網(wǎng)絡(luò)互通解決方案
一、 公司介紹
vnn公司是美國(guó)VNN Networks, Inc.在中國(guó)的分支機(jī)構(gòu)，主要從事計(jì)算機(jī)網(wǎng)絡(luò)產(chǎn)品的研發(fā)和中國(guó)大陸的市場(chǎng)開發(fā)工作，我們公司的核心人員包括在美國(guó)硅谷工作了十幾年的技術(shù)管理人員，在國(guó)內(nèi)著名大學(xué)里工作過的科研人員，在軍隊(duì)里工作過的研發(fā)人員等。我們公司提倡創(chuàng)新與實(shí)干相結(jié)合，追求提供平等與寬松的工作環(huán)境。迄今為止，我們已有超過600萬(wàn)的注冊(cè)用戶。公司目標(biāo)是為中國(guó)大陸企業(yè)提供最專業(yè)的遠(yuǎn)程接入解決方案，為中國(guó)互聯(lián)網(wǎng)業(yè)務(wù)做出貢獻(xiàn)。
二、系統(tǒng)概述
1、產(chǎn)品介紹：
BizVNN (Business Virtual Native Network)，中文意思是“商用虛擬本地網(wǎng)”，是為接入因特網(wǎng)的任意兩個(gè)機(jī)器提供連通的服務(wù)。裝了BizVNN 的機(jī)器就像處于同一個(gè)局域網(wǎng)中一樣，即使這些機(jī)器都不擁有公網(wǎng)地址，而都是處于私網(wǎng)內(nèi)。BizVNN 與傳統(tǒng)VPN最大的不同在于兩點(diǎn)：無(wú)服務(wù)器和P2P。無(wú)服務(wù)器有效地減少了企業(yè)所需的額外帶寬，并且企業(yè)無(wú)需維護(hù)額外的硬件，也無(wú)需申請(qǐng)額外的固定公網(wǎng)地址，甚至不需要更改任何企業(yè)網(wǎng)絡(luò)配置；P2P
特性使得企業(yè)內(nèi)部可以通過BizVNN 直接（無(wú)需任何中央轉(zhuǎn)發(fā)）傳輸海量的數(shù)據(jù)，這充分利用了帶寬并且提高了數(shù)據(jù)傳輸?shù)男阅堋izVNN 綜合利用了網(wǎng)絡(luò)技術(shù)、NAT 穿透技術(shù)、訪問控制技術(shù)和加密技術(shù)，在因特網(wǎng)之上建立起任意BizVNN用戶間都能連通的“本地”網(wǎng)絡(luò)，保證數(shù)據(jù)在BizVNN 通道中進(jìn)行安全傳輸。
2、功能介紹：
功能 描述 VNN-Starter VNN-Pro
無(wú)服務(wù)器VPN 用戶間建立安全的數(shù)據(jù)傳輸隧道 是 是
文件直傳 直接在用戶間傳送文件 是 是
消息 用戶間直接發(fā)送文字消 是 是
在線通知 密友列表在對(duì)方上線時(shí)通知 是 是
固定的主機(jī)ID yourid.user.vnn 是 N/A
數(shù)據(jù)加密和校驗(yàn) 8位IV的3des加密sha1校驗(yàn) 是 是
黑白名單控制 只（不）允許指定用戶訪問 是 是
私有子域 yourid.yourCompany.vnn -- 是
固定IP地址 方便您架設(shè)內(nèi)網(wǎng)服務(wù)器 -- 是
組管理 管理您子域中的用戶 -- 是
安全令牌* 只有插上令牌時(shí)才能登錄 -- 是
登錄IP限制 只能從特定地點(diǎn)登錄 -- 是
應(yīng)用防火墻 只支持特定應(yīng)用使用VNN 隧道 -- 是
指定IP網(wǎng)段地址 組可以指定IP網(wǎng)段且成員指定地址 -- 是
3、與傳統(tǒng)VPN產(chǎn)品比較：


IPSECVPN SSL VPN BizVNN
是否需要專用服務(wù)器 是 是 不用
服務(wù)器需要公網(wǎng)地址 是 是 不用
用戶間相互連接 基于IP 不支持 通過VNN ID或IP都可以
應(yīng)用支持 全部 IE等有限應(yīng)用 全部
數(shù)據(jù)延遲 用戶1到服務(wù)器，服務(wù)器再到用戶2 1到服務(wù)器，服務(wù)器再到用戶2，并且附加額外的應(yīng)用隧道 用戶數(shù)據(jù)直接在2個(gè)用戶的PC間傳送（對(duì)于IP電話，這意味著語(yǔ)音等數(shù)據(jù)的更小延遲）
3、原理
