【正文】 配置單位，對網(wǎng)絡(luò)域的配置會自動賦予網(wǎng)絡(luò)域內(nèi)的全部設(shè)備，用戶可一次性對網(wǎng)絡(luò)域內(nèi)所有設(shè)備進行相同配置部署。 BIMS分支智能管理系統(tǒng)BIMS（QuidView組件）分支智能管理系統(tǒng)實現(xiàn)從網(wǎng)絡(luò)管理中心來集中對網(wǎng)絡(luò)設(shè)備的管理，如配置文件下發(fā)、設(shè)備軟件升級等。同時，為了保證通訊安全，BIMS對傳輸?shù)南?shù)據(jù)進行加密處理。具備簡單的PC操作技能的人，就可以完成軟件配置，登錄并訪問VPN資源。首先，INode軟件支持使用PPP，L2TP協(xié)議和公司本部建立VPN隧道，在鏈路層建立隧道，更安全。為了更加安全，鼓勵用戶都使用隧道模式。這樣當撥號用戶使用動態(tài)IP地址，只要正確的配置對端name，而網(wǎng)關(guān)側(cè)設(shè)備也接受次name，就可以進行IKE協(xié)商。配置的界面如下圖：INode軟件建立VPN隧道之后不影響用戶原有的網(wǎng)絡(luò)功能。NAT的基本原理在與修改報文的IP地址和端口信息，這樣，一旦報文經(jīng)過NAT設(shè)備，VPN隧道兩端就不可能建立IPSEC隧道連接。這樣降低故障對于整體網(wǎng)絡(luò)資源的影響。包括從IP地址，IP數(shù)據(jù)頭，協(xié)議端口號，VPN隧道兩端都有加密和防篡改, 否則對端接收后不能正確解密。如果用戶需要訪問公司的內(nèi)部DNS服務(wù)器，由于用戶計算機上沒有針對DNS服務(wù)器的路由，所以用戶無法訪問DNS服務(wù)器。但是，由于使用VPN`客戶端軟件的用戶經(jīng)常處于撥號上網(wǎng)的狀態(tài)，而每次上網(wǎng)時其IP地址是不固定的，如果要求VPN隧道的網(wǎng)關(guān)側(cè)設(shè)備每次都修改對端IP地址，其維護量就可想而知了。INode軟件支持IPSEC隧道模式和傳輸模式，從安全性來講，隧道模式優(yōu)于傳輸模式。需要訪問VPN的時候，只需要輸入個人專用用戶名和密碼，就可以輕松訪問VPN資源。通過安裝本軟件，可以使PC機能夠通過多種方式與我司的網(wǎng)絡(luò)設(shè)備（如路由器及Secpath系列網(wǎng)關(guān)設(shè)備等）進行VPN互聯(lián)，并最終實現(xiàn)遠端PC能夠安全、快捷地通過Internet訪問相應(yīng)企業(yè)總部VPN的目的.操作方便 一個成熟的VPN客戶端軟件，首先必須操作簡單，界面友好。網(wǎng)管通過一個固定的、全網(wǎng)唯一的ID來識別設(shè)備，而不再依賴于設(shè)備的IP地址，所以設(shè)備擁有公網(wǎng)或私網(wǎng)IP地址或IP地址經(jīng)常變化都不會影響網(wǎng)管對設(shè)備的識別。同時，VPN拓撲圖將立刻刷新以反映最新的網(wǎng)絡(luò)狀態(tài)。IPSec VPN Manager顯示拓撲 全方位監(jiān)控網(wǎng)絡(luò)性能基于Quidview網(wǎng)絡(luò)管理框架的性能管理模塊，IPSec VPN軟件提供了豐富的VPN設(shè)備的性能管理功能，可以對VPN網(wǎng)絡(luò)中的各項重要性能指標進行監(jiān)視，幫助用戶全方位的監(jiān)控VPN網(wǎng)絡(luò)的運行狀態(tài)。為了避免在設(shè)備上留下冗余的配置信息，軟件支持“清除”功能，能夠在重新配置以及配置命令下發(fā)出現(xiàn)失敗的情況下，清除設(shè)備上不需要的冗余的配置。