【正文】 radius localaaa authorization network cisco local以下是為遠(yuǎn)端VPN用戶定義crypto策略，使用3des加密、共享密鑰和用group2產(chǎn)生密鑰的配置crypto isakmp policy 1encr 3desauthentication presharegroup 2以下是創(chuàng)建組驗證的用戶名和密碼，分配DNS地址，指定要分配給VPN用戶的地址池以及允VPN用戶所能訪問的IP范圍的配置：crypto isakmp invalidspirecoverycrypto isakmp keepalive 10crypto isakmp nat keepalive 15crypto isakmp xauth timeout 45crypto isakmp client configuration group ciscokey ciscodns pool remotepoolacl 101 以下是定義crypto的transform屬性的配置：crypto ipsec transformset transform1 esp3des espshahmac以下是定義crypto的動態(tài)map的配置crypto dynamicmap dynmap 1set transformset transform1 以下是創(chuàng)建一個合成的map，將合成map綁定到端口上的配置：crypto map clientmap client authentication list defaultcrypto map clientmap isakmp authorization list ciscocrypto map clientmap client configuration address respondcrypto map clientmap 1 ipsecisakmp dynamic dynmap 以下是定義兩個端口為vpn模塊的虛擬端口的配置：interface GigabitEthernet2/1switchportswitchport trunk encapsulation dot1qswitchport trunk allowed vlan 906switchport mode trunkspanningtree portfast trunkinterface GigabitEthernet2/2switchportswitchport trunk encapsulation dot1qswitchport trunk allowed vlan 903switchport mode trunkspanningtree portfast trunk以下是接口為PORT VLAN的配置，它接口地址分配在防火墻INSIDE接口上：interface Vlan903no ip addresscrypto connect vlan 906interface Vlan906ip address 以下是將合成的map應(yīng)用到該接口的配置：crypto map clientmapcrypto engine slot 2以下是定義分配給VPN用戶的地址段的配置:ip local pool remotepool 以下是定義VPN允許訪問的地址范圍。以下是客戶端操作實例圖，如圖310所示。 方案分析 由于SSL VPN網(wǎng)關(guān)雖然提供簡單的包過濾功能，但是遠(yuǎn)遠(yuǎn)不如防火墻/VPN一體機安全，因此SSLVPN網(wǎng)關(guān)需要通過防火墻進(jìn)行特殊的安全保護(hù)部署；同時由于它位于防火墻后面，也使得SSL的數(shù)據(jù)無法被防火墻進(jìn)行安全過濾，但在同等條件下防火墻/VPN一體機則很好解決了加密和防火墻的訪問控制的矛盾。客戶機向VPN服務(wù)器發(fā)出請求，VPN服務(wù)器響應(yīng)請求并向客戶機發(fā)出身份質(zhì)詢，客戶機將加密的響應(yīng)信息發(fā)送到VPN服務(wù)端，VPN服務(wù)器根據(jù)用戶數(shù)據(jù)庫檢查該響應(yīng)，如果賬戶有效，VPN服務(wù)器將檢查該用戶是否具有遠(yuǎn)程訪問的權(quán)限?；贗P、IPX和NetBEUI協(xié)議網(wǎng)絡(luò)中的客戶機都可以很容易地使用VPN。企業(yè)通過使用VPN技術(shù)組建網(wǎng)絡(luò)，可以保證數(shù)據(jù)在傳輸過程中的安全性和QOS(服務(wù)質(zhì)量保證)。 具體設(shè)計方案1．需求分析 在本文設(shè)計的企業(yè)模型中，企業(yè)內(nèi)部以及各分支機構(gòu)網(wǎng)絡(luò)運行有多種企業(yè)應(yīng)用。隨著企業(yè)規(guī)模的擴(kuò)大，業(yè)務(wù)量也隨之逐漸增加，各地分公司、辦事處的業(yè)務(wù)部門之間的信息交互也日漸頻繁。能夠很好地為各分支機構(gòu)提供各類現(xiàn)存服務(wù)，急需建設(shè)覆蓋各個異地分支機構(gòu)的信息服務(wù)網(wǎng)絡(luò)。相關(guān)需要聯(lián)網(wǎng)的網(wǎng)點數(shù)目比較多，分部地區(qū)比較廣，信息交互比較頻繁，每月的巨額通訊費用和專線租用費會給該企業(yè)帶來很大的壓力。