【正文】 快速定位網(wǎng)絡(luò)故障利用Quidview IPSec VPN軟件的故障管理模塊可以實時接收IPSec VPN設(shè)備的告警，并利用該模塊提供的豐富的過濾功能定位關(guān)鍵的告警數(shù)據(jù)?？梢圆樵僔PN鏈路的通斷歷史，診斷VPN鏈路的穩(wěn)定性。故障管理模塊能夠與Quidview IPSec VPN其他組件密切配合，幫助用戶快速定位網(wǎng)絡(luò)故障。當(dāng)Quidview IPSec VPN性能監(jiān)視模塊進(jìn)行VPN設(shè)備閾值監(jiān)控時，如果發(fā)現(xiàn)閾值超過指標(biāo)會向故障模塊發(fā)送告警，故障模塊會迅速做出反應(yīng)，以聲光告警、Email、短信等方式及時通知到管理人員。同時，VPN拓?fù)鋱D將立刻刷新以反映最新的網(wǎng)絡(luò)狀態(tài)。圖2 IPSec VPN Manager定位故障 BIMS分支智能管理系統(tǒng)BIMS（QuidView組件）分支智能管理系統(tǒng)實現(xiàn)從網(wǎng)絡(luò)管理中心來集中對網(wǎng)絡(luò)設(shè)備的管理，如配置文件下發(fā)、設(shè)備軟件升級等。傳統(tǒng)網(wǎng)管主要通過SNMP、Telnet等協(xié)議來實現(xiàn)對網(wǎng)絡(luò)設(shè)備的管理，這要求網(wǎng)管側(cè)知道被管設(shè)備的IP地址，并且可以主動向設(shè)備發(fā)起請求并建立連接。如果設(shè)備的IP地址不固定，就增加了主動管理的難度；如果設(shè)備位于NAT網(wǎng)關(guān)后面，基本上沒有什么有效的管理手段。BIMS（Branch Intelligent Management System）就是要解決上述問題，實現(xiàn)對動態(tài)獲取IP地址的設(shè)備或位于NAT網(wǎng)關(guān)后面的分支網(wǎng)點設(shè)備的集中、有效的監(jiān)控和管理，尤其在對業(yè)務(wù)應(yīng)用基本相同、數(shù)量龐大并且分布廣泛的網(wǎng)絡(luò)終端設(shè)備進(jìn)行管理時，BIMS會極大提高管理的效率，大大節(jié)約管理成本。BIMS采用一種被動的方式對設(shè)備進(jìn)行管理，即網(wǎng)管作為Server，設(shè)備作為Client，依靠設(shè)備周期性的主動訪問網(wǎng)管來實現(xiàn)對設(shè)備的管理。因為連接是由設(shè)備主動發(fā)起的，所以設(shè)備IP地址變化不會對連接的建立產(chǎn)生阻礙，即便設(shè)備位于私網(wǎng)內(nèi)，也可穿透NAT建立連接。網(wǎng)管通過一個固定的、全網(wǎng)唯一的ID來識別設(shè)備，而不再依賴于設(shè)備的IP地址，所以設(shè)備擁有公網(wǎng)或私網(wǎng)IP地址或IP地址經(jīng)常變化都不會影響網(wǎng)管對設(shè)備的識別。BIMS網(wǎng)管側(cè)與設(shè)備側(cè)之間通過HTTP協(xié)議進(jìn)行通訊，采用HTTP進(jìn)行通信的優(yōu)勢在于其可方便的穿透防火墻，而且協(xié)議簡單、易擴(kuò)展。同時，為了保證通訊安全，BIMS對傳輸?shù)南?shù)據(jù)進(jìn)行加密處理。BIMS管理解決方案分兩部分，分支網(wǎng)點設(shè)備側(cè)和管理中心側(cè)，分支網(wǎng)點設(shè)備包括華為SecPath10/100系列安全網(wǎng)關(guān)、3Com AR系列接入路由器等，管理中心側(cè)由Quidview BIMS管理組件實現(xiàn)。