切換時間的長短與timeout定時器的設(shè)置有關(guān)，定時器設(shè)定的超時時間越短，通信中斷時間越短（注意：超時時間過短會增加網(wǎng)絡(luò)開銷，一般情況下采用缺省值即可）。該數(shù)據(jù)結(jié)構(gòu)可以被多個IKE Peer引用，這樣用戶不必針對接口一一進行重復(fù)配置。啟動DPD功能后，當接收端長時間收不到對端的報文時，能夠觸發(fā)DPD查詢，主動向?qū)Χ税l(fā)送請求報文，對IKE Peer是否存在進行檢測。 快速切換網(wǎng)絡(luò)異常的情況有很多種。當路由器RouterA壞掉時，本網(wǎng)段內(nèi)所有以RouterA為缺省路由下一跳的主機將斷掉與外部的通信。在一臺DVPN設(shè)備上最多可以支持200個DVPN域的Server。DVPN實現(xiàn)了對所有的控制報文的安全保護，對通過公有網(wǎng)絡(luò)傳輸?shù)乃矫艿淖詤f(xié)商報文和會話協(xié)商報文，都可以使用通用的加密算法（支持DES、3DES、AES算法）進行加密保護。 VPN服務(wù)器側(cè)可以考慮使用單臺設(shè)備，也可以考慮使用雙VPN服務(wù)器備份方案特點252。L2TP收發(fā)雙方加封裝、解封裝處理以及由于封裝造成的數(shù)據(jù)量增加等因素的影響，這就導(dǎo)致使用L2TP會造成路由器數(shù)據(jù)轉(zhuǎn)發(fā)效率有一定程度的下降； 移動用戶IPSec VPN接入方式組網(wǎng)特點252。使用LAC同時作為客戶端，是在LAC上建立一個虛擬的PPP用戶，該用戶與LNS保持一個常連接。 GRE收發(fā)雙方加封裝、解封裝處理以及由于封裝造成的數(shù)據(jù)量增加等因素的影響，這就導(dǎo)致使用GRE會造成路由器數(shù)據(jù)轉(zhuǎn)發(fā)效率有一定程度的下降； L2TP over IPSec VPN方式組網(wǎng)特點：252。如果需要在企業(yè)網(wǎng)內(nèi)統(tǒng)一規(guī)劃路由方案，GRE over IPSec的方式邏輯就比較清晰。 VPN內(nèi)部可以支持MPLS、IPX等非IP協(xié)議的網(wǎng)絡(luò)。建議使用IPSec over GRE的方式。 兩端的VPN網(wǎng)關(guān)的之間建立GRE隧道，然后將IPSec策略應(yīng)用到GRE隧道接口上從而建立IPSec隧道，進行數(shù)據(jù)封裝、加密和傳輸；252。 組網(wǎng)簡單，易于部署；252。VPN客戶端設(shè)備可以采用靜態(tài)或動態(tài)申請的IP地址和總部網(wǎng)關(guān)建立VPN鏈接。216。PKI組成框圖其中，認證機構(gòu)用于簽發(fā)并管理證書；注冊機構(gòu)用于個人身份審核、證書廢除列表管理等；PKI存儲庫用于對證書和日志等信息進行存儲和管理，并提供一定的查詢功能；數(shù)字證書是PKI應(yīng)用信任的基礎(chǔ)，是PKI系統(tǒng)的安全憑據(jù)。這種認證方式的優(yōu)點是簡單，但有一個嚴重的缺點就是驗證字作為明文字符串，很容易泄漏。后兩種方法通過對CA（Certificate Authority）中心的支持來實現(xiàn)。這時就要使用IKE自動地進行安全聯(lián)盟建立與密鑰交換的過程。AH在IP包中的位置如圖5所示（隧道方式）：圖5 AH處理示意圖ESP將需要保護的用戶數(shù)據(jù)進行加密后再封裝到IP包中，ESP可以保證數(shù)據(jù)的完整性、真實性和私有性。IPSec在兩個端點之間通過建立安全聯(lián)盟（Security Association）進行數(shù)據(jù)傳輸。