目前的各種VPN通訊一般都要求通訊的中心節(jié)點具有真實的IP地址，分支機構(gòu)的網(wǎng)關(guān)或客戶端不一定要有真實IP。而如果通訊的中心節(jié)點沒有真實的IP地址，就無法實施該環(huán)境下的VPN設(shè)備互聯(lián)。主要原因是發(fā)起通信的VPN設(shè)備由于無法確定被連接VPN設(shè)備的IP地址和協(xié)商端口號，以及IKE和IPSec協(xié)議和傳統(tǒng)的NAT協(xié)議不兼容等問題，導(dǎo)致了無法建立加密通信隧道。

　　上海安達通信息安全技術(shù)有限公司經(jīng)過長期的攻關(guān)，提出了“智能中轉(zhuǎn)及快速直通”的方法（即：雙向NAT穿透），成功地解決了這一難題。

　　由于通信雙方處在不同的私有網(wǎng)絡(luò)，雙方的IP地址尋徑只在本地有效，因此解決NAT穿透虛擬專網(wǎng)的前提是如何解決虛擬專網(wǎng)的尋徑問題。

　　當(dāng)安全節(jié)點處于私網(wǎng)內(nèi)部的時候，安全節(jié)點一旦接入互聯(lián)網(wǎng)，就自動注冊信息。注冊信息包含，安全節(jié)點保護的網(wǎng)絡(luò)或主機，以及安全節(jié)點所屬的虛擬專網(wǎng)的ID號，安全節(jié)點在虛擬專網(wǎng)的IP地址，安全節(jié)點在INTERNET網(wǎng)絡(luò)上的相關(guān)信息。如果安全節(jié)點是公網(wǎng)接入，則相關(guān)信息包含安全節(jié)點在公網(wǎng)上的IP地址，如果安全節(jié)點是私網(wǎng)接入，則相關(guān)信息包含安全節(jié)點在公網(wǎng)上的地址轉(zhuǎn)換信息IP地址和映射的端口信息。信息注冊的中心點就是部署在公網(wǎng)上的“VPN快速轉(zhuǎn)發(fā)器”。以下圖為例：

VPN快速轉(zhuǎn)發(fā)器工作示意圖

　　員工出差在外，如：通過酒店的局域網(wǎng)接入internet，需要訪問公司的服務(wù)器的信息資源。具體的通信過程如下：

　　1． 安達通安全網(wǎng)關(guān)和移動用戶（使用“安全客戶端”軟件）連入Internet后，會自動在VPN快速轉(zhuǎn)發(fā)器上，向自己所在的域（預(yù)先由網(wǎng)管員分配）登記各自的網(wǎng)絡(luò)信息。VPN快速轉(zhuǎn)發(fā)器和每一個通訊節(jié)點都有預(yù)共享密鑰，驗證身份并加密通訊信息，確保兩者間的通信安全。

　　2． 當(dāng)要進行VPN通訊時，發(fā)起方通知VPN快速轉(zhuǎn)發(fā)器，并且從其上得到對方的動態(tài)路由信息，獲得當(dāng)前對端正確的地址和端口進行封裝處理。

　　3． VPN快速轉(zhuǎn)發(fā)器為通訊雙方生成臨時的會話密鑰，并且為兩者生成各自的virtual IP，以后所有的密鑰交換和IPSec的驗證、加密都是以這個Virtual IP為基礎(chǔ)，這樣就從根本上避免了經(jīng)過NAT/Firewall轉(zhuǎn)換所發(fā)生的問題。

　　4． 通訊雙方進行IKE密鑰交換。建立了以virtual IP為基礎(chǔ)的VPN隧道，從而實現(xiàn)雙向NAT穿透。

　　基于此領(lǐng)先技術(shù)，安達通研制的VPN安全網(wǎng)關(guān)和客戶端能夠在任意保留IP地址間實施VPN連網(wǎng)，特別適合中國的城域?qū)拵ЬW(wǎng)現(xiàn)狀。