【正文】 的資源和精力，而通過(guò)桌面虛擬化，將企業(yè)的應(yīng)用與桌面鏡像進(jìn)行有機(jī)的打包，可最大限度的杜絕應(yīng)用之間的沖突，因?yàn)槊總€(gè)應(yīng)用都打包自己的配置信息，這就意味著對(duì)于每個(gè)應(yīng)用來(lái)說(shuō)，其配置都是獨(dú)享的，不受其他應(yīng)用影響，從而保證了最大的兼容性與穩(wěn)定性。1．用戶現(xiàn)狀分析 張家港云紳進(jìn)出口貿(mào)易有限公司，主要經(jīng)營(yíng)大型機(jī)械配件的進(jìn)出口加工，直屬分支機(jī)構(gòu)5家，分布在上海，北京，青島，深圳，廣州；代理加工機(jī)構(gòu)達(dá)幾十家，遍布全國(guó)大中型城市，產(chǎn)品銷售遍布臺(tái)灣，香港，日本，新加坡，美國(guó)等地區(qū)和國(guó)家，經(jīng)營(yíng)網(wǎng)絡(luò)遍及全世界，在亞洲、美洲、歐洲、澳洲有自己完善的銷售服務(wù)網(wǎng)絡(luò)。企業(yè)的各種應(yīng)用軟件無(wú)法實(shí)現(xiàn)集中共享，各個(gè)區(qū)域的財(cái)務(wù)報(bào)表也無(wú)法及時(shí)上傳回公司，給信息中心工作人員帶來(lái)巨大的工作量，也增加了維護(hù)成本。不僅能夠在不改變?nèi)魏尉W(wǎng)絡(luò)架構(gòu)的情況下將C/S架構(gòu)的產(chǎn)品轉(zhuǎn)化為B/S應(yīng)用，由于采用的基于服務(wù)器的計(jì)算模式，所有的計(jì)算都集中在總部的服務(wù)器進(jìn)行，網(wǎng)絡(luò)間傳輸?shù)闹皇鞘髽?biāo)、鍵盤和屏幕更新的信息，接入的速度大大提高，只需3KBps的帶寬就能實(shí)現(xiàn)快速訪問(wèn)。用戶可通過(guò)WEB方式遠(yuǎn)程訪問(wèn)C/S程序，網(wǎng)絡(luò)通訊過(guò)程采用基于證書。天翼RAP協(xié)議是瑞友公司的核心產(chǎn)品，其優(yōu)越的連接能力和穩(wěn)定的表現(xiàn)獲得廣大用戶的認(rèn)可，它具有如下應(yīng)用價(jià)值：快速部署，快速實(shí)施。降低總體擁有成本，所有的升級(jí)、打補(bǔ)丁等都集中在天翼（GWT system）服務(wù)器上進(jìn)行，對(duì)客戶機(jī)無(wú)任何硬件要求，從而大大降低了硬件升級(jí)的成本，也減少了IT部門的工作量，提高了支持的響應(yīng)速度，也降低現(xiàn)場(chǎng)服務(wù)的成本。安全性能高，天翼（GWT system）網(wǎng)絡(luò)通訊過(guò)程采用基于證書的SSL 128 位端到端的傳輸加密，四種身份認(rèn)證方式，可進(jìn)行大規(guī)模的服務(wù)器集群部署，具有動(dòng)態(tài)負(fù)載均衡能力，可以進(jìn)行集群安全策略的派發(fā)，具備日志監(jiān)控管理，支持多線路接入，可以提供更高級(jí)別的安全保障，而且連接非常穩(wěn)定，即使斷開，也會(huì)設(shè)定保留斷開點(diǎn)的信息，等待下次連接成功后直接回到斷開點(diǎn)，不會(huì)影響數(shù)據(jù)操作。 在中國(guó)，制約VPN發(fā)展、普及的因素大致可分為客觀因素和主觀因素兩方面。隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展，可以說(shuō)VPN在未來(lái)幾年內(nèi)將會(huì)得到迅猛發(fā)展。