06远程工作者服务.doc

06 远程工作者服务6.1远程工作者服务的业务需求6.1.1远程工作者服务的业务需求1、远程工作者的益处：1）对组织的益处：l 保证了运营的持续性l 提高了响应速度l 能够以安全、可靠且易管理的方式访问信息l 能够以经济的方式集成数据、语音、视频和应用l 提高了员工生产力、满意度和忠诚度2）对社会的益处：l 增加了边缘群体的就业机会l 减轻了出行和通勤方面的压力3）对环境的益处：l 减少了工作者个人和组织的二氧化碳排放6.1.2 远程工作者解决方案1、组织可以利用这些技术提供远程工作者服务：l 传统的私有 WAN 2 层技术（包括帧中继、ATM 和租用线路），它能够提供许多远程连接解决方案。这些连接的安全性取决于服务提供商。l IPsec 虚拟专用网络 (VPN)，它能够提供灵活、可扩展的连接。l 站点对站点连接，它能够以安全、快速并且可靠的方式与远程工作者建立远程连接。这是远程工作者最常用的方案，将其与宽带远程访问相结合可以在公共 Internet 上建立安全的 VPN。（拨号连接也是一种利用 Internet 的连接方式，但其可靠性较低。）2、远程工作者解决方案组件l 家庭办公室组件l 企业组件l 可选企业 IP 电话组件6.2 宽带服务6.2.1 将远程工作者连接到WAN1、家庭和小型企业用户选用的主要连接方式包括：l 拨号接入 使用电话线和调制解调器，费用相对较低。用户通过拨打 ISP 接入电话号码来连接 ISP。拨号是最慢的连接方式，一般在移动工作者没有其他高速连接选择时才会使用。l DSL 费用一般比拨号高，但连接速度较快。DSL 也使用电话线，但与拨号接入不同的是，DSL 能够提供不间断的 Internet 连接。DSL 使用一种特殊的高速调制解调器，该设备将 DSL 信号从电话信号中分离出来，并提供与主机计算机或 LAN 的以太网连接。l 电缆调制解调器 由有线电视服务提供商提供的一种连接方式，它通过输送有线电视信号的同轴电缆来传输 Internet 信号，特殊的电缆调制解调器将 Internet 信号与该电缆承载的其它信号分离，并提供与主机计算机或 LAN 的以太网连接。l 卫星 由卫星服务提供商提供的一种连接方式，计算机通过以太网连接到卫星调制解调器，该设备将无线电信号发射到卫星网络中距离最近的入网点 (POP)。6.2.2 电缆（Cable）1、电缆概述 电缆占用一部分 RF 电磁频率。 电缆可以双向同时传输信号。 所占用的 RF 部分针对以下两条通路做了细分：- 下行： 前端至用户方向具有 810 MHz 的 RF 带宽。- 上行： 用户至前端方向具有 37 MHz 的 RF 带宽。2、DOCSIS1）有线电缆数据服务接口规范 (DOCSIS) 是由 CableLabs 制定的一项国际标准，该机构是一家非盈利性的电缆相关技术研发联盟。2）DOCSIS概述l DOCSIS 是一项电缆设备供应商设备（电缆调制解调器和电缆调制解调器端接系统）认证标准。l DOCSIS 规定了物理层和 MAC 层。l DOCSIS 定义了有线电缆数据系统的 RF 接口需求。l 电缆设备供应商必须通过由 CableLabs 所实施的认证。l Euro-DOCSIS 是为适合在欧洲使用而做了修订的版本。3）在有线电视系统中传送上行和下行数字调制解调器信号需要使用以下两种类型的设备：l 在有线电视运营商前端使用的电缆调制解调器端接系统 (CMTS)l 在用户端使用的电缆调制解调器 (CM)6.2.3 DSL（数字用户线路）1、DSL概述l DSL 是一种通过埋设的铜缆提供高速连接的连接方式。本节我们就来介绍一下这种重要的远程工作者解决方案。l 使用高传输频率（最高达 1 MHz）l 在普通铜缆上提供高带宽的技术l 用户与总机房之间的连接2、两个关键组件是 DSL 收发器和 DSLAM：l 收发器 将远程工作者的计算机连接到 DSL。