【正文】 radius localaaa authorization network cisco local以下是為遠(yuǎn)端VPN用戶(hù)定義crypto策略，使用3des加密、共享密鑰和用group2產(chǎn)生密鑰的配置crypto isakmp policy 1encr 3desauthentication presharegroup 2以下是創(chuàng)建組驗(yàn)證的用戶(hù)名和密碼，分配DNS地址，指定要分配給VPN用戶(hù)的地址池以及允VPN用戶(hù)所能訪問(wèn)的IP范圍的配置：crypto isakmp invalidspirecoverycrypto isakmp keepalive 10crypto isakmp nat keepalive 15crypto isakmp xauth timeout 45crypto isakmp client configuration group ciscokey ciscodns pool remotepoolacl 101 以下是定義crypto的transform屬性的配置：crypto ipsec transformset transform1 esp3des espshahmac以下是定義crypto的動(dòng)態(tài)map的配置crypto dynamicmap dynmap 1set transformset transform1 以下是創(chuàng)建一個(gè)合成的map，將合成map綁定到端口上的配置：crypto map clientmap client authentication list defaultcrypto map clientmap isakmp authorization list ciscocrypto map clientmap client configuration address respondcrypto map clientmap 1 ipsecisakmp dynamic dynmap 以下是定義兩個(gè)端口為vpn模塊的虛擬端口的配置：interface GigabitEthernet2/1switchportswitchport trunk encapsulation dot1qswitchport trunk allowed vlan 906switchport mode trunkspanningtree portfast trunkinterface GigabitEthernet2/2switchportswitchport trunk encapsulation dot1qswitchport trunk allowed vlan 903switchport mode trunkspanningtree portfast trunk以下是接口為PORT VLAN的配置，它接口地址分配在防火墻INSIDE接口上：interface Vlan903no ip addresscrypto connect vlan 906interface Vlan906ip address 以下是將合成的map應(yīng)用到該接口的配置：crypto map clientmapcrypto engine slot 2以下是定義分配給VPN用戶(hù)的地址段的配置:ip local pool remotepool 以下是定義VPN允許訪問(wèn)的地址范圍。以下是客戶(hù)端操作實(shí)例圖，如圖310所示。 方案分析 由于SSL VPN網(wǎng)關(guān)雖然提供簡(jiǎn)單的包過(guò)濾功能，但是遠(yuǎn)遠(yuǎn)不如防火墻/VPN一體機(jī)安全，因此SSLVPN網(wǎng)關(guān)需要通過(guò)防火墻進(jìn)行特殊的安全保護(hù)部署；同時(shí)由于它位于防火墻后面，也使得SSL的數(shù)據(jù)無(wú)法被防火墻進(jìn)行安全過(guò)濾，但在同等條件下防火墻/VPN一體機(jī)則很好解決了加密和防火墻的訪問(wèn)控制的矛盾?？蛻?hù)機(jī)向VPN服務(wù)器發(fā)出請(qǐng)求，VPN服務(wù)器響應(yīng)請(qǐng)求并向客戶(hù)機(jī)發(fā)出身份質(zhì)詢(xún)，客戶(hù)機(jī)將加密的響應(yīng)信息發(fā)送到VPN服務(wù)端，VPN服務(wù)器根據(jù)用戶(hù)數(shù)據(jù)庫(kù)檢查該響應(yīng)，如果賬戶(hù)有效，VPN服務(wù)器將檢查該用戶(hù)是否具有遠(yuǎn)程訪問(wèn)的權(quán)限?；贗P、IPX和NetBEUI協(xié)議網(wǎng)絡(luò)中的客戶(hù)機(jī)都可以很容易地使用VPN。