篇一:远程接入方案
远程接入解决方案
一、EAP远程解决方案
1.
Internet应用面临的问题
目前的实际情况,许多领域的大部分应用程序(如: ERP、CRM、OA等)采用的是客户/服务器(C/S)模式,它们的设计目标和开发工具决定了程序是以局域网作为应用环境,如果将此类应用程序直接在Internet上运行,势必导致: ? 关键的应用服务器直接暴露在互联网; ? 需要申请专线以支持企业应用,成本巨大;
? 每个客户端都要安装应用系统的客户端,造成集中管理负担加大; ? 传统的C/S程序交换的数据量巨大,在低带宽条件下无法应用;
? 在公共接入Internet接入点,应用程序所需的网络通信端口往往被屏蔽; ? 在公网上传输公司的重要业务数据,机密性和完整性得不到保障。
应用金算盘提供的快速远程接入远程接入解决方案,将彻底解决上述问题。
2. 远程接入的应用价值
? 基于WINDOWS终端功能的一种全新扩展,在站点之间构建了VPN网络,使WINDOWS终端
的安全漏洞不在是安全隐患。
? 严格的CA电子证书认证方式,使非法的用户不能访问系统,两重安全体系保障信息安
全。
? 内建动态域名解析技术,企业不需要为了业务系统而专门申请昂贵的固定IP线路,只
需动态IP上网就可以实现域名绑定,为中小企业节约成本。
? 实现门户部署,在服务器端可以发布多个应用程序,用户不需要再去各个信息系统的客
户端,仅仅安装远程接入系统的客户端就可以通过统一的页面来访问自己要访问的系统,并且访问权限可以自由控制,为企业降低系统维护成本。
3. 技术原理
快速远程接入是一款透明的软件平台,使您企业的软件部署发生革命性的变化。您的程序和数据将100%的在服务器端运行,客户端不装任何程序,不做任何维护。
快速远程接入这种基于服务器的计算的模式之所以成为可能,是因为使用了独立计算体系结构技术。它把应用处理从客户端设备转移到了服务器之上。
基于服务器的计算模式具有三个关键的组成部分。
(1)是一个多用户的操作系统,它能同时让多个用户登录一台服务器,并在单独的、受保护的会话中运行各自的应用程序。
(2)是一项将应用的逻辑与它的用户界面分开的高效的计算技术,以便只让键盘信息、鼠标点击和屏幕更新从网络上通过。因此,应用性能与网络的带宽无关。
(3)第三个关键部件是集中化的应用和客户管理,它能使大的计算环境克服在关键性应用部署中的管理、访问、性能和安全等方面的难题。
快速远程接入使用一种高效的远程显示服务协议(RDP)将一个应用的逻辑与它的用户界面分开,并且它只允许键盘信息、鼠标点击和屏幕更新通过网络传送。
如下图所示:
4.
基本功能
产品基本功能及特点
以统一的身份认证界面,不同的认证密码登录系统。 支持客户端身份认证key,没有key的人员无法访问系统。 用户登录进系统后,只看到经授权使用的应用程序。
用户可以根据不同的权限使用部署在企业数据中心的应用程序。 支持远程和本地剪贴板共享。 具有统一打印驱动程序。
运行时可以看到和使用本地/网络映射打印机。 运行时可以看到和使用本地/网络映射磁盘。 完全支持NAT(网络地址转换)、防火墙等。 支持集群,方便大型系统的应用以及快速扩展升级
能适应所有连接方式:拨号、DSL、有线、LAN、GPRS、Wi-Fi、卫星。在所有的网络环境下都可用。
应用服务器管理
增加、修改和删除应用服务器。
登记、修改和删除应用服务器上的访问帐号。 应用服务器安全策略远程设置。 支持应用服务器集群。
应用程序管理
发布、修改和撤除应用程序。 改变用户和用户组授权。 为应用程序绑定默认访问帐号。
用户和用户组管理
增加、修改和删除用户。 设置用户登录帐号。 设置用户认证方式。
设置用户应用程序授权和访问帐号。 增加、修改和删除用户组。 设置用户组默认访问帐号
5. 系统部署
在集团中心机房安装EAP快速远程接入,必要时可使用快速远程接入群集服务。 在快速远程接入服务主机上安装企业应用软件的客户端,例如ERP客户端。通过系统自带的图形化发布工具可以将这些应用程序客户端对外发布,供远程快速远程接入客户端使用。
