博文

“超级连接VPN”集团客户远程接入管理方案(2006-07-08 03:39:00)

摘要:Hlink超级连接"VPN远程接入管理方案提供商,集中分类管理访问权限 ,C/S应用程序WEB化访问无需客户端安装,多线路捆绑高速稳定,硬件客户端即插即连,支持动态IP    "超级连接VPN+Krun"方案简介:    ·全面发布C/S和B/S结构的应用    ·客户端以Web浏览器方式访问    ·提高分支用户接入速度,最高效率利用现有网络带宽     ·将远程打印和磁盘映射到本地    ·确保用户只访问授权使用的应用    ·集中管理用户、服务器和应用    ·对用户和应用使用情况详细统计    ·使配置较低硬件运行高端软件节约硬件投入    ·节约软件购入成本让正版软件全球使用    ·节约软件实施成本    一、公司概况    某公司是总部在深圳,在北京、上海、广州、香港等地都有分公司,为了更好管理公司的各种业务财务数据,公司采用了金蝶K3、进销存、OA应用系统,公司希望将外地的各分公司的数据实时统计,统一管理,但由于各分支机构在各不同地区,因此公司总部无法实时将每个分公司的数据统一更加无法做到对各分支节点的财务数据进行有效及时的管理;公司有大量的在外出差移动办公用户需要随时随地的访问公司总部的应用系统,将一些情况统计到公司总部;老总经常外出,需要随时访问这些应用系统了解公司的业务状况;所以公司寻求一种解决方案可以实现将各地区的分支机构以及移动办公人员安全实时连入公司总部,使用总部的K3、进销存、OA系统,对公司业务数据进行统一的管理。    二、实施背景    目前市面上能够解决类似客户这样远程访问的产品和方案很多,出于经济易用的角度考虑,客户先后采用了几种方式来实现外地分公司远程访问总部数据,但随着使用的深入和公司规模的不断扩大,一些问题也都逐渐凸显了出来:    阶段一:动态域名解析+端口映射    由于采用专线和固定IP的方式投入成本比较高,客户在现有的ADSL宽带上网方式(动态IP)基础上,结合动态域名解析+端口映射的方式解决分公司远程访问K3 数据库的问题,在出口的路由器上做端口映射,映射到K3服务器上,出差人员和外地分公司随时随地接入总部K3的数据库进行操作。但是这种方式基本上把整个K3服务器暴露在公网上, 这种传统的数据传输方法对于现在网络上的黑客技术的防御能力是相当有限的,根本没有安全性可言,安全性比较令人担心;另外动态域名解析寻......

阅读全文(1702) | 评论:0

虚拟专用网VPN在企业中应用(2006-07-08 03:37:00)

摘要:导读-- 随着企业规模逐渐扩大,远程用户、远程办公人员、分支机构、合作伙伴也在不断增多,关键业务的需求增加,出现了一种通过公共网络(如Internet)来建立自己的专用网络的技术,这种技术就是虚拟专用网(简称VPN)。   一、概述  随着企业规模逐渐扩大,远程用户、远程办公人员、分支机构、合作伙伴也在不断增多,关键业务的需求增加,出现了一种通过公共网络(如Internet)来建立自己的专用网络的技术,这种技术就是虚拟专用网(简称VPN)。VPN集灵活性、安全性、经济性以及扩展性于一身,可充分满足分支机构、移动办公安全通信的需求。在北美和欧洲,VPN已成为一项相当普及的网络业务。目前国内的VPN应用主要集中在大型企业和行业用户。随着宽带网的普及,Internet接入的性价比提高,中小企业也能利用VPN技术来扩展自己的网络。通过宽带网组建的VPN增值潜力大,除了用于数据业务,还可用于语音、视频通信业务,从而实现三网合一的需求。除了租用电信运营商的VPN服务外,还可通过自购VPN产品,在公网上建立更加安全的专用通道,来连接自己的分支机构和移动用户。  二、VPN概念  VPN的基本思想就是在公共网络上建立安全的专用网络,来传输内部信息而形成逻辑网络,从而为企业用户提供比专线价格更低廉,安全性更高的资源共享和互联服务。VPN是企业内部网的扩展。  虚拟专用网指的是在公用网络上建立专用网络的技术,即通过对网络数据的封包和加密传输,在公用网络上传输私有数据,形成一种逻辑上的专用网络。它向用户提供一般专用网络所具有的功能,但本身却不是一个独立的物理网络。  顾名思义,所谓“虚拟”(Virtual),说明它是一种仿真物理连接的逻辑网络连接,没有固定的物理连接,利用的是公共网络资源。在虚拟专用网中,任意两个节点之间的连接并没有传统专用网所需的端到端的物理链路,而是利用公用网络资源(如Internet、ATM网络、帧中继网络等)动态组成的。所谓“专用”(Private,或译为“私用”),说明它在功能上等同于传统的专用网络,具有与内部网络相同的安全性、易管理性和稳定性,可被当作专用网络使用。  VPN至少应能提供如下功能:加密数据,以保证通过公网传输的信息即使被他人截获也不会泄露;信息认证和身份认证,保证信息的完整性、合法性,并能鉴别用户的身份;提供访问控制,不同的用户有不同的访问权限......