設(shè)備側(cè)和管理中心側(cè)采用協(xié)議進(jìn)行通信，BIMS管理中心側(cè)作為 Server，設(shè)備側(cè)作為 Client，設(shè)備通過定期訪問管理中心側(cè)來實現(xiàn)相互通信并完成設(shè)備的管理。設(shè)備和管理中心采用協(xié)議進(jìn)行通信的優(yōu)勢在于其可穿透絕大多數(shù)的防火墻，而且協(xié)議簡單、易擴(kuò)展。設(shè)備主動訪問BIMS管理中心時，上報設(shè)備當(dāng)前的配置文件、設(shè)備軟件的特征信息，由BIMS管理中心來判斷是否需要對設(shè)備進(jìn)行更新，更新規(guī)則體現(xiàn)了該解決方案的智能性和易于管理的特點。附件:iNode客戶端軟件介紹Huawei3Com INode（以下簡稱INode）是華為3Com公司自行設(shè)計開發(fā)的應(yīng)用在PC上的VPN客戶端軟件。通過安裝本軟件，可以使PC機(jī)能夠通過多種方式與我司的網(wǎng)絡(luò)設(shè)備（如路由器及Secpath系列網(wǎng)關(guān)設(shè)備等）進(jìn)行VPN互聯(lián)，并最終實現(xiàn)遠(yuǎn)端PC能夠安全、快捷地通過Internet訪問相應(yīng)企業(yè)總部VPN的目的.操作方便 一個成熟的VPN客戶端軟件，首先必須操作簡單，界面友好。INode軟件采用流行的軟件風(fēng)格，使用起來極為方便。具備簡單的PC操作技能的人，就可以完成軟件配置，登錄并訪問VPN資源。INode軟件配置方便，靈活，支持多個配置，并且支持配置文件的導(dǎo)入。配置文件的導(dǎo)入能夠極大的減輕維護(hù)工作量。系統(tǒng)管理員配置VPN網(wǎng)關(guān)的時候，為了實現(xiàn)較高的安全性，需要配置復(fù)雜的安全策略。相應(yīng)的，為了能夠訪問VPN，每個訪問此VPN的人員都需要對客戶端軟件進(jìn)行相應(yīng)的配置。而INode軟件無需如此麻煩，只需系統(tǒng)管理員配置一次INode軟件，然后將配置文件分發(fā)給相應(yīng)人員。需要訪問VPN的時候，只需要輸入個人專用用戶名和密碼，就可以輕松訪問VPN資源。安全保密INode軟件具有高保密性，高安全性。首先，INode軟件支持使用PPP，L2TP協(xié)議和公司本部建立VPN隧道，在鏈路層建立隧道，更安全。同時，INode軟件可以通過PPP協(xié)商向VPN申請IP地址。由于此IP地址的分配是由VPN隧道對端分配的，其保密性更高，被攻擊的可能性也更小。第二，INode軟件支持IPSEC/IKE加密。IPSec為IP協(xié)議棧提供在IP層實施的一系列安全服務(wù),為IP及其上層提供保護(hù)。INode軟件通過支持IPSec提供數(shù)據(jù)加密，數(shù)據(jù)完整性驗證，數(shù)據(jù)身份驗證，以及防重放功能。INode軟件支持IPSEC隧道模式和傳輸模式，從安全性來講，隧道模式優(yōu)于傳輸模式。它可以完全地對原始IP數(shù)據(jù)報進(jìn)行驗證和加密；此外，可以使用IPSec對等體的IP地址來隱藏客戶機(jī)的IP地址。為了更加安全，鼓勵用戶都使用隧道模式。支持廣泛INode軟件支持主流的個人計算機(jī)操作系統(tǒng)，對于windows2000/2003/XP，INode軟件都能夠提供很好的支持。INode軟件支持局域網(wǎng)用戶，同時也支持撥號用戶。相對于局域網(wǎng)用戶，特別的，INode軟件能夠讓撥號用戶使用IPSEC/IKE加密。