在不遠(yuǎn)的將來(lái)，VPN技術(shù)將成為廣域網(wǎng)建設(shè)的最佳解決方案，它不僅會(huì)大大節(jié)省廣域網(wǎng)的建設(shè)和運(yùn)行維護(hù)費(fèi)用，而且增強(qiáng)了網(wǎng)絡(luò)的可靠性和安全性。 致謝參考文獻(xiàn)[1] RobotCA. ,October 2005.[2] Amazon elastic pute cloud. , 2009.[3] A. Bavier, N. Feamster, M. Huang, L. Peterson, andJ. Rexford. In VINI veritas: realistic and controlled network experimentation. In In SIGCOMM’06, 2006.[4] P. O. Boykin and et al. A symphony conducted by brunet,[5] M. Castro, M. Costa, and A. Rowstron. Debunking some myths about structured and unstructured overlays. In NSDI’05: Proceedings of the 2nd conference on Symposium on Networked Systems Design amp。VPN對(duì)推動(dòng)整個(gè)電子商務(wù)、電子貿(mào)易將起到不可低估的作用。主觀因素之二，也是VPN應(yīng)用最大的障礙，是客戶自身的應(yīng)用跟不上，只有企業(yè)將自己的業(yè)務(wù)完全和網(wǎng)絡(luò)聯(lián)系上，VPN才會(huì)有了真正的用武之地?，F(xiàn)在隨著ADSL、DWDM、MPLS等新技術(shù)的大規(guī)模應(yīng)用和推廣，上述問(wèn)題將得到根本改善和解決。Infornetics Research公司預(yù)言，在2001年，全球VPN市場(chǎng)將達(dá)到120億美元。保護(hù)原有投資，充分利用現(xiàn)有設(shè)備和連接方式接入原來(lái)的軟件系統(tǒng)，延長(zhǎng)網(wǎng)絡(luò)和電腦硬件的生命周期。隨時(shí)隨地接入，在超低帶寬下流暢運(yùn)行各種應(yīng)用軟件,提供超越傳統(tǒng)VPN的遠(yuǎn)程安全快速訪問(wèn)方案，隨時(shí)隨地的安全訪問(wèn)各種關(guān)鍵應(yīng)用資源。多年來(lái)，瑞友天翼與國(guó)內(nèi)多家知名的管理軟件廠商：用友、金蝶、浪潮、清華紫光、SAP、SUNLIKE、safeNet、高達(dá)軟件、金算盤、新中大、等有廣泛而深入的合作，拓展其產(chǎn)品使用的范圍，提升其遠(yuǎn)程應(yīng)用的性能。經(jīng)過(guò)嚴(yán)格的測(cè)試后，IT部門經(jīng)理十分驚訝，感嘆到這才是真正適合自己的方案，在瑞友天翼南京辦事處周到的技術(shù)支持下，不到一天的時(shí)間就把所有的架構(gòu)部署完畢，通過(guò)瑞友天翼平臺(tái)把公司現(xiàn)有的現(xiàn)有ERP，SCM，OA，CRM等企業(yè)管理軟件發(fā)布出來(lái)，根據(jù)不同的使用權(quán)限，分別把不同的軟件、不同的模塊分配給代理加工機(jī)構(gòu)的物流管理人員、代理加工機(jī)構(gòu)的會(huì)計(jì)人員、本公司駐外人員，本公司會(huì)計(jì)人員，本公司領(lǐng)導(dǎo)等相關(guān)人員使用，從而整合了云紳公司及與云紳公司密切相關(guān)的所有資源，實(shí)現(xiàn)了真正的大集中化管理，使云紳公司的信息化建設(shè)邁上了新的臺(tái)階，為云紳公司的加速騰飛保駕護(hù)航！