阅读全文(1178) | 评论:0

支持IP-VPN实例1(2006-07-08 03:35:00)

摘要: 从概念上讲,IP-VPN是运营商(即服务提供者)支持企业用户应用的方案。一个通用的方法可以适用于由一个运营商来支持的、涉及其他运营商网络的情况(如运营商的运营商)。 ----图1给出了实现IP-VPN的一个通用方案。其中,CE路由器是用于将一个用户站点接入服务提供者网络的用户边缘路由器。而PE路由器则是与用户CE路由器相连的、服务提供者的边缘路由器。 ----站点是指这样一组网络或子网,它们是用户网络的一部分,并且通过一条或多条PE/CE链路接至VPN。VPN是指一组共享相同路由信息的站点,一个站点可以同时位于不同的几个VPN之中。 ----图2显示了一个服务提供者网络支持多个VPN的情况。如图2所示,一个站点可以同时属于多个VPN。依据一定的策略,属于多个VPN的站点既可以在两个VPN之间提供一定的转发能力,也可以不提供这种能力。当一个站点同时属于多个VPN时,它必须具有一个在所有VPN中唯一的地址空间。 ----MPLS为实现IP-VPN提供了一种灵活的、具有可扩展性的技术基础,服务提供者可以根据其内部网络以及用户的特定需求来决定自己的网络如何支持IP-VPN。所以,在MPLS/ATM网络中,有多种支持IP-VPN的方法,本文介绍其中两种方法。 方案一   ----本节介绍一种在公共网中使用MPLS提供IPVPN业务的方法。该方法使用LDP的一般操作方式,即拓扑驱动方式来实现基本的LSP建立过程,同时使用两级LSP隧道(标记堆栈)来支持VPN的内部路由。 ----图3 给出了在MPLS/ATM核心网络中提供IPVPN业务的一种由LER和LSR构成的网络配置。 ----LER (标记边缘路由器) ----LER是MPLS的边缘路由器,它位于MPLS/ATM服务提供者网络的边缘。 对于VPN用户的IP业务量,LER将是VPN隧道的出口与入口节点。如果一个LER同时为多个用户所共享,它还应当具有执行虚拟路由的能力。这就是说,它应当为自己服务的各个VPN分别建立一个转发表,这是因为不同VPN的IP地址空间可能是有所重叠的。 ----LSR(标记交换路由器) ----MPLS/ATM核心网络是服务提供者的下层网络,它为用户的IP-VPN业务所共享。 ----建立IP-VPN区域的操作 -......