收发器一般是使用 USB 电缆或以太网电缆连接到计算机的 DSL 调制解调器。新型 DSL 收发器可以内置在具有多个适合家庭办公室用途 10/100 交换机端口的小型路由器内。l DSLAM 位于电信公司总机房，它将来自用户的各个 DSL 连接合并成一个通往 ISP 进而通往 Internet 的高容量链路。3、ADSL（非对称数字用户线路）1）ADSL 的主要优点是能够随 POTS 语音服务一并提供数据服务。2）ADSL 的一个重要特色是能够与 POTS 共存。3）语音信号和数据信号在同一线对上传输。4）从语音交换机上卸除数据电路。6.2.4无线带宽1、无线宽带技术领域的新发展正在使无线连接的覆盖范围不断扩展。这些新发展包括：l 城市 Wi-Fil WiMAXl 卫星 Internet2、远程工作者设备一般使用符合下列标准的 2.4 GHz 频段：802.11b - 11 Mb/s，2.4 GHz802.11g - 54 Mb/s，2.4 GHz802.11e 54 Mb/s，MIMO，2.4 GHz6.3VPN技术6.3.1VPN及其优点1、什么是VPN（Virtual Private Network ,虚拟专用网络）2、VPN 的以下优点：l 节省成本 组织可以利用经济的第三方 Internet 传输让远程办公室和远程用户连接到总公司站点，从而节省了为架设专用 WAN 链路和购买大批调制解调器而带来的昂贵开销。VPN 通过使用宽带降低了连接成本，同时增加了远程连接的带宽。l 安全性 使用先进的加密和身份认证协议防止数据受到未经授权的访问。l 可扩展性 由于 VPN 使用 ISP 和电信公司内的 Internet 基础架构，因此组织可以方便地添加新用户。组织无论大小，无需大规模添置基础架构即可大幅度扩充容量。6.3.2 VPN的类型1、 站点到站点VPN（Site-to-Site VPN）2、 远程访问VPN（Remote Access VPN）6.3.3 VPN组件1、建立该 VPN 所需的组件包括：l 具有服务器和工作站的现有网络l Internet 连接l VPN 网关，例如路由器、防火墙、VPN 集中器及 ASA，它们充当用来建立、管理和控制 VPN 连接的端点l 用于创建和管理 VPN 通道的相应软件2、VPN 效能的关键是安全性。VPN 通过封装或加密数据来为其提供保护，大部分 VPN 既能封装数据，也能加密数据。封装也称为隧道，因为封装是通过共享的网络基础架构以透明的方式在网络间传输数据。加密使用密钥将数据编码成另一种格式，解密则是将加密的数据解码，使其恢复原始的未加密格式6.3.4 安全VPN的特征1、安全 VPN 的基础是数据机密性、数据完整性和身份验证：l 数据机密性 一个常见的安全性考虑是防止窃听者截取数据。作为一项设计特征，数据机密性旨在防止消息的内容被未经身份验证或未经授权的来源拦截。VPN 利用封装和加密机制来实现机密性。l 数据完整性 接收方无法控制数据的传送路径，因此并不知道数据在 Internet 上传送过程中是否已被偷窥或篡改，数据被篡改的可能性始终存在。数据完整性确保数据在源主机和目的主机之间传送时不被篡改。VPN 通常使用哈希来确保数据完整性。哈希类似于校验和或封印，但更可靠，它可以确保没有人看到过数据的内容。我们将在下一主题中介绍哈希。l 身份验证 身份验证确保消息来自真实来源，并传送到真实目的地。用户可以通过用户标识确信与其建立通信的一方正是其所认为的那一方。VPN 可以使用密码、数字证书、智能卡和生物识别确定网络另一端相关方的身份。6.3.5 VPN隧道1、隧道协议运载协议：信息传送时所依据的协议（帧中继、ATM、MPLS）。