首先將ERP，SCM，OA，CRM的客戶端發(fā)布于總部天翼（GWT system）服務(wù)器上，分公司人員遠(yuǎn)程下載天翼（GWT system）客戶端并安裝完畢后，總部系統(tǒng)管理員分配訪問(wèn)權(quán)限，即可通過(guò)天翼（GWT system）遠(yuǎn)程訪問(wèn)發(fā)布在服務(wù)器上的一切應(yīng)用程序。 怎么樣才能使分布在上海，北京，青島，深圳，廣州的直屬分支機(jī)構(gòu)與總公司實(shí)現(xiàn)資源共享？怎么樣才能使遍布全國(guó)大中型城市的代理加工機(jī)構(gòu)應(yīng)用公司現(xiàn)有的信息化建設(shè)資源以實(shí)現(xiàn)無(wú)紙化辦公？怎樣對(duì)分布在亞洲、美洲、歐洲、澳洲銷售服務(wù)人員實(shí)現(xiàn)統(tǒng)一管理？成了擺在云紳公司高層領(lǐng)導(dǎo)及信息部門的首要任務(wù)。 隨著業(yè)務(wù)的不斷發(fā)展與壯大，公司在業(yè)務(wù)流程與管理過(guò)程中出現(xiàn)各種各樣的信息化難題。而通過(guò)桌面虛擬化，企業(yè)可以為這些業(yè)務(wù)生成相應(yīng)的虛擬機(jī)，部署相應(yīng)的桌面和應(yīng)用，但數(shù)據(jù)則可以透明的向后臺(tái)集中，等協(xié)作結(jié)束后，只需新關(guān)閉相應(yīng)的虛擬機(jī)就可以了，無(wú)需為其再單獨(dú)購(gòu)買IT終端，這無(wú)疑也就意味著提高了生產(chǎn)力。另一方面，由于企業(yè)IT可以在后臺(tái)對(duì)桌面和應(yīng)用進(jìn)行集中的維護(hù)，在木馬、病毒的防護(hù)上肯定要比傳統(tǒng)分散的物理桌面要強(qiáng)得多，而傳統(tǒng)的物理桌面由于也會(huì)接入內(nèi)部網(wǎng)絡(luò)，所以一個(gè)終端出問(wèn)題，就可以殃及整個(gè)IT系統(tǒng)。同理，IT只需在管理平臺(tái)上設(shè)置一些應(yīng)用的訪問(wèn)權(quán)限，即可指定不同級(jí)別的用戶所能使用的企業(yè)應(yīng)用程序。2） 便于企業(yè)IT對(duì)終端桌面的集中控管企業(yè)的IT部門，尤其是大企業(yè)的IT部門，對(duì)于企業(yè)的IT設(shè)備管理可謂是相當(dāng)頭疼的，比如那些有上萬(wàn)人員工的企業(yè)，有分支機(jī)構(gòu)的企業(yè)，每個(gè)員工有自己的電腦，IT要為每臺(tái)電腦的運(yùn)行負(fù)責(zé)，哪個(gè)電腦能裝什么軟件，不能裝什么軟件，IT部門必須要十分清楚，而且有些軟件只能是IT人員來(lái)安裝，員工不能自己安裝，桌面和應(yīng)用出了新補(bǔ)丁，也要由IT部門來(lái)統(tǒng)一升級(jí)，這對(duì)于員工和IT部門來(lái)說(shuō)都是不方便的。這時(shí)就需要主管人員下很大的決心，因?yàn)檫@是一筆額外的投資，并且要把你的IT架構(gòu)做一個(gè)重大的改變。圖43 2010年2月Xangati有限公司公布的虛擬桌面的驅(qū)動(dòng)因素調(diào)查結(jié)果我們發(fā)現(xiàn)在2010年的調(diào)查中又出現(xiàn)了Windows 7遷移、利于云計(jì)算等因素，當(dāng)然最重要的還是降低運(yùn)營(yíng)成本與總體擁有成本（TCO），可以說(shuō)隨著時(shí)間的推移與技術(shù)的進(jìn)步，未來(lái)還將出現(xiàn)新的亮點(diǎn)，在這我們可以大概總結(jié)一下桌面虛擬化會(huì)給企業(yè)帶來(lái)的一些關(guān)鍵好處：1）降低成本降低成本是很多人對(duì)桌面虛擬化所帶來(lái)好處的第一反應(yīng)，不過(guò)這個(gè)成本需要具體的分析。