利用快速远程接入权限设置工具可以方便的为我们设定用户的使用权限。 远程客户端零部署零维护,远程用户通过IE浏览器访问EAP应用服务器。
6. 成本分析
一般公司引入远程接入访问的主要目的有以下三点: ? 供公司ERP系统远程使用。
? 公司出差人员可以安全、方便的访问公司文档
? 为以后的企业信息化应用打好基础,远程接入系统必须有良好的扩展性 以下就在如何能完成以上三的基础上做一个简单的分析
二、WINDONS终端远程解决方案
EAP远程应用接入系统是基于windows终端原理实现的远程应用,因此用户如果出于节约成本的考虑,同样可以采用windows中断来实现远程用户的应用。Windows XP以上的操作系统都直接支持远程客户端的连接。
下面列出windows终端和EAP在应用模式中的优缺点,以便用户进行选择。
1. 概况
篇二:远程接入
一:VPN概念
VPN即虚拟专用网(Virtal Private Network),是一条穿过混乱的公用网络的安全、稳定的隧道。通过对网络数据的封包和加密传输,在一个公用网络(通常是因特网)建立一个临时的、安全的连接,从而实现在公网上传输私有数据、达到私有网络的安全级别,如果接入方式为拨号方式,则称之为VPDN。通常,VPN是对企业内部网的扩展,通过它可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。VPN可用于不断增长的移动用户的全球因特网接入,以实现安全连接;可用于实现企业网站之间安全通信的虚拟专用线路,用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。
二:VPN工作原理
VPN通过公众IP网络建立了私有数据传输通道,将远程的分支办公室、商业伙伴、移动办公人员等连接起来。减轻了企业的远程访问费用负担,节省电话费用开支,并且提供了安全的端到端的数据通讯。
用户连接VPN的形式:
常规的直接拨号连接与虚拟专网连接的异同点在于在前一种情形中,PPP(点对点协议)数据包流是通过专用线路传输的。在VPN中,PPP数据包流是由一个LAN上的路由器发出,通过共享IP网络上的隧道进行传输,再到达另一个LAN上的路由器。
这两者的关键不同点是隧道代替了实实在在的专用线路。隧道好比是在WAN中拉出一根串行通信电缆。那么,如何形成VPN隧道呢?
建立隧道有两种主要的方式:客户启动(Client-Initiated)或客户透明(Client-Transparent)。客户启动要求客户和隧道服务器(或网关)都安装隧道软件。后者通常都安装在公司中心站上。通过客户软件初始化隧道,隧道服务器中止隧道,ISP可以不必支持隧道。客户和隧道服务器只需建立隧道,并使用用户ID和口令或用数字许可证鉴权。一旦隧道建立,就可以进行通信了,如同ISP没有参与连接一样。 另一方面,如果希望隧道对客户透明,ISP的POPs就必须具有允许使用隧道的接入服务器以及可能需要的路由器。客户首先拨号进入服务器,服务器必须能识别这一连接要与某一特定的远程点建立隧道,然后服务器与隧道服务器建立隧道,通常使用用户ID和口令进行鉴权。这样客户端就通过隧道与隧道服务器建立了直接对话。尽管这一方针不要求客户有专门软件,但客户只能拨号进入正确配置的访问服务器。
三:VPN的应用
目前,用于企业内部自建VPN的主要有两种技术——IP Sec VPN和SSL VPN,IPSecVPN和SSL VPN主要解决的是基于互联网的远程接入和互联,虽然在技术上来说,它们也可以部署在其它的网络上(如专线),但那样就失去了其应用的灵活性,它们更适用于商业客户等对价格特别敏感的客户。
但针对IPSec VPN和SSL VPN两种技术,目前业内存在着较多争议。虽然目前企业应用最广泛的是IPSec VPN,然而Infornetics Research研究表明,在未来的几年中IPSec的市场份额将下降,而SSL VPN将逐渐上升。用户在考虑采用哪种技术时经常会遇到两难的选择,即安全性与使用便利的冲突。而事实上没有哪一种技术是完美的,只有用户明确了自己的需求,才能选择到适合自己的解决方案。IPSec VPN比较适