根據(jù)對該企業(yè)網(wǎng)絡(luò)需求進(jìn)行的深入了解和分析，此次VPN網(wǎng)絡(luò)方案實施將在保留原有網(wǎng)絡(luò)環(huán)境的情況下，將需要提供以下的一些具體的設(shè)置以滿足該企業(yè)需求：可以提供公司出差人員在各地通過互聯(lián)網(wǎng)和公司網(wǎng)絡(luò)實現(xiàn)網(wǎng)絡(luò)互聯(lián)。通過綜合比較，采用VPN方式組網(wǎng)具有投資成本低、高帶寬、高可靠性、高安全性以及靈活的可擴(kuò)展性的優(yōu)點。通過安全網(wǎng)關(guān)在Internet上構(gòu)建企業(yè)內(nèi)部虛擬專用網(wǎng)絡(luò)，并解決企業(yè)內(nèi)部移動用戶的遠(yuǎn)程接入問題。目前，該企業(yè)總部的內(nèi)部網(wǎng)絡(luò)，通過電信網(wǎng)絡(luò)直接接入Internet。移動用戶的遠(yuǎn)程安全接入方案設(shè)計：在外出差的移動用戶可以通過安裝在筆計本上的客戶端撥號軟件，隨時通過接入當(dāng)?shù)氐腎SP。本設(shè)計中，由于企業(yè)下屬的分支機構(gòu)和合作伙伴數(shù)量較多，在拓?fù)鋱D中只選擇了部分的公司作為說明的對象。Windows 2000下VPN的實現(xiàn)：為了實現(xiàn)移動辦公用戶能夠隨時隨地接入企業(yè)內(nèi)部局域網(wǎng)，查看公司內(nèi)部最新資源，在本次設(shè)計中采用了自愿隧道技術(shù)建立臨時的VPN隧道，企業(yè)內(nèi)部網(wǎng)絡(luò)中必須有一臺基于Windows 2000 Server的VPN服務(wù)器。主要有三個步驟：當(dāng)VPN客戶機通過虛擬撥號和VPN服務(wù)器連接成功，VPN客戶機就成了VPN服務(wù)器所在局域網(wǎng)的一部分。一個安全相關(guān)表示兩個或多個通信實體之間經(jīng)過了身份認(rèn)證且這些通信實體都能支持相同的加密算法成功地交換了會話密鑰可以開始利用IPSEC。IKE中身份認(rèn)證采用共享密鑰和數(shù)字簽名兩種方式。 設(shè)計結(jié)果及作用VPN網(wǎng)絡(luò)建成以后，大大降低了網(wǎng)絡(luò)復(fù)雜度。 案例分析本案例中主要通過路由器端以及PC機中服務(wù)器端和客戶端的相關(guān)配置，采用IPSec協(xié)議構(gòu)建中小型企業(yè)VPN虛擬專用網(wǎng)。而就虛擬桌面本身來說，資歷稍老一些IT從業(yè)者都聽說過網(wǎng)絡(luò)計算機（NC，Net Computer）這一概念，而最早的類似于虛擬桌面的這種應(yīng)用模式可以說是大型主機的時代，當(dāng)然每個技術(shù)的誕生與發(fā)展，與周邊的環(huán)境是密不可分的，誕生的早，周邊技術(shù)不支持，那么死得快，誕生的完也沒有意義。 虛擬化的優(yōu)勢圖42 IDG所做的桌面虛擬化選擇因素調(diào)查IDG調(diào)查服務(wù)部門在2008年所做調(diào)查中，340位受訪者中選擇最多的理由就是降低成本和更可控的桌面環(huán)境，其次還包括應(yīng)用的集中、桌面安全性、更靈活的控制資源等等，而在2010年2月Xangati有限公司公布的調(diào)查結(jié)果則又給出了新的理由。若是在現(xiàn)有的基礎(chǔ)上進(jìn)行VDI方式的改造，要先對后臺的系統(tǒng)進(jìn)行虛擬化改造，然后再向你現(xiàn)有的PC終端交付虛擬應(yīng)用或是桌面，而操作系統(tǒng)的鏡像雖然在后臺只保留一份，可是授權(quán)許可仍然要試你的桌面數(shù)量而定，這方面與物理桌面沒有什么區(qū)別，可你要額外的付出桌面虛擬化的相關(guān)軟件和許可費用。所以，在初期桌面虛擬化并不等于降低成本，它的成本優(yōu)勢需要慢慢顯現(xiàn)。再比如上面所說的Windows 7遷移，IT只需在后臺將桌面鏡像更新為Windows，上萬個前端桌面，包括海內(nèi)外分支機構(gòu)的桌面都可在十幾分鐘內(nèi)全部升級到Windows 7，這在以往是不可想像的。此外，即使你丟了電腦，也可以迅速的用另一臺電腦繼續(xù)辦公，因為數(shù)據(jù)都在后臺，并且由于桌面虛擬機在數(shù)據(jù)一側(cè)，可以享受到數(shù)據(jù)中心的災(zāi)備支持，做到“永不停機”，從而也就保證了業(yè)務(wù)連續(xù)性。5）提高商業(yè)合作效率與生產(chǎn)力對于大企業(yè)來說，與其他商業(yè)伙伴進(jìn)行協(xié)同工作是非常常見的，比如企業(yè)的一些外包服務(wù)、協(xié)同的資料處理、臨時的多公司人員集中辦公等等，由于每個公司的IT架構(gòu)與系統(tǒng)并不見得相同，所以也就為這種協(xié)同辦公帶來了諸多困難。公司已與2005年完成了完善的企業(yè)信息化建設(shè)，現(xiàn)有ERP，SCM，OA，CRM等企業(yè)管理軟件服務(wù)于公司。同時更重要的是，眾多的代理加工機構(gòu)由于連最基本的公司信息化建設(shè)都沒有實現(xiàn)，當(dāng)然就沒辦法響應(yīng)云紳公司提出的現(xiàn)代化、無紙、集中化管理，而只能采用最原始的手段，通過傳真、電話等來實現(xiàn)日常工作中的出入庫管理、原料申請、調(diào)撥入庫、產(chǎn)品生產(chǎn)配置等繁瑣而又十分重要的工作。