大型主機(jī)共享時(shí)代隨著PC的崛起而走向衰敗，那個(gè)時(shí)候人們更向往那種靈活應(yīng)用的自由，越來(lái)越反感大型主機(jī)的封閉與單調(diào)，在NC時(shí)代，設(shè)想就是通過(guò)網(wǎng)絡(luò)完成計(jì)算，而不再是本地，這與現(xiàn)在的桌面虛擬化是何等相似？但是由于缺乏相應(yīng)技術(shù)的支持，NC無(wú)法成為主流，因?yàn)槿藗儼l(fā)現(xiàn)NC將前端化簡(jiǎn)了，但后臺(tái)的復(fù)雜度卻明顯提升，因?yàn)槟莻€(gè)時(shí)候的后臺(tái)的計(jì)算機(jī)的計(jì)算能力也不夠強(qiáng)大，計(jì)算資源的調(diào)配與管理更是非常原始，可前端的應(yīng)用又要求靈活與快速的用戶體驗(yàn)，因此NC的概念雖好，但可惜無(wú)人幫襯，最后郁郁而終。該VPN虛擬專用網(wǎng)建成后大幅度提升了網(wǎng)絡(luò)潛力，消除以前企業(yè)內(nèi)網(wǎng)用戶與其它Internet用戶共用同一通訊網(wǎng)絡(luò)所帶來(lái)的安全方面的顧慮，從而為企業(yè)提供了一個(gè)高安全性、高性能、高可用性和多協(xié)議穩(wěn)定共存的網(wǎng)絡(luò)通信環(huán)境。VPN用戶的網(wǎng)絡(luò)地址可以由企業(yè)內(nèi)部進(jìn)行統(tǒng)一分配，VPN組網(wǎng)的靈活方便等特性簡(jiǎn)化了企業(yè)的網(wǎng)絡(luò)管理。2．預(yù)共享密鑰這個(gè)參數(shù)在路由器的VPN基本設(shè)置。進(jìn)行安全通信。在此局域網(wǎng)內(nèi)，任意一臺(tái)計(jì)算機(jī)均可以根據(jù)權(quán)限訪問(wèn)其他計(jì)算機(jī)上的軟硬件共享資源，操作方法和普通局域網(wǎng)完全一樣。VPN服務(wù)器一方面連接企業(yè)內(nèi)部專用網(wǎng)絡(luò)。通過(guò)需求分析以及企業(yè)網(wǎng)絡(luò)的整體規(guī)劃，得出VPN網(wǎng)絡(luò)拓?fù)鋱D如圖41所示：接入Internet后，使用該軟件和遠(yuǎn)端的安全網(wǎng)關(guān)建立加密隧道，安全接入公司總部和各個(gè)分公司，在任何地方使用公司內(nèi)部的OA系統(tǒng)。考慮以后總部業(yè)務(wù)需求的發(fā)展和承擔(dān)的重要任務(wù)，在總部要安裝VPN服務(wù)器，在網(wǎng)絡(luò)出口處配置VPN功能路由器。6. 企業(yè)總部接八方案設(shè)計(jì)企業(yè)總部是整個(gè)企業(yè)的核心部分，重要信息的交互、共享、重要數(shù)據(jù)的頻繁傳輸，組成了該企業(yè)的業(yè)務(wù)流。因此，采用VPN方式組網(wǎng)對(duì)該企業(yè)來(lái)說(shuō)是現(xiàn)實(shí)可行的，完全可以滿足企業(yè)的業(yè)務(wù)需要。還提供訪問(wèn)公司FTP服務(wù)器，連接公司ERP系統(tǒng)提交與查詢相關(guān)資訊等需求。 ③出差員工利用筆記本或公共電腦(如機(jī)場(chǎng)候機(jī)廳的電腦)也能夠較安全地訪問(wèn)公司內(nèi)部網(wǎng)絡(luò)資源。