網(wǎng)絡(luò)互通解決方案
一���、 公司介紹
vnn公司是美國VNN Networks, Inc.在中國的分支機構(gòu),主要從事計算機網(wǎng)絡(luò)產(chǎn)品的研發(fā)和中國大陸的市場開發(fā)工作����,我們公司的核心人員包括在美國硅谷工作了十幾年的技術(shù)管理人員,在國內(nèi)著名大學里工作過的科研人員����,在軍隊里工作過的研發(fā)人員等。我們公司提倡創(chuàng)新與實干相結(jié)合���,追求提供平等與寬松的工作環(huán)境��。迄今為止�,我們已有超過600萬的注冊用戶����。公司目標是為中國大陸企業(yè)提供最專業(yè)的遠程接入解決方案,為中國互聯(lián)網(wǎng)業(yè)務(wù)做出貢獻��。
二���、系統(tǒng)概述
1����、產(chǎn)品介紹:
BizVNN (Business Virtual Native Network)�,中文意思是“商用虛擬本地網(wǎng)”,是為接入因特網(wǎng)的任意兩個機器提供連通的服務(wù)�。裝了BizVNN 的機器就像處于同一個局域網(wǎng)中一樣,即使這些機器都不擁有公網(wǎng)地址����,而都是處于私網(wǎng)內(nèi)��。BizVNN 與傳統(tǒng)VPN最大的不同在于兩點:無服務(wù)器和P2P�����。無服務(wù)器有效地減少了企業(yè)所需的額外帶寬���,并且企業(yè)無需維護額外的硬件,也無需申請額外的固定公網(wǎng)地址���,甚至不需要更改任何企業(yè)網(wǎng)絡(luò)配置�;P2P
特性使得企業(yè)內(nèi)部可以通過BizVNN 直接(無需任何中央轉(zhuǎn)發(fā))傳輸海量的數(shù)據(jù)�����,這充分利用了帶寬并且提高了數(shù)據(jù)傳輸?shù)男阅?。BizVNN 綜合利用了網(wǎng)絡(luò)技術(shù)、NAT 穿透技術(shù)��、訪問控制技術(shù)和加密技術(shù)����,在因特網(wǎng)之上建立起任意BizVNN用戶間都能連通的“本地”網(wǎng)絡(luò)�,保證數(shù)據(jù)在BizVNN 通道中進行安全傳輸����。
2��、功能介紹:
功能 描述 VNN-Starter VNN-Pro
無服務(wù)器VPN 用戶間建立安全的數(shù)據(jù)傳輸隧道 是 是
文件直傳 直接在用戶間傳送文件 是 是
消息 用戶間直接發(fā)送文字消 是 是
在線通知 密友列表在對方上線時通知 是 是
固定的主機ID yourid.user.vnn 是 N/A
數(shù)據(jù)加密和校驗 8位IV的3des加密sha1校驗 是 是
黑白名單控制 只(不)允許指定用戶訪問 是 是
私有子域 yourid.yourCompany.vnn -- 是
固定IP地址 方便您架設(shè)內(nèi)網(wǎng)服務(wù)器 -- 是
組管理 管理您子域中的用戶 -- 是
安全令牌* 只有插上令牌時才能登錄 -- 是
登錄IP限制 只能從特定地點登錄 -- 是
應(yīng)用防火墻 只支持特定應(yīng)用使用VNN 隧道 -- 是
指定IP網(wǎng)段地址 組可以指定IP網(wǎng)段且成員指定地址 -- 是
3����、與傳統(tǒng)VPN產(chǎn)品比較:
IPSECVPN SSL VPN BizVNN
是否需要專用服務(wù)器 是 是 不用
服務(wù)器需要公網(wǎng)地址 是 是 不用
用戶間相互連接 基于IP 不支持 通過VNN ID或IP都可以
應(yīng)用支持 全部 IE等有限應(yīng)用 全部
數(shù)據(jù)延遲 用戶1到服務(wù)器,服務(wù)器再到用戶2 1到服務(wù)器���,服務(wù)器再到用戶2�,并且附加額外的應(yīng)用隧道 用戶數(shù)據(jù)直接在2個用戶的PC間傳送(對于IP電話�����,這意味著語音等數(shù)據(jù)的更小延遲)
3��、原理
