目前的各種VPN通訊一般都要求通訊的中心節(jié)點(diǎn)具有真實(shí)的IP地址，分支機(jī)構(gòu)的網(wǎng)關(guān)或客戶端不一定要有真實(shí)IP。而如果通訊的中心節(jié)點(diǎn)沒有真實(shí)的IP地址，就無法實(shí)施該環(huán)境下的VPN設(shè)備互聯(lián)。主要原因是發(fā)起通信的VPN設(shè)備由于無法確定被連接VPN設(shè)備的IP地址和協(xié)商端口號(hào)，以及IKE和IPSec協(xié)議和傳統(tǒng)的NAT協(xié)議不兼容等問題，導(dǎo)致了無法建立加密通信隧道。

　　上海安達(dá)通信息安全技術(shù)有限公司經(jīng)過長(zhǎng)期的攻關(guān)，提出了“智能中轉(zhuǎn)及快速直通”的方法（即：雙向NAT穿透），成功地解決了這一難題。

　　由于通信雙方處在不同的私有網(wǎng)絡(luò)，雙方的IP地址尋徑只在本地有效，因此解決NAT穿透虛擬專網(wǎng)的前提是如何解決虛擬專網(wǎng)的尋徑問題。

　　當(dāng)安全節(jié)點(diǎn)處于私網(wǎng)內(nèi)部的時(shí)候，安全節(jié)點(diǎn)一旦接入互聯(lián)網(wǎng)，就自動(dòng)注冊(cè)信息。注冊(cè)信息包含，安全節(jié)點(diǎn)保護(hù)的網(wǎng)絡(luò)或主機(jī)，以及安全節(jié)點(diǎn)所屬的虛擬專網(wǎng)的ID號(hào)，安全節(jié)點(diǎn)在虛擬專網(wǎng)的IP地址，安全節(jié)點(diǎn)在INTERNET網(wǎng)絡(luò)上的相關(guān)信息。如果安全節(jié)點(diǎn)是公網(wǎng)接入，則相關(guān)信息包含安全節(jié)點(diǎn)在公網(wǎng)上的IP地址，如果安全節(jié)點(diǎn)是私網(wǎng)接入，則相關(guān)信息包含安全節(jié)點(diǎn)在公網(wǎng)上的地址轉(zhuǎn)換信息IP地址和映射的端口信息。信息注冊(cè)的中心點(diǎn)就是部署在公網(wǎng)上的“VPN快速轉(zhuǎn)發(fā)器”。以下圖為例：

VPN快速轉(zhuǎn)發(fā)器工作示意圖

　　員工出差在外，如：通過酒店的局域網(wǎng)接入internet，需要訪問公司的服務(wù)器的信息資源。具體的通信過程如下：

　　1． 安達(dá)通安全網(wǎng)關(guān)和移動(dòng)用戶（使用“安全客戶端”軟件）連入Internet后，會(huì)自動(dòng)在VPN快速轉(zhuǎn)發(fā)器上，向自己所在的域（預(yù)先由網(wǎng)管員分配）登記各自的網(wǎng)絡(luò)信息。VPN快速轉(zhuǎn)發(fā)器和每一個(gè)通訊節(jié)點(diǎn)都有預(yù)共享密鑰，驗(yàn)證身份并加密通訊信息，確保兩者間的通信安全。

　　2． 當(dāng)要進(jìn)行VPN通訊時(shí)，發(fā)起方通知VPN快速轉(zhuǎn)發(fā)器，并且從其上得到對(duì)方的動(dòng)態(tài)路由信息，獲得當(dāng)前對(duì)端正確的地址和端口進(jìn)行封裝處理。

　　3． VPN快速轉(zhuǎn)發(fā)器為通訊雙方生成臨時(shí)的會(huì)話密鑰，并且為兩者生成各自的virtual IP，以后所有的密鑰交換和IPSec的驗(yàn)證、加密都是以這個(gè)Virtual IP為基礎(chǔ)，這樣就從根本上避免了經(jīng)過NAT/Firewall轉(zhuǎn)換所發(fā)生的問題。

　　4． 通訊雙方進(jìn)行IKE密鑰交換。建立了以virtual IP為基礎(chǔ)的VPN隧道，從而實(shí)現(xiàn)雙向NAT穿透。

　　基于此領(lǐng)先技術(shù)，安達(dá)通研制的VPN安全網(wǎng)關(guān)和客戶端能夠在任意保留IP地址間實(shí)施VPN連網(wǎng)，特別適合中國(guó)的城域?qū)拵ЬW(wǎng)現(xiàn)狀。