企業(yè)通過(guò)使用VPN技術(shù)組建網(wǎng)絡(luò)，可以保證數(shù)據(jù)在傳輸過(guò)程中的安全性和QOS(服務(wù)質(zhì)量保證)。 具體設(shè)計(jì)方案1．需求分析 在本文設(shè)計(jì)的企業(yè)模型中，企業(yè)內(nèi)部以及各分支機(jī)構(gòu)網(wǎng)絡(luò)運(yùn)行有多種企業(yè)應(yīng)用。隨著企業(yè)規(guī)模的擴(kuò)大，業(yè)務(wù)量也隨之逐漸增加，各地分公司、辦事處的業(yè)務(wù)部門(mén)之間的信息交互也日漸頻繁。能夠很好地為各分支機(jī)構(gòu)提供各類(lèi)現(xiàn)存服務(wù)，急需建設(shè)覆蓋各個(gè)異地分支機(jī)構(gòu)的信息服務(wù)網(wǎng)絡(luò)。相關(guān)需要聯(lián)網(wǎng)的網(wǎng)點(diǎn)數(shù)目比較多，分部地區(qū)比較廣，信息交互比較頻繁，每月的巨額通訊費(fèi)用和專(zhuān)線租用費(fèi)會(huì)給該企業(yè)帶來(lái)很大的壓力。根據(jù)對(duì)該企業(yè)網(wǎng)絡(luò)需求進(jìn)行的深入了解和分析，此次VPN網(wǎng)絡(luò)方案實(shí)施將在保留原有網(wǎng)絡(luò)環(huán)境的情況下，將需要提供以下的一些具體的設(shè)置以滿(mǎn)足該企業(yè)需求：可以提供公司出差人員在各地通過(guò)互聯(lián)網(wǎng)和公司網(wǎng)絡(luò)實(shí)現(xiàn)網(wǎng)絡(luò)互聯(lián)。通過(guò)綜合比較，采用VPN方式組網(wǎng)具有投資成本低、高帶寬、高可靠性、高安全性以及靈活的可擴(kuò)展性的優(yōu)點(diǎn)。通過(guò)安全網(wǎng)關(guān)在Internet上構(gòu)建企業(yè)內(nèi)部虛擬專(zhuān)用網(wǎng)絡(luò)，并解決企業(yè)內(nèi)部移動(dòng)用戶(hù)的遠(yuǎn)程接入問(wèn)題。目前，該企業(yè)總部的內(nèi)部網(wǎng)絡(luò)，通過(guò)電信網(wǎng)絡(luò)直接接入Internet。移動(dòng)用戶(hù)的遠(yuǎn)程安全接入方案設(shè)計(jì)：在外出差的移動(dòng)用戶(hù)可以通過(guò)安裝在筆計(jì)本上的客戶(hù)端撥號(hào)軟件，隨時(shí)通過(guò)接入當(dāng)?shù)氐腎SP。本設(shè)計(jì)中，由于企業(yè)下屬的分支機(jī)構(gòu)和合作伙伴數(shù)量較多，在拓?fù)鋱D中只選擇了部分的公司作為說(shuō)明的對(duì)象。Windows 2000下VPN的實(shí)現(xiàn)：為了實(shí)現(xiàn)移動(dòng)辦公用戶(hù)能夠隨時(shí)隨地接入企業(yè)內(nèi)部局域網(wǎng)，查看公司內(nèi)部最新資源，在本次設(shè)計(jì)中采用了自愿隧道技術(shù)建立臨時(shí)的VPN隧道，企業(yè)內(nèi)部網(wǎng)絡(luò)中必須有一臺(tái)基于Windows 2000 Server的VPN服務(wù)器。主要有三個(gè)步驟：當(dāng)VPN客戶(hù)機(jī)通過(guò)虛擬撥號(hào)和VPN服務(wù)器連接成功，VPN客戶(hù)機(jī)就成了VPN服務(wù)器所在局域網(wǎng)的一部分。一個(gè)安全相關(guān)表示兩個(gè)或多個(gè)通信實(shí)體之間經(jīng)過(guò)了身份認(rèn)證且這些通信實(shí)體都能支持相同的加密算法成功地交換了會(huì)話密鑰可以開(kāi)始利用IPSEC。IKE中身份認(rèn)證采用共享密鑰和數(shù)字簽名兩種方式。 設(shè)計(jì)結(jié)果及作用VPN網(wǎng)絡(luò)建成以后，大大降低了網(wǎng)絡(luò)復(fù)雜度。 案例分析本案例中主要通過(guò)路由器端以及PC機(jī)中服務(wù)器端和客戶(hù)端的相關(guān)配置，采用IPSec協(xié)議構(gòu)建中小型企業(yè)VPN虛擬專(zhuān)用網(wǎng)。