在GRE的處理中，很多協(xié)議的細微差異都被忽略，這使得GRE不限于某個特定的“X over Y”應(yīng)用，而是一種最基本的封裝形式。網(wǎng)絡(luò)隧道技術(shù)指的是利用一種網(wǎng)絡(luò)協(xié)議來傳輸另一種網(wǎng)絡(luò)協(xié)議，它主要利用網(wǎng)絡(luò)隧道協(xié)議來實現(xiàn)這種功能。在傳統(tǒng)的專線構(gòu)建方式下，Extranet通過專線互聯(lián)實現(xiàn)，網(wǎng)絡(luò)管理與訪問控制需要維護，甚至還需要在Extranet的用戶側(cè)安裝兼容的網(wǎng)絡(luò)設(shè)備；雖然可以通過撥號方式構(gòu)建Extranet，但此時需要為不同的Extranet用戶進行設(shè)置，而同樣降低不了復(fù)雜度。在這種情況下，所建立的VPN連接對遠端用戶是透明的，構(gòu)建VPN所需的協(xié)議及軟件均由ISP負責管理和維護。 VPN的類型VPN分為三種類型：遠程訪問虛擬網(wǎng)（Access VPN）、企業(yè)內(nèi)部虛擬網(wǎng)（Intranet VPN）和企業(yè)擴展虛擬網(wǎng)（ExtranetVPN），這三種類型的 VPN分別與傳統(tǒng)的遠程訪問網(wǎng)絡(luò)、企業(yè)內(nèi)部的Intranet以及企業(yè)網(wǎng)和相關(guān)合作伙伴的企業(yè)網(wǎng)所構(gòu)成的Extranet相對應(yīng)。在公共網(wǎng)絡(luò)上組建的VPN象企業(yè)現(xiàn)有的私有網(wǎng)絡(luò)一樣提供安全性、可靠性和可管理性等。 VPN定義利用公共網(wǎng)絡(luò)來構(gòu)建的私人專用網(wǎng)絡(luò)稱為虛擬私有網(wǎng)絡(luò)（VPN，Virtual Private Network），用于構(gòu)建VPN的公共網(wǎng)絡(luò)包括Internet、幀中繼、ATM等。并且企業(yè)開設(shè)VPN服務(wù)所需的設(shè)備很少，只需在資源共享處放置一臺VPN服務(wù)器就可以了。在接入服務(wù)器發(fā)起的VPN連接應(yīng)用中，用戶通過本地號碼或免費號碼撥入ISP，然后ISP的NAS再發(fā)起一條隧道連接連到用戶的企業(yè)網(wǎng)。 Extranet VPNExtranet VPN是指利用VPN將企業(yè)網(wǎng)延伸至合作伙伴與客戶。 隧道技術(shù)對于構(gòu)建VPN來說，網(wǎng)絡(luò)隧道(Tunneling)技術(shù)是個關(guān)鍵技術(shù)。GRE與IP in IP、IPX over IP等封裝形式很相似，但比他們更通用。IPSec提供以下幾種網(wǎng)絡(luò)安全服務(wù)：? 私有性 － ；? 完整性 － IPSec在目的地要驗證數(shù)據(jù)包，以保證該數(shù)據(jù)包在傳輸過程中沒有被修改；? 真實性 － IPSec端要驗證所有受IPSec保護的數(shù)據(jù)包；? 防重放 － IPSec防止了數(shù)據(jù)包被捕捉并重新投放到網(wǎng)上，即目的地會拒絕老的或重復(fù)的數(shù)據(jù)包，它通過報文的序列號實現(xiàn)。AH沒有對用戶數(shù)據(jù)進行加密。IPSec的安全聯(lián)盟可以通過手工配置的方式建立，但是當網(wǎng)絡(luò)中結(jié)點增多時，手工配置將非常困難，而且難以保證安全性。在身份驗證方面，IKE提供了共享驗證字（Preshared Key）、公鑰加密