阅读全文(1762) | 评论:0

VPN技术综述(2006-07-08 03:34:00)

摘要:在国外,VPN目前已成为全社会的信息基础设施,企业端应用也大多基于IP,在Internet上构筑应用系统已成为必然趋势,因此基于IP的虚拟专用网业务获得了极大的增长空间。在国内,虚拟专用网也得到迅猛的发展。    有机构预测,2004年美国的VPN业务收入将从2000年的65亿美元,升至180亿美元,年复合增长率高达44%;至2008年中国的VPN市场收入将从2002年的2.55亿美元增长至105亿美元,年复合增长率将达到145%。    但是我国的VPN应用要远落后于国外发达国家的水平。目前应用主要集中在跨国公司的国内分支机构、部分用户规模较大的外企、金融领域以及与IT相关的企业之中。     VPN分类     根据VPN的服务类型,可以将VPN分为Access VPN、Intranet VPN和Extranet VPN三类。    ◆ Access VPN(远程访问虚拟专网)    在该方式下远端用户拨号接入到用户本地的ISP,采用VPN技术在公众网上建立一个虚拟的通道到公司的远程接入端口。这种应用既可适应企业内部人员移动和远程办公的需要,又可用于商家提供B2C(企业对客户)的安全访问服务。    ◆ Intranet VPN(企业内部虚拟专网)    在公司两个异地机构的局域网之间在公众网上建立VPN,通过Internet这一公共网络将公司在各地分支机构的LAN连到公司总部的LAN,以便公司内部的资源共享、文件传递等,可以节省DDN等专线所带来的高额费用。    ◆ Extranet VPN(扩展的企业内部虚拟专网)    在企业网与相关合作伙伴的企业网之间采用VPN技术互连,与Intranet VPN相似,但由于是不同公司的网络相互通信,所以要更多地考虑设备的互连、地址的协调、安全策略的协商等问题。公司的网络管理员还应该设置特定的访问控制表ACL(Access Control List),根据访问者的身份、网络地址等参数来确定相应的访问权限、开放部分资源而非全部资源给外联网的用户。    Extranet VPN通过使用一个专用连接的共享基础设施,将客户、供应商、合作伙伴或兴趣群体连接到企业内部网。企业拥有与专用网络的相同政策,包括安全、服务质量(QoS)、可管理性和可靠性。     VPN在Internet中的应用     ◆ 全球Internet接入 ......

阅读全文(1410) | 评论:0

实现局域网共享与网上邻居安全(2006-07-08 03:32:00)

摘要:一。 局域网内的邻居     李小姐是某公司的文秘,昨天刚连夜赶出一份项目报告,就急匆匆带回公司给经理为客户们做讲解了,刚离开公司那30层高的会议厅,李小姐就忙着回自己在15楼的工作岗位了,但是李小姐刚踏出电梯,就接到了参与演示的工作人员的电话,说发现报告的演示文档不齐全,要她迅速带上来,李小姐才发现是自己过于迷糊而少复制了几份文件,但是她更清楚如果这个马虎行为让客户看到,恐怕会对公司造成负面形象,李小姐一时陷入窘境。突然,她想到了公司的局域网……     一场危机总算解除了,李小姐通过局域网把文件传输上来,演示人员不动声色的补充了剩下的文件,会议进行得很顺利,大家总算松了口气……     网络的基本作用是实现资源共享,而作为最小网络分布结构的局域网(Local Area Network,LAN)更是把这个概念淋漓尽致的发展起来,那么,局域网内的共享是怎么实现的呢?     1. 局域网实现原理     在了解共享之前,我们需要对局域网的概念有个了解,局域网并不同于外界通讯使用的TCP/IP协议体系,它是一种建立在传统以太网(Ethernet)结构上的网络分布,除了使用TCP/IP协议,它还涉及许多协议。     在局域网里,计算机要查找彼此并不是通过IP进行的,而是通过网卡MAC地址,它是一组在生产时就固化的唯一标识号,根据协议规范,当一台计算机要查找另一台计算机时,它必须把目标计算机的IP通过ARP协议(地址解析协议)在物理网络中广播出去,“广播”是一种让任意一台计算机都能收到数据的数据发送方式,计算机收到数据后就会判断这条信息是不是发给自己的,如果是,就会返回应答,在这里,它会返回自身地址。当源计算机收到有效的回应时,它就得知了目标计算机的MAC地址并把结果保存在系统的地址缓冲池里,下次传输数据时就不需要再次发送广播了,这个地址缓冲池会定时刷新重建,以免造成数据冗余现象。实际上,共享协议规定局域网内的每台启用了文件及打印机共享服务的计算机在启动的时候必须主动向所处网段广播自己的IP和对应的MAC地址,然后由某台计算机(通常是局域网内某个工作组里第一台启动的计算机)承担接......