而就虛擬桌面本身來(lái)說(shuō)，資歷稍老一些IT從業(yè)者都聽(tīng)說(shuō)過(guò)網(wǎng)絡(luò)計(jì)算機(jī)（NC，Net Computer）這一概念，而最早的類(lèi)似于虛擬桌面的這種應(yīng)用模式可以說(shuō)是大型主機(jī)的時(shí)代，當(dāng)然每個(gè)技術(shù)的誕生與發(fā)展，與周邊的環(huán)境是密不可分的，誕生的早，周邊技術(shù)不支持，那么死得快，誕生的完也沒(méi)有意義。 虛擬化的優(yōu)勢(shì)圖42 IDG所做的桌面虛擬化選擇因素調(diào)查IDG調(diào)查服務(wù)部門(mén)在2008年所做調(diào)查中，340位受訪者中選擇最多的理由就是降低成本和更可控的桌面環(huán)境，其次還包括應(yīng)用的集中、桌面安全性、更靈活的控制資源等等，而在2010年2月Xangati有限公司公布的調(diào)查結(jié)果則又給出了新的理由。若是在現(xiàn)有的基礎(chǔ)上進(jìn)行VDI方式的改造，要先對(duì)后臺(tái)的系統(tǒng)進(jìn)行虛擬化改造，然后再向你現(xiàn)有的PC終端交付虛擬應(yīng)用或是桌面，而操作系統(tǒng)的鏡像雖然在后臺(tái)只保留一份，可是授權(quán)許可仍然要試你的桌面數(shù)量而定，這方面與物理桌面沒(méi)有什么區(qū)別，可你要額外的付出桌面虛擬化的相關(guān)軟件和許可費(fèi)用。所以，在初期桌面虛擬化并不等于降低成本，它的成本優(yōu)勢(shì)需要慢慢顯現(xiàn)。再比如上面所說(shuō)的Windows 7遷移，IT只需在后臺(tái)將桌面鏡像更新為Windows，上萬(wàn)個(gè)前端桌面，包括海內(nèi)外分支機(jī)構(gòu)的桌面都可在十幾分鐘內(nèi)全部升級(jí)到Windows 7，這在以往是不可想像的。此外，即使你丟了電腦，也可以迅速的用另一臺(tái)電腦繼續(xù)辦公，因?yàn)閿?shù)據(jù)都在后臺(tái)，并且由于桌面虛擬機(jī)在數(shù)據(jù)一側(cè)，可以享受到數(shù)據(jù)中心的災(zāi)備支持，做到“永不停機(jī)”，從而也就保證了業(yè)務(wù)連續(xù)性。5）提高商業(yè)合作效率與生產(chǎn)力對(duì)于大企業(yè)來(lái)說(shuō)，與其他商業(yè)伙伴進(jìn)行協(xié)同工作是非常常見(jiàn)的，比如企業(yè)的一些外包服務(wù)、協(xié)同的資料處理、臨時(shí)的多公司人員集中辦公等等，由于每個(gè)公司的IT架構(gòu)與系統(tǒng)并不見(jiàn)得相同，所以也就為這種協(xié)同辦公帶來(lái)了諸多困難。公司已與2005年完成了完善的企業(yè)信息化建設(shè)，現(xiàn)有ERP，SCM，OA，CRM等企業(yè)管理軟件服務(wù)于公司。同時(shí)更重要的是，眾多的代理加工機(jī)構(gòu)由于連最基本的公司信息化建設(shè)都沒(méi)有實(shí)現(xiàn)，當(dāng)然就沒(méi)辦法響應(yīng)云紳公司提出的現(xiàn)代化、無(wú)紙、集中化管理，而只能采用最原始的手段，通過(guò)傳真、電話等來(lái)實(shí)現(xiàn)日常工作中的出入庫(kù)管理、原料申請(qǐng)、調(diào)撥入庫(kù)、產(chǎn)品生產(chǎn)配置等繁瑣而又十分重要的工作。另外，采用天翼（GWT system）遠(yuǎn)程接入還能解決IT架構(gòu)分散的難題，可以將所有的應(yīng)用都部署在總部，分公司只要通過(guò)天翼（GWT system）平臺(tái)遠(yuǎn)程接入即可，大大減少I(mǎi)T部門(mén)的維護(hù)量，而且所有的升級(jí)都集中在總部的服務(wù)器上，也大大降低了硬件升級(jí)的成本。（GWT system）方案價(jià)值作為中國(guó)首創(chuàng)、具有自主知識(shí)產(chǎn)權(quán)、也是中國(guó)最大的遠(yuǎn)程接入平臺(tái)供應(yīng)商，瑞友天翼一直致力于遠(yuǎn)程接入產(chǎn)品的技術(shù)研發(fā)，自主研發(fā)了天翼（GWT system）等系列產(chǎn)品，為企業(yè)提供遠(yuǎn)程接入的整體解決方案，滿(mǎn)足企業(yè)不同的需求。 采用天翼（GWT system）發(fā)布應(yīng)用系統(tǒng)，只需要在總部的天翼（GWT system）服務(wù)器上進(jìn)行部署，而不需要在每臺(tái)電腦上逐個(gè)安裝，使安裝、配置、調(diào)試工作大為簡(jiǎn)化，大大縮短了實(shí)施周期。事實(shí)證明，采用天翼（GWT system）平臺(tái)，兩年時(shí)間內(nèi)能節(jié)省費(fèi)用約90%，隨著時(shí)間的延伸，這種比例將會(huì)更高。