為保證數(shù)據(jù)安全，建立VPN隧道時使用IKE協(xié)商為IPSEC提供密鑰供IPSEC加密使用。但是在一般使用IKE協(xié)商時，要求兩端設(shè)備配置對端IP地址信息。但是，由于使用VPN`客戶端軟件的用戶經(jīng)常處于撥號上網(wǎng)的狀態(tài)，而每次上網(wǎng)時其IP地址是不固定的，如果要求VPN隧道的網(wǎng)關(guān)側(cè)設(shè)備每次都修改對端IP地址，其維護(hù)量就可想而知了。INode軟件通過支持IKE的Aggressive模式（野蠻模式）成功地解決這個問題，在這種模式下，IKE協(xié)商時允許協(xié)商的兩端不使用IP地址信息，而代之以使用雙方的name。這樣當(dāng)撥號用戶使用動態(tài)IP地址，只要正確的配置對端name，而網(wǎng)關(guān)側(cè)設(shè)備也接受次name，就可以進(jìn)行IKE協(xié)商。從而實現(xiàn)IPSEC加密。注意：網(wǎng)關(guān)側(cè)設(shè)備也需要支持IKE協(xié)商Aggressive模式。INode軟件支持對VPN隧道對端多個網(wǎng)段的訪問。在實際應(yīng)用中，VPN隧道對端即公司本部組網(wǎng)中包含很多網(wǎng)段，例如，.*.*，.*.*，.*.*。當(dāng)用戶通過INode軟件和網(wǎng)關(guān)建立VPN隧道之后，.*.*。如果用戶需要訪問公司的內(nèi)部DNS服務(wù)器，由于用戶計算機(jī)上沒有針對DNS服務(wù)器的路由，所以用戶無法訪問DNS服務(wù)器。而INode軟件成功地解決了這個問題，只需要用戶在使用登錄之前，將公司本部需要訪問的網(wǎng)段配置近來即可。配置的界面如下圖：INode軟件建立VPN隧道之后不影響用戶原有的網(wǎng)絡(luò)功能。使用INode軟件必須是在internet網(wǎng)絡(luò)上，能夠正常的訪問internet資源。當(dāng)建立VPN隧道之后，用戶可以繼續(xù)訪問internet資源，而不會因為建立隧道之后，喪失原有的功能。如圖所示，用戶在訪問VPN隧道內(nèi)部資源的同時，可以訪問internet資源。INode軟件支持NAT穿越。在使用IPSEC加密的VPN隧道，用戶數(shù)據(jù)包不能被篡改。包括從IP地址，IP數(shù)據(jù)頭，協(xié)議端口號，VPN隧道兩端都有加密和防篡改, 否則對端接收后不能正確解密。但是，很多時候使用INode軟件的時候其所在位于NAT設(shè)備之后，通過NAT地址轉(zhuǎn)換進(jìn)入Internet。NAT的基本原理在與修改報文的IP地址和端口信息，這樣，一旦報文經(jīng)過NAT設(shè)備，VPN隧道兩端就不可能建立IPSEC隧道連接。INode軟件成功地解決了此問題。軟件通過在IPSEC報文前增加一層UDP報文頭的方式，使NAT設(shè)備不需要修改報文內(nèi)容，從而解決了IPSEC支持NAT穿越的問題，NAT設(shè)備只修改封裝的UDP頭，但是沒有影響IPSEC數(shù)據(jù)報文的內(nèi)容，即使經(jīng)過NAT轉(zhuǎn)換，仍然可以正常建立IPSEC隧道連接。在使用INode軟件的NAT穿越功能時，需要網(wǎng)管側(cè)設(shè)備也支持NAT穿越。INode軟件支持備份LNS服務(wù)器。當(dāng)主LNS服務(wù)器因故障不能使用，INode軟件自動向備份LNS服務(wù)器發(fā)起協(xié)商。這樣降低故障對于整體網(wǎng)絡(luò)資源的影響。使用備份LNS功能，只需要用戶在配置LNS服務(wù)器IP時，指定備份LNS服務(wù)器的IP，如圖：