在动态IP上实现VPN

    传统的基于互联网的VPN解决方案需要VPN服务器和客户端两端有固定IP，或至少服务器端要有固定IP，客户端用动态IP。固定IP的费用将使用宽带接入的费用急剧上升。这给小企业增加了负担，也限制了VPN的应用。这就是使人们想到用动态IP来实VPN联网的可能。有需求就会用新的解决方案出现，那就是“基于动态IP宽带接入的VPN解决方案”，这使财力有限，VPN联网的规模也不是很大的小企业也可以建设VPN联网。VPN服务器没有固定IP，每次从拨号得到的IP地址都不一样，要使VPN客户端能找到VPN服务器，就须解决VPN服务器的IP寻址问题，也就是如何使动态的IP与固定的服务器和客户端相关联，“固化”它们的关系，这是基于动态IP的VPN实现的关键技术所在。

    针对动态IP的VPN应用环境，VPN设备制造商提供两种有代表性的技术解决方案，分别是：DDNS动态VPN和目录服务动态VPN。

    1．DDNS 动态VPN

    玩过花生壳的朋友都知道动态域名解析技术（DDNS），我们可以向提供DDNS服务的服务提供商申请一个二级域名、用户名和密码，并在使用动态IP接入Internet的设备（宽带路由器、VPN防火墙、电脑）设置这个静态的域名和用户名、密码等，当拨号接入后，互联网上的用户就可通过这个域名来访问这台设备，而不管它当时所得到的动态IP是什么。

    VPN设备（包括服务器端和客户端）要通过DDNS服务来建立VPN通信，也要在VPN服务器和VPN客户端安装DDNS客户端软件，并填入各自申请到的域名、用户名和密码。当它们的动态IP地址变更后，DDNS客户端软件会自动在DDNS服务器上通过验证来更新自己的当前IP地址。因此，这时当VPN客户端向VPN服务器发起呼叫，要求建立VPN虚拟专网连接时，由DDNS将VPN服务器的域名解析为VPN服务器的当前合法IP地址，这样就可以建立VPN隧道连接。

    目前在市场上宣称能使用动态IP来建立VPN的VPN设备大部分是基于DDNS技术来实现动态IP的“固化”，这也是一种最常见的动态VPN解决方案，也是最廉价的VPN方案。这些VPN设备本身就是网关设备，执行宽带共享接入的NAT功能，它们多是在机子内部集成了某个第三方DDNS服务提供商的客户端软件。如网件（NETGEAR）公司的VPN系列产品FVL328 VPN防火墙就集成了网域公司的花生壳DDNS客户端。

    基于DDNS的VPN简便易行，但可靠性无法保证，如果DDNS服务提供商停止服务或服务不稳定，会给用户的VPN无法运行。

    2．目录服务动态VPN

    目录服务技术通过分布在各地电信机房的目录服务器，在全国范围组成了一个目录服务器集群。这些服务器存储了各个VPN设备的硬件信息，用户信息，当VPN设备开机拨号接入互联网时，它获得的动态IP会自动发往目录服务器，并存在目录服务器的数据库里，与它需要建立VPN的同组的VPN设备也是一样，同时VPN设备会定期将属于自己一个组的其他成员的IP地址下载到本地，这样就可依据各自当前的公网IP建立VPN。

    以上海冰峰网络的目录服务技术为例，当冰峰的VPN设备启动时，首先进行PPPOE拨号，拨号成功后，即可获取当前使用的公网IP，随后自动搜索其内置的目录服务器列表，经冰峰独有的优先路径算法后，与指定的目录服务器进行数据交换，数据中主要包括VPN设备的身份认证，IP地址登记及IP地址下载三部分

    (1)身份认证：首先，目录服务器会VPN设备的身份进行认证，与目录服务器内置的设备信息库比对VPN设备提交的组信息、节点信息、license信息及硬件特征信息，比对一致则通过身份验证。

    (2)IP地址登记：确认了身份后，把该VPN设备的IP地址记录到目录服务器的地址库，假设与该VPN设备同组的其他设备也完成了身份验证和地址提交工作，那么，在目录服务器的地址库中就保存了所有VPN终端当前的IP地址。

    (3)IP地址下载：下载与该VPN设备同组的其他设备的IP地址，这样，这个VPN设备就知道了它同组的其他所有设备的IP地址。

    在此之后，每次有设备IP地址变动是都会通知目录服务器，目录服务器再将变动通知同组的其他设备，这样，保证了每台设备上一直保存着最新的IP列表，同时IP地址的同步保证了VPN网络在发生异常时，最多10秒内自动愈合。

    目前有国内有两家公司生产的VPN设备采用目录服务技术来实现基于动态IP的VPN，它们是上海冰锋网络公司（如：R5000H VPN路由器 报价：27000 元）和深圳迅博信息技术有限公司（如：NG500 VPN网关）。

    这种通过目录服务器进行的IP地址交换，可有效避免使用动态域名服务方式产生的可靠性无法保证和恢复时间长的问题。