電信提供的DDN、ADSL等傳輸平臺(tái)沒(méi)有經(jīng)過(guò)加密處理，重要數(shù)據(jù)和信息均是以明文在網(wǎng)上傳輸，如果別有用心的人篡改、竊取甚至破壞企業(yè)數(shù)據(jù)，將給企業(yè)造成不可估量的損失。根據(jù)企業(yè)情況，可以從經(jīng)濟(jì)、安全、經(jīng)營(yíng)方面考慮該企業(yè)的建網(wǎng)需求。部門間經(jīng)常需要傳遞一些重要的數(shù)據(jù)和信息，對(duì)于數(shù)據(jù)在網(wǎng)絡(luò)中的傳輸過(guò)程中的安全性要求顯得越來(lái)越重要。如總部?jī)?nèi)建設(shè)、文檔共用服務(wù)、視頻會(huì)議系統(tǒng)、電子郵件系統(tǒng)、企業(yè)辦公自動(dòng)化系統(tǒng)、公司ERP系統(tǒng)等。 使用基于IPSEC協(xié)議的VPN技術(shù)組建企業(yè)網(wǎng)，通過(guò)雙方路由器端的設(shè)置，Windows 2000 Server 服務(wù)器的配置和客戶端端撥號(hào)軟件的設(shè)置。VPN具有很好的擴(kuò)展性，當(dāng)網(wǎng)絡(luò)擴(kuò)充與遠(yuǎn)程辦公室、國(guó)際區(qū)域、遠(yuǎn)程計(jì)算機(jī)、漫游的移動(dòng)用戶以及由于商務(wù)要求的商務(wù)伙伴等連接或是變更網(wǎng)絡(luò)結(jié)構(gòu)時(shí)，企業(yè)只需依靠提供VPN服務(wù)的ISP就可以隨時(shí)擴(kuò)大VPN的容量和覆蓋范圍，因此可以大幅度降低數(shù)據(jù)通信的費(fèi)用。這意味著通過(guò)VPN連接可以遠(yuǎn)程運(yùn)行依賴于特殊網(wǎng)絡(luò)協(xié)議的應(yīng)用程序。如果該用戶擁有遠(yuǎn)程訪問(wèn)的權(quán)限，VPN服務(wù)器接受此連接。圖311 在Windows中可輕易實(shí)現(xiàn)VPN連接實(shí)際上，VPN技術(shù)原是路由設(shè)備具有的重要技術(shù)之一，也就是說(shuō)，市場(chǎng)上大部分交換機(jī)、路由器都可以支持VPN功能，因而從廣義上來(lái)看，目前VPN產(chǎn)品包括單純VPN網(wǎng)關(guān)、VPN路由器、VPN防火墻、VPN服務(wù)器等。Connection Entry中填寫VPN的名稱，Description可隨意填寫，Host中填寫VPN的服務(wù)器名稱，Name和Password中分別填寫用戶名和密碼。以下是VPN客戶端軟件的配置說(shuō)明accesslist 101 permit ip 以下是電信防火墻上的配置，其中，,。網(wǎng)絡(luò)拓?fù)鋱D如圖39所示： 圖39 校園網(wǎng)VPN解決方案校園網(wǎng)采用VPN技術(shù)可以降低使用費(fèi)，遠(yuǎn)程用戶可以通過(guò)向當(dāng)?shù)氐腎SP申請(qǐng)賬戶登錄到Internet，以Internet作為通道與企業(yè)內(nèi)部專用網(wǎng)絡(luò)相連，通信費(fèi)用大幅度降低；學(xué)?？梢怨?jié)省購(gòu)買和維護(hù)通信設(shè)備的費(fèi)用。 　　圖35 SSL VPN可實(shí)現(xiàn)校園網(wǎng)安全管理 VPN為校園網(wǎng)帶來(lái)的應(yīng)用在校園網(wǎng)中，通過(guò)VPN給校外住戶、分校區(qū)用戶、出差遠(yuǎn)程辦公用戶、遠(yuǎn)程工作者等提供一種直接連接到校園局域網(wǎng)的服務(wù)。