封装协议：包装原始数据的协议（GRE、IPSec、L2F、PPTP、L2TP）。乘客协议：承载原始数据时所依据的协议（IPX、AppleTalk、IPv4、IPv6）。6.3.6 VPN数据完整性1、如果在公共 Internet 上传输明文数据，数据可能会被拦截和读取。要使数据保持私密，必须将其加密。VPN 加密机制可将数据加密，使未经授权的接收方无法读取。2、要使加密发挥作用，发送方和接收方都必须了解将原始消息转换成加密形式所使用的规则。VPN 加密规则包括算法和密钥。算法是一个数学函数，它将消息、文本、数字之一或全部与密钥合并，得到无法解读的加密字符串。如果没有正确的密钥，解密将极其困难或根本无法进行。3、以下是一部分较为常见的加密算法及其使用的密钥长度：l 数据加密标准 (DES) 算法 DES 是由 IBM 开发的一种算法，它使用 56 位密钥来确保高性能加密。DES 是一种对称密钥加密系统，下文介绍了对称密钥和非对称密钥。l 三重 DES (3DES) 算法 一种较新的 DES 变体，该算法使用一个密钥加密，再用一个不同的密钥解密，最后用另一个密钥再加密一次。3DES 显著提高了加密的力度。l 高级加密标准 (AES) 美国国家标准和技术研究所 (NIST) 采用 AES 来替代加密设备目前采用的 DES 加密。AES 提供比 DES 更高的安全性，在计算方面比 3DES 更有效率。AES 提供以下三种不同的密钥长度：128 位、192 位和 256 位。l Rivest、Shamir 与 Adleman (RSA) 一种非对称密钥加密系统，密钥长度为 512 位、768 位、1024 位或更长。4、对称加密：DES 和 3DES 之类的加密算法需要使用共享密钥来执行加密和解密，两台计算机都必须知道密钥，才能解密信息。5、非对称加密：对称加密在加密和解密时使用不同的密钥。黑客即使知道了其中一个密钥，也无法推断出另一个密钥并解密信息。一个密钥用于加密消息，另一个密钥则用于解密消息，无法使用同一密钥进行加密和解密。6、哈希（HASH）对数据完整性和身份验证很有帮助，因为它确保未经授权的人不能篡改传输的消息。哈希也称为消息摘要，是由一串文本生成的一个数字，哈希比文本自身要小，它是使用公式以特定方式生成的，这种生成方式使得其它文本生成同一哈希值的几率极小。6.3.7Ipsec安全协议1、有以下两种主要的 IPsec 框架协议：l 验证报头 (AH) 不要求或不允许有机密性时使用。AH 为两个系统间传递的 IP 数据包提供数据验证和数据完整性检查。它验证从 R1 向 R2 传递的消息在传送过程中是否未被篡改，还验证数据来源是否 R1 或 R2。AH 不提供数据包的数据机密性（加密）检查。AH 协议单独使用时提供的保护较脆弱，因此需要将其与 ESP 协议配合使用，来提供数据加密和篡改检测等安全功能。l 封装安全负载 (ESP) 通过加密 IP 数据包提供机密性和身份验证。IP 数据包加密隐藏数据及源主机和目的主机的身份。ESP 可验证内部 IP 数据包和 ESP 报头的身份，从而提供数据来源验证和数据完整性检查。尽管加密和身份验证在 ESP 中都是可选功能，但必须至少选择其中一个。2、IPsec 依赖现有算法来实现加密、身份验证和密钥交换，IPsec 所使用的部分标准算法如下：l DES 加密和解密数据包的数据。l 3DES 提供的加密强度显著高于 56 位 DES。l AES 提供更强大的加密（取决于所使用的密钥长度）和更快的吞吐速度。l MD5 验证数据包数据的身份，使用 128 位共享密钥。l SHA-1 验证数据包数据的身份，使用 160 位共享密钥。l DH 允许双方在不安全的通信通道上建立由加密算法和哈希算法（例如，DES 和 MD5）使用的共享密钥