第5章 總結(jié)和展望第5章 總結(jié)和展望 VPN的運(yùn)營(yíng)現(xiàn)狀　　在國(guó)外，Internet已成為全社會(huì)的信息基礎(chǔ)設(shè)施，企業(yè)端應(yīng)用也大都基于IP，在Internet上構(gòu)筑應(yīng)用系統(tǒng)已成為必然趨勢(shì)，因此基于IP的VPN業(yè)務(wù)獲得了極大的增長(zhǎng)空間。 在過(guò)去無(wú)論因特網(wǎng)的遠(yuǎn)程接入還是專(zhuān)線接入，以及骨干傳輸?shù)膸挾己苄?，QoS更是無(wú)法保障，造成企業(yè)用戶(hù)寧愿花費(fèi)大量的金錢(qián)去投資自己的專(zhuān)線網(wǎng)絡(luò)或是寧愿花費(fèi)巨額的長(zhǎng)途話費(fèi)來(lái)提供遠(yuǎn)程接入。 其實(shí)前面介紹的VPN技術(shù)已經(jīng)能夠提供足夠安全的保障，可以使用戶(hù)數(shù)據(jù)不被查看、修改。同時(shí)，VPN會(huì)加快企業(yè)網(wǎng)的建設(shè)步伐，使得集團(tuán)公司不僅僅只是建設(shè)內(nèi)部局域網(wǎng)，而且能夠很快地把全國(guó)各地分公司的局域網(wǎng)連起來(lái)，從而真正發(fā)揮整個(gè)網(wǎng)絡(luò)的作用。 Implementation,2005.[6] M. Castro, P. Druschel, A. Ganesh, A. Rowstron, and D. S. Wallach. Security for structured peertopeer overlaynetworks. In 5th Symposium on Operating Systems Design and Implementaion (OSDI’02), December 2002.[7] M. Castro, P. Druschel, . Kermarrec, and A. Rowstron. One ring to rule them all: Service discover andbinding in structured peertopeer overlay networks. In SIGOPS European Workshop, Sept. 2002.[8] B. Chun, D. Culler, T. Roscoe, A. Bavier, L. Peterson,M. Wawrzoniak, and M. Bowman. Planetlab: an overlaytestbed for broadcoverage services. SIGCOMM . Rev., 2003.[9] J. Dean and S. Ghemawat. Mapreduce: simplified data processing on large clusters. Commun. ACM, 51(1), 2008.[10] L. Deri and R. Andrews. N2N: A layer two peertopeer vpn. In AIMS ’08: Proceedings of the 2nd internationalconference on Autonomous Infrastructure, Managementand Security, 2008.[11] R. Droms. RFC 2131 Dynamic Host Configuration Protocol, March 1997.[12] E. Exa. CloudVPN. , September 2009.[13] R. Figueiredo, P. O. B. Boykin, P. St. Juste, and .Social vpns: Integrating overlay and social networks for seamless p2p networking.[14] R. Figueiredo and et al. Archer: A munity distributed puting infrastructure for puter architectureresearch and education. In CollaborateCom, November 2008.[15] A. Ganguly, A. Agrawal, O. P. Boykin, and R. Figueiredo.IP over P2P: Enabling selfconfiguring virtua