处理能力加密算法名称加密算法处理速度Kb/sNULL7196.4AES/128/MD54404.963DES/168/MD52774.4SERPENT/128/MD54594.8BLOWFISH/128/MD55080.24TWOFISH/128/MD54933.2VPN协议IPSec/PPTP/GRE隧道支持协议http/UDP/FTP/SMTP/POP3等透明传输输入电压交流110V-240V最大功率40w使用环境温度045 使用环境湿度595%平均无故障时间MTBF=28000小时电气标准FCC/CEAPNGW2500性能指标标

34、准配置C500/64M可扩展512M RAM/32M Flash/1Flash扩展口、1硬件加密卡插槽网络接口卡全双工10/100M自适应最大支持隧道数目1024个每域通道明文处理能力70Mbps硬件加密卡（低端）33.2Mbps3DES/MD5处理能力30.8Mbpsblowfish/MD5处理能力55.8MbpsVPN协议IPSec/PPTP/GRE隧道支持协议http/UDP/FTP/SMTP/POP3等透明传输输入电压交流110V-240V最大功率100w使用环境温度045 使用环境湿度595%平均无故障时间MTBF=38000小时电气标准FCC/CEAPNGW5000性能指标标准配置

35、PIII800/64M可扩展512M RAM/32M Flash/支持外挂硬盘网络接口卡全双工10/100M自适应最大支持隧道数目1024个每域最大支持虚拟域数目没有限制通道明文处理能力75.5Mbps硬件加密卡（低端）35.8Mbps3DES/MD5处理能力33.8Mbpsblowfish/MD5处理能力60.8MbpsVPN协议IPSec/PPTP/GRE隧道支持协议http/UDP/FTP/SMTP/POP3等透明传输输入电压交流110V-240V最大功率100w使用环境温度045 使用环境湿度595%平均无故障时间MTBF=40000小时电气标准FCC/CE第三章 与其他产品方案的比较

36、【关键词】VDN IPSecAPNGW 架构的原理在浩如烟海的因特网中，任何APN之间是如何能找到对方的呢？在Internet上，不论您在任何地方上网，当您键入一个网址时，您的电脑总是准确的定位到一个地方去。这是由于因特网上有许多DNS服务器在为许多域名作解析。根据这个思路的启发，我们设计了VDN 服务。每个APN在因特网上会属于一个虚拟的域，有自己独特的虚拟域名和虚拟主机名。同时，在Internet上，我们自己开发出一种机制来解析这些域名，使得在同一个域之间的主机能够相互按照事先预定的规则快速搜索到同域的其他机器。这种服务我们称之为VDN服务。APN GW能够获得VDN服务而与同域的其他AP

37、N建立VPN通道。需要说明的是，VDN不同于一般的DNS或DDNS，是我们自己研发的另外一套机制。VDN Server之间支持多台冗错处理和数据同步。我们有一系列的技术和措施保证如果其中一个VDN服务失效时APN可以随时切换到其他的VDN服务器而不会影响虚拟域策略的获得。只要APN缓存中有其中一个服务器有效，它就可以正常工作。根据我们这项技术，我们在浩瀚的因特网中巧妙的建立了一个小小的因特网。而且由于这种机制，同一虚拟域之间一旦建立了联系，各虚拟主机之间可以任意通讯，没有任何中心节点或瓶颈的限制，所以，APN的连接是网状的。正是因为如此，APN GW有良好的扩展性。GW5000是VDN Ser

38、ver的一种。它是针对行业用户自己建立VDN Server的一种产品。支持用户建立单域控制多用户的连接。采用自己建立此项服务，您可以为本公司的APN建立更快更迅速的连接。图3 APN GW系统体系与纯软件VPN的比较目前有一些纯软件的VPN解决方案，例如采用企业的网站作为登录的转换点，用软件的方法来实现VPN。比较项目某软件产品APN说明原理www服务器是公网固定的IP地址，提供每点连接后握手服务；整个网络需要一个中心点；分部只能与中心点通讯，分部与分部之间不能通讯；整个网络是星状的，只能连接中心点。VPN服务提供路由策略；没有中心点的限制；整个网络是网状的；通讯效率只能是与中心点通讯，而且该

39、点还不能做转发，这比其他一些软件的VPN还要逊色；APN的连接是网状的，各点之间可以自由通讯，所以可以提供VOIP、视频会议、文件共享等功能。网状连接是未来分布计算、实时通讯的方向对操作系统要求web服务器端：ASP,JSP,PHP （这将有安全隐患！）中心点：windows客户端：windows没有限制安装维护需要维护整个软件系统；例如病毒、兼容性等问题；依赖于机器本身的性能，维护上会有比较大的麻烦是一个硬件系统，嵌入式Linux设计，几乎无需维护连接公网时，在Windows机器上还需安装例如Modem驱动、PPPoE拨号程序。提供软件的机器还需配置双网卡；如果要上网还要装相应的代理上网软件