另外，采用天翼（GWT system）遠(yuǎn)程接入還能解決IT架構(gòu)分散的難題，可以將所有的應(yīng)用都部署在總部，分公司只要通過天翼（GWT system）平臺遠(yuǎn)程接入即可，大大減少IT部門的維護(hù)量，而且所有的升級都集中在總部的服務(wù)器上，也大大降低了硬件升級的成本。（GWT system）方案價值作為中國首創(chuàng)、具有自主知識產(chǎn)權(quán)、也是中國最大的遠(yuǎn)程接入平臺供應(yīng)商，瑞友天翼一直致力于遠(yuǎn)程接入產(chǎn)品的技術(shù)研發(fā)，自主研發(fā)了天翼（GWT system）等系列產(chǎn)品，為企業(yè)提供遠(yuǎn)程接入的整體解決方案，滿足企業(yè)不同的需求。 采用天翼（GWT system）發(fā)布應(yīng)用系統(tǒng)，只需要在總部的天翼（GWT system）服務(wù)器上進(jìn)行部署，而不需要在每臺電腦上逐個安裝，使安裝、配置、調(diào)試工作大為簡化，大大縮短了實施周期。事實證明，采用天翼（GWT system）平臺，兩年時間內(nèi)能節(jié)省費用約90%，隨著時間的延伸，這種比例將會更高。第5章 總結(jié)和展望第5章 總結(jié)和展望 VPN的運營現(xiàn)狀　　在國外，Internet已成為全社會的信息基礎(chǔ)設(shè)施，企業(yè)端應(yīng)用也大都基于IP，在Internet上構(gòu)筑應(yīng)用系統(tǒng)已成為必然趨勢，因此基于IP的VPN業(yè)務(wù)獲得了極大的增長空間。 在過去無論因特網(wǎng)的遠(yuǎn)程接入還是專線接入，以及骨干傳輸?shù)膸挾己苄?，QoS更是無法保障，造成企業(yè)用戶寧愿花費大量的金錢去投資自己的專線網(wǎng)絡(luò)或是寧愿花費巨額的長途話費來提供遠(yuǎn)程接入。 其實前面介紹的VPN技術(shù)已經(jīng)能夠提供足夠安全的保障，可以使用戶數(shù)據(jù)不被查看、修改。同時，VPN會加快企業(yè)網(wǎng)的建設(shè)步伐，使得集團(tuán)公司不僅僅只是建設(shè)內(nèi)部局域網(wǎng)，而且能夠很快地把全國各地分公司的局域網(wǎng)連起來，從而真正發(fā)揮整個網(wǎng)絡(luò)的作用。 Implementation,2005.[6] M. Castro, P. Druschel, A. Ganesh, A. Rowstron, and D. S. Wallach. Security for structured peertopeer overlaynetworks. In 5th Symposium on Operating Systems Design and Implementaion (OSDI’02), December 2002.[7] M. Castro, P. Druschel, . Kermarrec, and A. Rowstron. One ring to rule them all: Service discover andbinding in structured peertopeer overlay networks. In SIGOPS European Workshop, Sept. 2002.[8] B. Chun, D. Culler, T. Roscoe, A. Bavier, L. Peterson,M. Wawrzoniak, and M. Bowman. Planetlab: an overlaytestbed for broadcoverage services. SIGCOMM . Rev., 2003.[9] J. Dean and S. Ghemawat. Mapreduce: simplified data processing on large clusters. Commun. ACM, 51(1), 2008.[10] L. Deri and R. Andrews. N2N: A layer two peertopeer vpn. In AIMS ’08: Proceedings of the 2nd internationalconference on Autonomous Infrastructure, Managementand Security, 2008.[11] R. Droms. RFC 2131 Dynamic Host Configuration Protocol, March 1997.[12] E. Exa. CloudVPN. , September 2009.[13] R. Figueiredo, P. O. B. Boykin, P. St. Juste, and .Social vpns: Integrating overlay and social networks for seamless p2p networking.[14] R. Figueiredo and et al. Archer: A munity distributed puting infrastructure for puter architectureresearch and education. In CollaborateCom, November 2008.[15] A. Ganguly, A. Agrawal, O. P. Boykin, and R. Figueiredo.IP over P2P: Enabling selfconfiguring virtua