網絡互通解決方案
一、 公司介紹
vnn公司是美國VNN Networks, Inc.在中國的分支機構,主要從事計算機網絡產品的研發和中國大陸的市場開發工作,我們公司的核心人員包括在美國硅谷工作了十幾年的技術管理人員,在國內著名大學里工作過的科研人員,在軍隊里工作過的研發人員等。我們公司提倡創新與實干相結合,追求提供平等與寬松的工作環境。迄今為止,我們已有超過600萬的注冊用戶。公司目標是為中國大陸企業提供最專業的遠程接入解決方案,為中國互聯網業務做出貢獻。
二、系統概述
1、產品介紹:
BizVNN (Business Virtual Native Network),中文意思是“商用虛擬本地網”,是為接入因特網的任意兩個機器提供連通的服務。裝了BizVNN 的機器就像處于同一個局域網中一樣,即使這些機器都不擁有公網地址,而都是處于私網內。BizVNN 與傳統VPN最大的不同在于兩點:無服務器和P2P。無服務器有效地減少了企業所需的額外帶寬,并且企業無需維護額外的硬件,也無需申請額外的固定公網地址,甚至不需要更改任何企業網絡配置;P2P
特性使得企業內部可以通過BizVNN 直接(無需任何中央轉發)傳輸海量的數據,這充分利用了帶寬并且提高了數據傳輸的性能。BizVNN 綜合利用了網絡技術、NAT 穿透技術、訪問控制技術和加密技術,在因特網之上建立起任意BizVNN用戶間都能連通的“本地”網絡,保證數據在BizVNN 通道中進行安全傳輸。
2、功能介紹:
功能 描述 VNN-Starter VNN-Pro
無服務器VPN 用戶間建立安全的數據傳輸隧道 是 是
文件直傳 直接在用戶間傳送文件 是 是
消息 用戶間直接發送文字消 是 是
在線通知 密友列表在對方上線時通知 是 是
固定的主機ID yourid.user.vnn 是 N/A
數據加密和校驗 8位IV的3des加密sha1校驗 是 是
黑白名單控制 只(不)允許指定用戶訪問 是 是
私有子域 yourid.yourCompany.vnn -- 是
固定IP地址 方便您架設內網服務器 -- 是
組管理 管理您子域中的用戶 -- 是
安全令牌* 只有插上令牌時才能登錄 -- 是
登錄IP限制 只能從特定地點登錄 -- 是
應用防火墻 只支持特定應用使用VNN 隧道 -- 是
指定IP網段地址 組可以指定IP網段且成員指定地址 -- 是
3、與傳統VPN產品比較:
IPSECVPN SSL VPN BizVNN
是否需要專用服務器 是 是 不用
服務器需要公網地址 是 是 不用
用戶間相互連接 基于IP 不支持 通過VNN ID或IP都可以
應用支持 全部 IE等有限應用 全部
數據延遲 用戶1到服務器,服務器再到用戶2 1到服務器,服務器再到用戶2,并且附加額外的應用隧道 用戶數據直接在2個用戶的PC間傳送(對于IP電話,這意味著語音等數據的更小延遲)
3、原理
BizVNN 是由2個部件組成的: BizVNN-Manager 和 BizVNN-Client,分別稱作BizVNN 管理中心和BizVNN 客戶端(或稱BVNN客戶端)。BizVNN-Manager 用于支持用戶認證和相互間的訪問控制,比如支持只有屬于同一個公司的用戶間才可以相互訪問的專用組和白名單功能。BizVNN 管理中心又常被稱作BizVNN 管理器或者BizVNN 服務器。BizVNN-Client 是運行于用戶接入互聯網的機器上(操作系統支持從Windows 98 到 Windows XP的全系列)的軟件。當用戶運行BizVNN 客戶端,輸入自己的BizVNN 賬號并通過了BizVNN 管理中心的認證后,就可以相互建立直接的TCP/IP連接了,無需考慮自己和對方是否處于SOHO 網關之類的NAT 設備的后面。企業用戶不需要運營自己單獨的BizVNN 管理器,而是直接使用BizVNN 運營的專用管理器。
BizVNN 與 NAT 穿越
IPv4地址的稀缺,上網方式的多樣性(公網IP、動態撥號、ADSL、局域網接入等),越來越多的用戶經過SOHU路由器或者防火墻連到互聯網,國內尤其如此。于是很多用戶僅僅擁有的是私網IP地址,這樣這些用戶雖然可以訪問網頁,收發郵件,但是很難讓他們直接找到對方進行連接并通訊,于是QQ這樣的IM軟件或者Skype這樣的VoIP軟件就必須提供代理服務器用于轉發這些用戶間的數據。
NAT就像大樓的門衛:會檢查進入大樓的人員,但信任外出的人員。不同大樓的2人需要訪問對方時,兩個大樓的門衛都會阻止,除非相應大樓中的那個人主動通知門衛有某人會來。都處于NAT環境的兩臺主機就像兩個大樓中的兩個人。當前一些IM或者VoIP通過轉發時,由于轉發服務器可能與雙方都不近,或者由于負載過大,往往導致語音的明顯延時和質量下降。
BizVNN 通過對各種NAT 行為的分析和研究,并輔助公網上架設的“協調服務器”解決了98%以上的NAT 穿越問題,使得用戶可以直接建立連接。“協調服務器”只用于幫助用戶建立連接,連接成功建立后,所有的用戶數據都不需經過“協調服務器”,而是直接傳送到對方。
BizVNN 與 應用透明集成
大多數IM 、游戲或者VoIP 軟件都或多或少地使用了NAT 穿越技術,但是這種穿越只能為這些特定的軟件自身使用。BizVNN 使用了虛擬網絡技術,使得NAT 穿越后的通道可以為任何TCP/IP/IPX 應用所使用,就是應用透明。這擴大了穿越的使用范圍,使得即使像Web/FTP服務器這樣的傳統網絡應用無需做任何程序改動也可以直接在內網上架設并被互聯網上的用戶訪問。
BizVNN 與 安全
BizVNN 除了IPSec 中常用的加密和校驗技術,更進一步內置提供了訪問控制名單以幫助用戶實現全面的安全方案。
數據加密: 用戶之間的通訊通過服務器協商密鑰,使用帶8位IV的3DES加密,SHA1校驗;不同組的用戶缺省不能通訊,因為無法協商密鑰。
用戶認證: 用戶和服務器之間的通訊使用用戶賬號的登陸密碼做challenge-response并協商一個160 bits (sha1(passwd,random)) 的session key進行RC4加密;專用組用戶的初始密碼都是管理員分配,但是用戶知道自己的密碼后可以修改自己的密碼。
訪問控制: 只有同一組內的用戶才可以相互訪問;用戶自己可以進一步設置黑白名單;使用白名單時,只有名單內的組內用戶才可以訪問自己。
三、系統拓撲圖
四、系統特點:
無服務器VPN,用戶無需添加和維護額外的硬件,無公網IP雙方自由連接;無需添加和維護額外的硬件,與其他 VPN 解決方案不同,您既不需要在路由器上進行諸如端口映射的配置調整,也不需要增加額外的防火墻到 VPN 服務器的前端,無需額外的帶寬。