合中小企业,其拥有较多的分支机构,并通过VPN隧道进行站点之间的连接,交换大容量的数据。企业有一定的规模,并且在IT建设、管理和维护方面拥有一定经验的员工。企业的数据比较敏感,要求安全级别较高。企业员工不能随便通过任意一台电脑就访问企业内部信息,移动办公员工的笔记本或电脑要配置防火墙和杀毒软件。而SSL VPN更适合那些需要很强灵活性的企业,员工需要在不同地点都可以轻易的访问公司内部资源,并可能通过各种移动终端或设备。企业的IT维护水平较低,员工对IT技术了解甚少,并且IT方面的投资不多。
SSL VPN 三大好处:
1、使用方便,不需要配置,可以立即安装和使用;
2、无需客户端,直接使用内嵌的SSL协议,而且几乎所有的浏览器都支持SSL协议。
3、兼容性好,支持电脑、PDA、智能手机、3G手机等一系列终端设备及大量移动用户接入的应用。
SSL VPN缺点
只适合Site-to-LAN(点对网)的连接,无法解决LAN to LAN VPN 需求。
四:VPN的发展趋势
从目前的市场情况看,IPSec仍占据最大的市场份额,但是它的种种弊端已经暴露出来。一些用户已经开始同时部署两种解决方案,比如远程访问办公通过SSL VPN,而站点之间的连接通过IPSec。在未来几年内,两种解决方案还将共存,但是SSL VPN凭借其简单易用、部署及维护成本低,会受到企业用户的青睐,将会有更大的发展空间。
在深信服科技公司11月的冬季巡展上相关人员介绍说:SSL VPN、多功能合一的VPN产品,会逐渐成为市场热点。用户的需求正在从简单的通过VPN实现“连接”这一基本要求,逐渐在向VPN网络的效率、可管理性、扩展性等方面发展。另外移动办公的VPN应用也在迅速发展。SSL VPN以其不需安装客户端的最明显特点,在移动办公领域具有易用、易于管理的显著优势。同时,VPN作为网关产品、用户(尤其是中小企业用户)也希望该网关不仅仅具备单一的VPN功能,而是能把防火墙、网关杀毒、垃圾邮件过滤等实用功能集成于一体。网关数量较多的VPN网络,更是对整网的可管理性提出了进一步的要求。
篇三:BRAS-带宽远程接入服务器-原理-作用等
BRAS宽带远程接入服务器
是面向宽带网络应用的新型接入网关,它位于骨干网的边缘层,可以完成用户带宽的IP/ATM网的数据接入(目前接入手段主要基于xDSL/Cable Modem/高速以太网技术(LAN)/无线宽带数据接入(WLAN)等),起到连接DSLAM等接入层设备与骨干网的作用。实现构建企业内部Intranet、支持ISP向用户批发业务等应用。
主要完成两方面功能,一是网络承载功能:负责终结用户的PPPoE(Point-to-Point Potocol Over Ethernet,是一种以太网上传送PPPPoint to Point Protocol
会话的方式)连接、汇聚用户的流量功能;二是控制实现功能:与认证系统、计费系统和客户管理系统及服务策略控制系统相配合实现用户接入的认证、计费和管理功能; BRAS在网络中的位置及作用
BRAS的产生
BRAS产生的背景
DSLAM是Digital Subscriber Line Access Multiplexer的简称,中文称呼数字用户线路接入复用器。DSLAM是各种DSL系统的局端设备,属于最后一公里接入设备(the last mile),其功能是接纳所有的DSL线路,汇聚流量,相当于一个二层交换机。
由于BRAS可以提供用户认证,授权,计费等多种功能,因此BRAS得以产生
BRAS的主要作用
? BRAS即Broadband Remote Access Server,宽带远程接入服务器
? 它是一种面向宽带网络应用的新型接入网关。
? 它是宽带接入网与骨干网之间的桥梁,提供基本的接入手段和宽带接入网的管理功
能
?