阅读全文(1533) | 评论:1

ISA防火墙中的防火墙客户身份验证(2006-07-08 03:30:00)

摘要:对于防火墙客户而言,当用户需要访问非本地网络时,防火墙客户端应用程序首先将当前登录用户的身份凭据提交至ISA防火墙进行身份验证,只有在用户的身份凭据通过验证时,ISA防火墙才会处理此用户的网络访问请求。 由于涉及到身份验证凭据的传送,防火墙客户端应用程序和ISA防火墙之间的通讯是经过加密的。微软并没有对具体的验证方式进行任何相关的说明,只知道它采用的是一种类似于NTLM的验证机制。当ISA防火墙和防火墙客户属于相同的域时,ISA防火墙可以通过活动目录来验证防火墙客户。但是当ISA防火墙和防火墙客户并不属于相同的域或者其中一个属于工作组环境时,你必须创建镜像账户(用户名和密码与防火墙客户所提交的身份凭据完整一致的用户账户)才能让防火墙客户通过验证,那么在使用镜像账户时,ISA防火墙又是如何验证用户的身份凭据呢? 当ISA防火墙只是具有一个用户身份验证数据库时(ISA防火墙属于工作组环境或者ISA防火墙作为域控制器时),它将使用自己的用户身份验证数据库(工作组环境中使用本地SAM数据库;作为域控制器时使用活动目录)来验证防火墙客户提交的身份凭据,而不管防火墙客户提交的身份凭据中的所属域,当防火墙客户提交的身份凭据通过ISA防火墙的验证时,ISA防火墙允许防火墙客户的网络访问。 例如以下场景: ISA防火墙属于工作组环境,防火墙客户属于某个域或属于工作组环境,则可以在ISA防火墙上创建镜像账户以让防火墙客户通过验证; ISA防火墙作为域控制器,防火墙客户属于不同的域或者属于工作组环境,则同样在ISA防火墙上创建镜像账户以让防火墙客户通过验证。   当ISA防火墙具有多个用户身份验证数据库时(ISA防火墙属于某个域,但是不作为域控制器),则ISA防火墙根据接收到的防火墙客户提交的身份凭据中的所属域来判断用于进行验证的数据库。只有在防火墙客户提交的身份凭据中的所属域匹配ISA防火墙所属于的域时,ISA防火墙使用活动目录中的用户身份信息进行验证;否则ISA防火墙使用本地SAM数据库进行身份验证。 例如以下场景,ISA防火墙加入域ISACN.ORG,但是不作为域控制器: 如果防火墙客户属于工作组环境,则必须在ISA防火墙中创建本地镜像账户(在本地SAM数据库中创建)以让防火墙客户通过验证,而不能在ISACN.ORG域中创建镜......

阅读全文(1247) | 评论:0

前沿技术:光纤技术与光纤网络(2006-07-08 03:29:00)

