拨号ADSL的VPN解决方案

    目前，通过ADSL虚拟拨号的宽带接入互联网方式因为相对高速和经济深受国内广大企业用户所喜爱和采用，所以动态VPN方案建立在拨号ADSL上具有普遍性和代表性，这样的方案也更具现实意义，因此本文仅介绍基于拨号ADSL的动态VPN。

    当前，部分企业分支机构PC机较少，甚至仅有一台，如果针对单机投入硬件VPN设备，对于某些用户来讲，无疑不必要，资金投入也会带来负担，而这些用户同样需要接入总部实现远程系统互联。就如同本文开头网友提的问题那样，需要一台在远距离的PC与总公司联网。这样的需求，我们可选择即可提供VPN硬件设备，也提供VPN客户端软件的的厂家的产品，以VPN硬件设备来作为VPN服务器端，客户端软件作为VPN客户端。下面我们将分别推介上述两种动态IP VPN实现方案的搭配方案，都是“VPN设备+VPN客户端软件”组合。

    1．基于DDNS的动态VPN案例

    （1）硬件设备——网件FVS338 VPN防火墙（报价：4900元）（图1）

图1

    FVS338是一款多功能、高性价比的VPN防火墙产品，它集路由器、交换机、VPN、防火墙于一身。266 MHz处理器，16Mb内存，32Mb 闪存。8个10/100 Mbps自适应LAN口，1个10/100 Mbps自适应WAN口。支持50 个专用IPSec VPN 隧道。支持静态和动态RIP v1、RIPv2路由。支持高级的状态包检测(SPI)防火墙技术。支持为动态IP地址的VPN连接的完整域名(FQDN)技术。美国网件公司创新地采用FQDN技术，并与国内著名花生壳动态域名服务进行捆绑，用户可以通过花生壳动态域名解析服务，利用动态IP地址的ADSL接入，大幅降低组建VPN网络的成本，成为国内中小型商用网络多分支机构VPN解决方案提供商的首选技术。其它协议和功能还包括：NAT 、ICMP、PPPoE、DHCP、DMZ等等。可以说，这台设备

    （2）软件—— NETGEAR VPN Client软件 （图2）

图2

    NETGEAR的 Prosafe VPN 客户端软件提供了简易的设置和无缝的兼容所有的 NETGEAR VPN 防火墙产品线。也能兼容其他业界领先的 IPsec VPN 解决方案。VPN 客户端支持 VPN 透传模式 , 可以穿越的网络地址转换 (NAT) 设备。

    网络拓朴图如下：（图3）

图3（点击看大图）

    2．基于目录服务的动态VPN案例

    （1）硬件设备——冰峰网络R800 VPN路由器（报价：6250元）（图4）

图4

    R800是上海冰峰网络根据小型企业用户的实际需求推出的低价格的ICEFLOW系列产品，专门针对小型企业、电脑数量较少的小型分支机构而研发设计。它同时集成了防火墙、传输和加密等功能，可以在全动态IP的广域网络上设置VPN，同时支持ADSL、CABLEMODEM、光纤、固定IP等多种接入方式。1.5万个并发会话连接数，每秒新建会话数2000个，支持50个VPN通道数。200MHz CPU，32 M内存，32 M闪存。1个100 M WAN口，1个100 M LAN口，1个Console口。支持冰峰独特的“指纹认证”目录服务安全认证，通过ICEFLOW的可靠协议进行IP地址交换。通过ICEFLOW的可靠协议进行动态IP地址交换。内建基本动态包过滤防火墙，支持静态路由。

    （2）软件—— ICEFLOW 安全软件包 （图5）

图5（点击看大图）

    冰峰网自研出符合PPTP和SSL协议标准的软件客户端以适用仅有一台和移动用户需要与总部建立VPN的应用环境。能够与VPN路由器网关互通，支持各种网络接入方式，支持NAT穿越。软件运行对用户表现为全透明，用户的其网络配置也不必作任何改动，只需在客户端PC机上安装客户端程序。并可与身份认证ISK技术配合使用，为单机和用户移动接入提供更强的安全性。无需路由器有固定ip，客户端可以通过目录服务协议进行稳定的ip解析。可自动下载路由器上的路由。

    网络拓朴图如下：（图6）

图6（点击看大图）