BizVNN 是由2個(gè)部件組成的: BizVNN-Manager 和 BizVNN-Client，分別稱作BizVNN 管理中心和BizVNN 客戶端（或稱BVNN客戶端）。BizVNN-Manager 用于支持用戶認(rèn)證和相互間的訪問控制，比如支持只有屬于同一個(gè)公司的用戶間才可以相互訪問的專用組和白名單功能。BizVNN 管理中心又常被稱作BizVNN 管理器或者BizVNN 服務(wù)器。BizVNN-Client 是運(yùn)行于用戶接入互聯(lián)網(wǎng)的機(jī)器上（操作系統(tǒng)支持從Windows 98 到 Windows XP的全系列）的軟件。當(dāng)用戶運(yùn)行BizVNN 客戶端，輸入自己的BizVNN 賬號(hào)并通過了BizVNN 管理中心的認(rèn)證后，就可以相互建立直接的TCP/IP連接了，無(wú)需考慮自己和對(duì)方是否處于SOHO 網(wǎng)關(guān)之類的NAT 設(shè)備的后面。企業(yè)用戶不需要運(yùn)營(yíng)自己?jiǎn)为?dú)的BizVNN 管理器，而是直接使用BizVNN 運(yùn)營(yíng)的專用管理器。
BizVNN 與 NAT 穿越
IPv4地址的稀缺，上網(wǎng)方式的多樣性（公網(wǎng)IP、動(dòng)態(tài)撥號(hào)、ADSL、局域網(wǎng)接入等），越來(lái)越多的用戶經(jīng)過SOHU路由器或者防火墻連到互聯(lián)網(wǎng)，國(guó)內(nèi)尤其如此。于是很多用戶僅僅擁有的是私網(wǎng)IP地址，這樣這些用戶雖然可以訪問網(wǎng)頁(yè)，收發(fā)郵件，但是很難讓他們直接找到對(duì)方進(jìn)行連接并通訊，于是QQ這樣的IM軟件或者Skype這樣的VoIP軟件就必須提供代理服務(wù)器用于轉(zhuǎn)發(fā)這些用戶間的數(shù)據(jù)。
NAT就像大樓的門衛(wèi)：會(huì)檢查進(jìn)入大樓的人員，但信任外出的人員。不同大樓的2人需要訪問對(duì)方時(shí)，兩個(gè)大樓的門衛(wèi)都會(huì)阻止，除非相應(yīng)大樓中的那個(gè)人主動(dòng)通知門衛(wèi)有某人會(huì)來(lái)。都處于NAT環(huán)境的兩臺(tái)主機(jī)就像兩個(gè)大樓中的兩個(gè)人。當(dāng)前一些IM或者VoIP通過轉(zhuǎn)發(fā)時(shí)，由于轉(zhuǎn)發(fā)服務(wù)器可能與雙方都不近，或者由于負(fù)載過大，往往導(dǎo)致語(yǔ)音的明顯延時(shí)和質(zhì)量下降。
BizVNN 通過對(duì)各種NAT 行為的分析和研究，并輔助公網(wǎng)上架設(shè)的“協(xié)調(diào)服務(wù)器”解決了98%以上的NAT 穿越問題，使得用戶可以直接建立連接。“協(xié)調(diào)服務(wù)器”只用于幫助用戶建立連接，連接成功建立后，所有的用戶數(shù)據(jù)都不需經(jīng)過“協(xié)調(diào)服務(wù)器”，而是直接傳送到對(duì)方。
BizVNN 與 應(yīng)用透明集成
大多數(shù)IM 、游戲或者VoIP 軟件都或多或少地使用了NAT 穿越技術(shù)，但是這種穿越只能為這些特定的軟件自身使用。BizVNN 使用了虛擬網(wǎng)絡(luò)技術(shù)，使得NAT 穿越后的通道可以為任何TCP/IP/IPX 應(yīng)用所使用，就是應(yīng)用透明。這擴(kuò)大了穿越的使用范圍，使得即使像Web/FTP服務(wù)器這樣的傳統(tǒng)網(wǎng)絡(luò)應(yīng)用無(wú)需做任何程序改動(dòng)也可以直接在內(nèi)網(wǎng)上架設(shè)并被互聯(lián)網(wǎng)上的用戶訪問。
BizVNN 與 安全
BizVNN 除了IPSec 中常用的加密和校驗(yàn)技術(shù)，更進(jìn)一步內(nèi)置提供了訪問控制名單以幫助用戶實(shí)現(xiàn)全面的安全方案。
數(shù)據(jù)加密: 用戶之間的通訊通過服務(wù)器協(xié)商密鑰，使用帶8位IV的3DES加密，SHA1校驗(yàn)；不同組的用戶缺省不能通訊，因?yàn)闊o(wú)法協(xié)商密鑰。
用戶認(rèn)證: 用戶和服務(wù)器之間的通訊使用用戶賬號(hào)的登陸密碼做challenge-response并協(xié)商一個(gè)160 bits (sha1(passwd,random)) 的session key進(jìn)行RC4加密；專用組用戶的初始密碼都是管理員分配，但是用戶知道自己的密碼后可以修改自己的密碼。
訪問控制: 只有同一組內(nèi)的用戶才可以相互訪問；用戶自己可以進(jìn)一步設(shè)置黑白名單；使用白名單時(shí)，只有名單內(nèi)的組內(nèi)用戶才可以訪問自己。
三、系統(tǒng)拓?fù)鋱D

四、系統(tǒng)特點(diǎn)：
無(wú)服務(wù)器VPN，用戶無(wú)需添加和維護(hù)額外的硬件，無(wú)公網(wǎng)IP雙方自由連接；無(wú)需添加和維護(hù)額外的硬件，與其他 VPN 解決方案不同，您既不需要在路由器上進(jìn)行諸如端口映射的配置調(diào)整，也不需要增加額外的防火墻到 VPN 服務(wù)器的前端，無(wú)需額外的帶寬。