摘要: 1.光导纤维技术特性1.1.非零色散光纤  非零色散光纤(G.655光纤)的基本设计思想是在1550窗口工作波长区具有合理的、较低的色散, 足以支持10Gbps的长距离传输而无需色散补偿,从而节省了色散补偿器及其附加光放大器的成本;同时其色散值又保持非零特性, 具有最小数值限制,适宜开通具有足够多波长的DWDM系统, 同时满足TDM和DWDM两种发展方向的需要。  为了达到上述目的,我们可以将零色散点移向短波长侧或长波长侧, 使之在1550nm附近的工作波长区呈现一定大小的色散值以满足上述要求。典型G.655光纤在1550nm波长区的色散值为G.652光纤的1/6~1/7,因此色散补偿距离也大致为G.652光纤的6~7倍,色散补偿成本(包括光放大器、色散补偿器和安装调试)远低于G.652光纤。另外,由于G.655光纤采用了新的光纤拉制工艺,具有较小的极化模色散,单根光纤的极化模色散一般不超过0.05ps/km0.5。即便按0.1ps/km0.5考虑,这也可以实现至少400km长的40Gbps信号的传输。  在两种零色散点不同偏移方向的G.655光纤中,具有正色散的G.655光纤的主要优点是可以利用色散补偿其一阶和二阶色散;另外,由于在1550nm附近D为正,有可能与能够产生负啁啾的MZ外调制器结合, 利用SPM技术来扩大色散受限传输距离甚至实现光孤子传输;最后, 这类光纤在1310nm波长区的色散较小,有利于开放1310窗口。但它的主要缺点是可能产生调制不稳定性;另外, 这类光纤对XPM的影响比较敏感, 由之产生的性能劣化较大。  具有负色散的G.655光纤的主要优点是不存在调制不稳定性问题,接收机眼图清楚, 对XPM的影响不敏感, 由之产生的性能劣化较小。其缺点是不能利用SPM来扩大色散受限传输距离, 也不支持光孤子通信, 1310nm窗口色散较大;此外,在光纤制造工艺相同和折射率剖面形状类似的条件下,零色散波长较长的光纤要求有较大的波导色散,因而芯包折射率差较大,从而往往使之损耗较大而有效面积较小,最后,利用G.652光纤来补偿这类光纤虽然仅能补偿其一阶色散, 但G.652光纤成本较便宜。在具有负色散的G.655光纤中, 不同厂家的具体设计和参数也不尽相同。原则上, 色散系数绝对值小有利于10Gbps信号传得更远, 但四波混和影响大, 复用的通路数少......

阅读全文(4285) | 评论:0

光网络畅想:OVPN走向辉煌(2006-07-08 03:27:00)

摘要:1.引言  在当今的电信市场上,“提高盈利”已成为世界各地电信运营商中从上至下的一个主要话题。运营商的经济效益必须通过降低现有的资产和运营成本,同时提高收入和利润来实现。通过将现有的光网络智能化,使现有的光传输网变得更灵活有效,在同一网络上支持更多的业务和客户,就可以实现这一目的。  光虚拟专用网(OVPN)使运营商能将他们的光网络分成多块提供给多个客户,并且提供监控功能,就好像客户拥有自己的光网络一样。对运营商客户来说,一个OVPN看起来和感觉上都与真正的私有专用网一样。拥有OVPN,运营商可以提供区别于以往平淡带宽业务的更具灵活性和多功能的波长业务。运营商的客户将有能力控制自己租赁的光网络资源而不必自己建网。OVPN提供的收入机会加上采用智能光网络带来的费用节省使当今的运营商实现盈利的时间大大提高。OVPN所具有的共享的经济性、灵活性、可靠性、安全性和可扩展性等优异特征已使OVPN业务成为智能光网络最具发展潜力的增值业务,为运营商在现有网络上提供了新的利润增长点;由此,必将迎来OVPN的大规模应用时代。  2.OVPN的性能特点  基于OVPN技术的实现机制,我们可以看到OVPN具有以下的功能特点:  (1) 设备分割:网络实体如端口、链接、时隙等都可以细分给不同的终端用户。用户不用考虑彼此之间的边界,对于用户而言,OVPN是独立的私有网络。  (2) 安全和访问控制:OVPN提供者可为终端用户分配用户名和密码并设置权限,这样终端用户就可以查看、修改和控制他们租用的网络资源。   (3) 客户定制:智能控制平台自动发现网络资源和服务,并实时保存记录。安全的跨运营商特性使得智能控制平台之间可以共享指定的的资源和拓扑信息,从而帮助用户实现自动的端到端配置。  (4) 维护和监测:终端用户经过授权可以对设备进行维护,可以监测告警信息,也可以查看历史信息(包括配置、告警、计费信息)。智能控制平台日志过滤功能使得用户只能看见与之相关的数据。运营商可以查看安全日志,查看所有的与安全相关的会话和更改信息。   (5) 电路的选路和恢复:根据OVPN的配置要求,智能控制平台基于网络资源的实际使用状况和事先定义的约束条件(例如费用、跳数、长度和时延)来确定电路选路。当一个端到端电路横跨多运营商时,每一个运营商的智能控制平台都可以提供无缝的安全服务。系统支持的恢复方案包括无保护、网......