BizVNN 是由2個部件組成的: BizVNN-Manager 和 BizVNN-Client���,分別稱作BizVNN 管理中心和BizVNN 客戶端(或稱BVNN客戶端)�。BizVNN-Manager 用于支持用戶認證和相互間的訪問控制����,比如支持只有屬于同一個公司的用戶間才可以相互訪問的專用組和白名單功能�����。BizVNN 管理中心又常被稱作BizVNN 管理器或者BizVNN 服務(wù)器���。BizVNN-Client 是運行于用戶接入互聯(lián)網(wǎng)的機器上(操作系統(tǒng)支持從Windows 98 到 Windows XP的全系列)的軟件。當用戶運行BizVNN 客戶端��,輸入自己的BizVNN 賬號并通過了BizVNN 管理中心的認證后���,就可以相互建立直接的TCP/IP連接了�����,無需考慮自己和對方是否處于SOHO 網(wǎng)關(guān)之類的NAT 設(shè)備的后面�����。企業(yè)用戶不需要運營自己單獨的BizVNN 管理器�����,而是直接使用BizVNN 運營的專用管理器�。
BizVNN 與 NAT 穿越
IPv4地址的稀缺,上網(wǎng)方式的多樣性(公網(wǎng)IP�、動態(tài)撥號、ADSL���、局域網(wǎng)接入等)����,越來越多的用戶經(jīng)過SOHU路由器或者防火墻連到互聯(lián)網(wǎng)�����,國內(nèi)尤其如此��。于是很多用戶僅僅擁有的是私網(wǎng)IP地址��,這樣這些用戶雖然可以訪問網(wǎng)頁�,收發(fā)郵件���,但是很難讓他們直接找到對方進行連接并通訊����,于是QQ這樣的IM軟件或者Skype這樣的VoIP軟件就必須提供代理服務(wù)器用于轉(zhuǎn)發(fā)這些用戶間的數(shù)據(jù)�����。
NAT就像大樓的門衛(wèi):會檢查進入大樓的人員,但信任外出的人員�。不同大樓的2人需要訪問對方時,兩個大樓的門衛(wèi)都會阻止��,除非相應(yīng)大樓中的那個人主動通知門衛(wèi)有某人會來���。都處于NAT環(huán)境的兩臺主機就像兩個大樓中的兩個人����。當前一些IM或者VoIP通過轉(zhuǎn)發(fā)時���,由于轉(zhuǎn)發(fā)服務(wù)器可能與雙方都不近����,或者由于負載過大��,往往導致語音的明顯延時和質(zhì)量下降���。
BizVNN 通過對各種NAT 行為的分析和研究�,并輔助公網(wǎng)上架設(shè)的“協(xié)調(diào)服務(wù)器”解決了98%以上的NAT 穿越問題�����,使得用戶可以直接建立連接?�!皡f(xié)調(diào)服務(wù)器”只用于幫助用戶建立連接����,連接成功建立后,所有的用戶數(shù)據(jù)都不需經(jīng)過“協(xié)調(diào)服務(wù)器”�,而是直接傳送到對方。
BizVNN 與 應(yīng)用透明集成
大多數(shù)IM �、游戲或者VoIP 軟件都或多或少地使用了NAT 穿越技術(shù)���,但是這種穿越只能為這些特定的軟件自身使用����。BizVNN 使用了虛擬網(wǎng)絡(luò)技術(shù)��,使得NAT 穿越后的通道可以為任何TCP/IP/IPX 應(yīng)用所使用�,就是應(yīng)用透明。這擴大了穿越的使用范圍�����,使得即使像Web/FTP服務(wù)器這樣的傳統(tǒng)網(wǎng)絡(luò)應(yīng)用無需做任何程序改動也可以直接在內(nèi)網(wǎng)上架設(shè)并被互聯(lián)網(wǎng)上的用戶訪問。
BizVNN 與 安全
BizVNN 除了IPSec 中常用的加密和校驗技術(shù)���,更進一步內(nèi)置提供了訪問控制名單以幫助用戶實現(xiàn)全面的安全方案��。
數(shù)據(jù)加密: 用戶之間的通訊通過服務(wù)器協(xié)商密鑰�����,使用帶8位IV的3DES加密�����,SHA1校驗�����;不同組的用戶缺省不能通訊����,因為無法協(xié)商密鑰�����。
用戶認證: 用戶和服務(wù)器之間的通訊使用用戶賬號的登陸密碼做challenge-response并協(xié)商一個160 bits (sha1(passwd,random)) 的session key進行RC4加密;專用組用戶的初始密碼都是管理員分配�,但是用戶知道自己的密碼后可以修改自己的密碼。
訪問控制: 只有同一組內(nèi)的用戶才可以相互訪問�;用戶自己可以進一步設(shè)置黑白名單;使用白名單時�����,只有名單內(nèi)的組內(nèi)用戶才可以訪問自己�。
三、系統(tǒng)拓撲圖
四�����、系統(tǒng)特點:
無服務(wù)器VPN���,用戶無需添加和維護額外的硬件��,無公網(wǎng)IP雙方自由連接;無需添加和維護額外的硬件�,與其他 VPN 解決方案不同,您既不需要在路由器上進行諸如端口映射的配置調(diào)整���,也不需要增加額外的防火墻到 VPN 服務(wù)器的前端�����,無需額外的帶寬��。