但不可否認(rèn)，SSL VPN依然更加適合大多數(shù)校園網(wǎng)，因?yàn)樵诨ヂ?lián)網(wǎng)時(shí)代，更多的信息交流需要實(shí)現(xiàn)完全互通，比如SSL VPN提供更細(xì)粒度的訪問(wèn)控制、能夠穿越NAT和防火墻設(shè)置、能夠較好地抵御外部系統(tǒng)和病毒攻擊、網(wǎng)絡(luò)部署靈活方便等特點(diǎn)，為其在校園網(wǎng)應(yīng)用中贏得了不少亮點(diǎn)。IPSec VPN還要求在遠(yuǎn)程接入客戶端適當(dāng)安裝和配置IPSec客戶端軟件和接入設(shè)備，這大大提高了安全級(jí)別，因?yàn)樵L問(wèn)受到特定的接入設(shè)備、軟件客戶端、用戶認(rèn)證機(jī)制和預(yù)定義安全規(guī)則的限制。遠(yuǎn)程外網(wǎng)客戶機(jī)向校園網(wǎng)內(nèi)的VPN服務(wù)器發(fā)出請(qǐng)求，VPN服務(wù)器響應(yīng)請(qǐng)求并向客戶機(jī)發(fā)出身份質(zhì)詢，客戶機(jī)將加密的響應(yīng)信息發(fā)送到VPN服務(wù)端，VPN服務(wù)器根據(jù)用戶數(shù)據(jù)庫(kù)檢查該響應(yīng)，如果賬戶有效，VPN服務(wù)器將檢查該用戶是否具有遠(yuǎn)程訪問(wèn)的權(quán)限，如果該用戶擁有遠(yuǎn)程訪問(wèn)的權(quán)限，VPN服務(wù)器接受此連接。比IPSec隧道模式更容易理解，但是要求遠(yuǎn)程VPN服務(wù)器是ISA Server或者Windows VPN服務(wù)器。在ISA中可以使用以下三種協(xié)議來(lái)建立VPN連接： l 以 ISA VPN作為連接Internet的安全網(wǎng)關(guān)，并使用雙網(wǎng)卡，隔開內(nèi)外網(wǎng)，增加網(wǎng)絡(luò)安全性。 ISA VPN簡(jiǎn)介一些大型跨國(guó)公司解決這個(gè)問(wèn)題的方法，就是在各個(gè)公司之間租用運(yùn)營(yíng)商的專用線路。除此之外，在管理維護(hù)和操作性方面，SSL VPN方案可以做到基于應(yīng)用的精細(xì)控制，基于用戶和組賦予不同的應(yīng)用訪問(wèn)權(quán)限，并對(duì)相關(guān)訪問(wèn)操作進(jìn)行審計(jì)。這樣盡管購(gòu)買軟件和硬件的費(fèi)用不一定低，但是 SSL VPN的部署成本卻很低。首先SSL VPN可以實(shí)現(xiàn)128位數(shù)據(jù)加密，保證數(shù)據(jù)在傳輸過(guò)程中不被竊取，確保ERP數(shù)據(jù)傳輸?shù)陌踩浴?IPSec在部署安全網(wǎng)關(guān)時(shí)要考慮拓?fù)渑判?，一旦添加新設(shè)備就要改變網(wǎng)絡(luò)結(jié)構(gòu)。IPSec需要已知范圍的IP地址或固定范圍的IP地址，因此在動(dòng)態(tài)分配IP地址時(shí)不太適合于IPSec。IpsecVPN加密靈活：對(duì)數(shù)據(jù)的加密是以數(shù)據(jù)包為單位的，而不是以整個(gè)數(shù)據(jù)流為單位，這不僅靈活而且有助于進(jìn)一步提高IP數(shù)據(jù)包的安全性，可以有效防范網(wǎng)絡(luò)攻擊。IKE為IPsec提供了自動(dòng)協(xié)商交換密鑰、建立SA的服務(wù)，這能夠簡(jiǎn)化IPsec的使用和管理，大