阅读全文(1707) | 评论:0

三层交换技术解析(2006-07-08 03:25:00)

摘要:简单地说,三层交换技术就是:二层交换技术+三层转发技术。它解决了局域网中网段划分之后,网段中子网必须依赖路由器进行管理的局面,解决了传统路由器低速、复杂所造成的网络瓶颈问题。 什么是三层交换   三层交换(也称多层交换技术,或IP交换技术)是相对于传统交换概念而提出的。众所周知,传统的交换技术是在OSI网络标准模型中的第二层――数据链路层进行操作的,而三层交换技术是在网络模型中的第三层实现了数据包的高速转发。简单地说,三层交换技术就是:二层交换技术+三层转发技术。   三层交换技术的出现,解决了局域网中网段划分之后,网段中子网必须依赖路由器进行管理的局面,解决了传统路由器低速、复杂所造成的网络瓶颈问题。 三层交换原理   一个具有三层交换功能的设备,是一个带有第三层路由功能的第二层交换机,但它是二者的有机结合,并不是简单地把路由器设备的硬件及软件叠加在局域网交换机上。   其原理是:假设两个使用IP协议的站点A、B通过第三层交换机进行通信,发送站点A在开始发送时,把自己的IP地址与B站的IP地址比较,判断B站是否与自己在同一子网内。若目的站B与发送站A在同一子网内,则进行二层的转发。若两个站点不在同一子网内,如发送站A要与目的站B通信,发送站A要向“缺省网关”发出ARP(地址解析)封包,而“缺省网关”的IP地址其实是三层交换机的三层交换模块。当发送站A对“缺省网关”的IP地址广播出一个ARP请求时,如果三层交换模块在以前的通信过程中已经知道B站的MAC地址,则向发送站A回复B的MAC地址。否则三层交换模块根据路由信息向B站广播一个ARP请求,B站得到此ARP请求后向三层交换模块回复其MAC地址,三层交换模块保存此地址并回复给发送站A,同时将B站的MAC地址发送到二层交换引擎的MAC地址表中。从这以后,当A向B发送的数据包便全部交给二层交换处理,信息得以高速交换。由于仅仅在路由过程中才需要三层处理,绝大部分数据都通过二层交换转发,因此三层交换机的速度很快,接近二层交换机的速度,同时比相同路由器的价格低很多。    三层交换机种类   三层交换机可以根据其处理数据的不同而分为纯硬件和纯软件两大类。   (1)纯硬件的三层技术相对来说技术复杂,成本高,但是速度快,性能好,带负载能力强。其原理是,采用ASIC芯片,采用硬件的方式进行路由表的查找和刷新。           ......

阅读全文(1264) | 评论:0

DOS命令(2006-07-07 10:02:00)

摘要:DOS命令字典            net use \\ip\ipc$ " " /user:" " 建立IPC空链接             net use \\ip\ipc$ "密码" /user:"用户名" 建立IPC非空链接             net use h: \\ip\c$ "密码" /user:"用户名" 直接登陆后映射对方C:到本地为H:             net use h: \\ip\c$ 登陆后映射对方C:到本地为H:             net use \\ip\ipc$ /del 删除IPC链接             net use h: /del 删除映射对方到本地的为H:的映射             net user 用户名 密码 /add 建立用户             net user guest /active:yes 激活guest用户             net user 查看有哪些用户             net ......

阅读全文(1813) | 评论:0