? 与认证系统、计费系统、客户管理系统、服务策略控制系统相配合,实现用户接入的认证、计费和管理功能
? 它位于网络的边缘,提供宽带接入服务、实现多种业务的汇聚与转发,能满足不同
用户对传输容量和带宽利用率的要求,是宽带用户接入的核心设备。
BRAS是宽带城域网中的重要设备之一。正得以成为可运营、可管理的智能化网络。 BRAS产生之初是DSLAM与骨干网之间没有办法很好地衔接,但目前BRAS已经成为可支持ADSL、CTMS、LAN、
无线接入、
WLAN等多种接入方式,并为这些接入提供灵活的多种认证、计费和管理方法。 BRAS的工作原理介绍
BRAS的组成结构
? PPPOE:Point-to-Point Protocol over Ethernet
? PPPOE是利用以太网发送PPP包的传输方法和支持在同一以太网链路上建立多个
PPP(Point To Point Protocol)连接的接入技术。
? 发现阶段是无状态的Client/Server模式,目的是获取PPPOE终结端的以太网的MAC
地址,并建立一个唯一的PPPOE SESSION_ID。
? 会话阶段是用户终端和BRAS之间的采用LCP协议(Link Control Protocol(协议)),协商MRU值和PPP (pap 或 chap)认证方式,PPPOE终端发送用户名和密码给BRAS认证,认证成功后由BRAS发起IPCP协议协商,分配IP和DNS给拨号终端。 管理域-DOMAIN
? 体及其他业务管理策略。
? 务。
? 地址池-pool
?
? BRAS会为每一个认证成功的宽带拨号用户从IP地址池里分配一个地址。
? IP地址池里已分配或标识为不可用的地址,BRAS不会分配给认证成功的用户。 ? 可用状态。
BRAS的Pool有点类似于DHCP Server啊。
用户侧和网络侧
? BRAS的用户侧与DSL或交换机宽带接入网相连。
? BRAS的网络侧与路由器骨干网相连。
? BRAS的用户侧终结用户VLAN,与用户终端之间动态建立PPP连接,终结PPPOE报
文。
? BRAS的网络侧提供三层接口,收发IP数据包。
AAA
? AAA 即Authentication认证、Authorization授权、和Accounting计费。
? RADIUS (Remote Authentication Dial In User Service)协议是目前BRAS产品上使用最广
泛的AAA协议。
? BRAS作为Radius Client(BRAS本身不具备RADIUS Server的功能),与Radius Server
采用radius协议通信,完成用户的认证、授权和计费。
BRAS主要业务功能介绍
BRAS基本网络结构
拨号接入业务
用户终端采用拨号方式接入BRAS用户侧
BRAS根据认证和授权结果决定是否给该用户分配地址以及相应的用户属性
包时间间隔,则定期发送中间计费包
? 用户正常上网过程中,BRAS定期发送ppp keepalive 报文检测ppp会话连接 ? 用户主动下线或BRAS强制某用户下线时断开ppp会话连接,回收分配给该用户的地址,同时向radius发送计费结束报文信息
1、拨号终端可以是PC、modem、或具有拨号功能的路由器。
2、用户拨号时会被指定到某一个域中,该域里配置了认证、计费等相关信息。
3、拨号用户的地址可以由radius下发,也可以由bras分配。
4、拨号用户的带宽属性一般由radius下发,为私有属性;也可以在域里配置,在域里配置时这个域的所有用户具有相同的带宽属性。
5检测到用户离线,回收地址以及发计费结束报文给radius等
6、拨号失败常见的错误编号为678,691。
a、二层接入设备配置异常,拨号终端的发送padi广播报文bras无法收到。 b、bras上配置错误,无法相应用户的拨号入请求
c、bras设备cpu100%
a、bras配置错误,无法认证成功
b、bras和radius对接异常,无法认证通过
c、账号在radius处于在线状态, 同时限制了账号的最大接入数为1 ? ? ? ? 静态IP接入业务
?
?
?
? 用户终端手动配置IP地址和DNS BRAS上配置相关参数 用户终端与BRAS相互学习对端ARP BRAS正常转发用户数据报文
动态DHCP接入业务
? 用户终端设置为自动获取IP地址和DNS方式。
?
? BRAS设备做DHCP RELAY时,转发用户dhcp协议报文,用户地址由dhcp server分配,BRAS做用户网关,转发用户数据报文。
? BRAS可以通过拦截用户上网的第一个TCP报文,对该报文做重定向,完成DHCP+WEB强推功能。