40、，安装的越多，维护和稳定性更需加困难一个设备就可以完成。可管理性从原理上无法实现节点可定义性协议是第二层的协议，所以它只能建立client、server这样的构架。APN采用的IPSec/GRE/是工作在网络层的协议。也支持PPTP协议。投入在每个局域网内需要提供一个电脑作为网关、代理这能真正的节约成本吗？可扩展可扩展性差非常容易扩展产品把FTP/Lan/Dproxy分成三个软件APNGW一切解决。集成防火墙、DHCP服务、DNS服务、NAT代理上网和管理与其他支持动态IP方案的比较目前在市面上有一些其他的VPN产品，采用DDNS方式来解决动态IP的问题，究其原理，是先在国外的某DDNS服务器

41、上注册一个虚拟域名，然后通过DDNS的客户端程序来读解该域名为IP地址，建立连接的时候以该域名为对象建立连接。目前还没有其他产品类似于我们的VDN方式的设计。比较项目DDNS解决方式APN说明原理通过在国外的DDNS服务器上注册，就象申请免费的电子邮件一样，需填写大量的个人资料后才获得域名通过VDN来实现连接和管理需要事先注册DDNS会是免费的吗？安全DDNS的设计是为动态IP提供web服务的，所以部分DDNS上面还可以查到已经登记的域名；Client与DDNS服务之间通讯是没有加密的：因为DDNS的设计的初衷在于“让更多的人都知道”VDN与APN之间的通讯经过3DES随机数的方式，黑客无从下

42、手；VDN的设计的原则是“安全服务”，高性能的防火墙，隐蔽IP地址，ssh管理管理由于设计的原理不一样，所以无从管理可以在VDN上配置管理模块，实现对各节点的管理，通讯日志的查看，License的维护通讯效率其实这还是传统的VPN方式。网状通讯扩展性每增加一点，首先要先去一个网站申请域名，同时还需要对以前的各点进行配置。增加的点与原来的同域的点直接通讯，原来的APN不需进行改动远程维护没有控制点可以从5000上远程维护其他各地的点其他现在国外的DDNS又部分暂时没有收费，而部分是收费的，例如www.ddns.nu，每月收费$10-$25不等，需要美金支付。企业可以自建5000,推荐使用中国电信

43、提供的有偿解析服务。“没有免费的午餐”与传统的点到中心点方案的比较传统的VPN中，以Intel为代表的点到中心点的Shiva产品曾经风光一时。起初这种设计思路也是为了节约IP资源而设计的。因为Client端可以采用动态IP的方式连接总部的固定IP。其实Windows 2000中已经集成了这样的功能。比较项目点到中心解决方式APN说明原理采用直接拨入中心的固定IP的方式建立星状的VPN与VDN获得策略的方式建立网状的VPN协议一般是第二层协议第三层的协议二者的比较参考后面的文档管理客户端大多是软件方式，功能有限；网关方式需要单独的一个个的管理可以统一管理通讯效率中心点参与任何其他的点的通讯互联互

44、通，节点通讯与VDN无关扩展性都是到中心点扩展后可以访问其他节点隧道每个Client都会建立隧道，对中心点的要求带宽和处理能力很高；软件方式需要在每个电脑上都有安装软件，每个电脑都会建立隧道（最大254）VDN不参与通讯，而各节点之间是网关型，一个局域网共享一个隧道，支持1024个隧道总结其实是客户端软件的方式也支持软件接入，支持windows2000的直接拨入与传统的固定IP地址VPN方案的比较其实这是VPN的最传统的方式。以Cisco为代表的产品都是这样去解决。在欧美发达国家，由于固定IP地址的费用比较低，所以这种方式很容易实现，而在亚洲许多国家，IP地址比较匮乏，从而使得DDN固定IP的费用非常昂贵。客观的说，DDN的VPN无疑是稳定的，虽然配置要求专业人员，也能形成网状的连接。但是从购买设备、安装调试和后期的维护的费用都是巨大的，而且还有每月高昂的通讯费用。设备报价P/N型号规 格参考价格数量CISCO1750-4V 10/100BASE 1个VIC、2个WIC/VIC、路由器/IOS IP/VOICE SEC16800.00SEC17-VPN