专线备份通用运营解决方案

　　VDN体系结构如下图所示：

　　图4-1 VDN体系结构图

　　VDN体系由四部分组成：

　　VDN服务平台

　　监控终端

　　管理终端

　　被管理的用户域

　　2.VDN　服务平台

　　VDN服务平台通过专线接入数据骨干网。管理员可以在任意可以连接互联网的计算机上(管理终端)上登陆VDN管理模块，进行客户信息管理。为新的用户建立新的管理域，并且在此管理域上生成对应的节点名称与许可证。VDN服务平台可以管理许多的管理域。如上图，在VDN服务平台上为公司A建立管理域domainA，在domainA下生成3个节点名site1，site2和site3;同样的为公司B建立管理域domainB，在domainB下生成3个节点名site1，site2和site3。VDN平台维护着所有的用户信息与管理域，并且通过这些数据为这些公司的APN终端设备服务。

　　终端设备连接数据骨干网后，根据已经在VDN平台上定义好的管理域与节点名称从VDN平台上下载相对应的许可证号。

　　终端设备成功下载许可证号之后，每次启动并且连接数据骨干网，都会自动的到VDN平台上进行身份认证。VDN平台检查终端设备传送上来的管理域名，节点名和许可证号，如果检查通过，VDN平台将通知此终端设备将外网的公网地址、内网网段等信息传递上来，并且记录到此管理域的一张路由信息表中。终端设备跟VDN平台之间的通信都经过168位的3DES加密算法进行加密，加密密钥以24位长的许可证号为密钥材料协商生成。因为每一个终端设备的许可证号都是不一样的，所以，每一个终端设备跟VDN平台通信的加密密钥也是不一样的。　终端设备认证通过后，就一直跟VDN平台保持着一条加密的数据通道，我们称为“安全通道”。

　　VDN平台将此终端设备的传送上来的信息加入此管理域的路由信息表后，会查询预先定义的网络拓扑关系，将路由信息汇总后发送到有需要的已经通过身份认证的此域其他节点。

　　如上图所示的公司A，site1节点认证通过后，VDN平台为管理域domainA开辟一张新的路由信息表，记录site1传送上来的公网地址和内网网段等信息;site2节点接着认证通过后，VDN平台将site2传送上来的信息也记录到相同的路由信息表中。然后，VDN将site1的路由信息发送给site2;将site2的路由信息发送给site1。

　　因为site1和site2之间的信息是通过VDN平台交换的，所以，互相之间不需要象其他厂家产品的解决方案一样，需要两端都是固定IP地址，或者至少有一端是固定IP地址。

　　Site1和site2通过VDN平台交换信息后，由其中一方发起IKE密钥协商，在IKE密钥协商过程中需要进行身份认证，APN终端设备目前支持最常见的预共享密钥身份认证和X。509格式的CA证书认证。IKE密钥协商完成后，site1和site2就建立起一条节点间的安全隧道，数据传送是以IKE协商出来的密钥和加密算法经过加密后传递的。身份认证、IKE密钥协商和特定的加密算法，是数据可以通过数据骨干网安全传递的条件，也是IPSec VPN技术的基础。

　　Site1和site2之间的数据传送是通过两者之间建立的Tunnel直接进行的，不需要通过第三方来中转数据，跟其他的星型结构的解决方案有着根本区别。

上一页  1 2 3 4 5 6 7 8 9  下一页