中小企业用ISDN的五个难题

来源：中国电脑教育报作者：出处：巧巧读书 2007-10-02 进入讨论组

　　网络的管理

　　实施和管理远程访问的安全是企业型网络管理员最为重要的、需要考虑的事项，在公司下属各个分公司办公室之间，每新增加一个连接就产生一个新的安全风险问题。虽然公司已制定了在公司范围内统一的安全策略处理LAN之间通讯有关的问题。

但作为远程办公室LAN的一种新型可靠的检验管理程序、保护性和专有信息也应运而生。因为ISDN的长途通讯费比长途语音电话要高得多，所以ISDN授权专人使用的限制就显得十分重要。远程LAN登录的安全管理主要包括两个方面：访问控制未注册用户不能登录入网和确认证实用户或远程LAN与其实际登录名称相一致。在远程访问服务器的环境中，可以获得许多不同的安全级，其范围从小型网络普通的口令直至保护企业网络中专用信息的安全协议。其实，我们知道所有远程访问服务器都使用PPP(point-to-point　protocol)点对点协议，因为它具有PAP口令鉴别协议形式支持的基本口令和CHAP握手鉴别协议形式支持的加密口令。

　　但是对LAN探测信息包解密工具相当不“敏感”，这类协议为多方供应商网络的第三方路由器之间提供了一个安全协议的基本级别，这一安全级别适宜于优先考虑简易性、成本和效果的小型办公室网络所用，事实上“PPP”和“Microsoft　Windows　NT”和“NetWare”的“Novell　Directory　Service”这类实用服务器信息包的直接口令鉴别已经完全能够满足许多应用程序的要求。

　　中央节点访问服务器通常建立于“PPP”的基线访问控制安全之上，典型的就是再增加一个称为“拨回安全的鉴别保护级”，也就是访问服务器要求访问的设备回拨，从而确保用户是从指定的位置拨入，但是小型远程访问服务器采用“拨入安全”这类功能需要有效的配置，包括指定MAC地址表的建立。在具有数千个终端的企业型网络中，这类访问安全的工作量是极其庞大的。一个授权的解决方案就是建立指定设备名称的一览表，并将它分布于网络上所有的访问服务器里。当某一个设备遭窃和存储消除时，它还有指定的MAC地址，但是如果该设备不具有恰当的设备名称，而要想访问该网络，访问就会变成无效。远程访问服务器的另一授权选项是保存一份指定的呼叫者的清单，并用呼叫者线路的ID来检验发自指定号码的这一呼叫。各种各样的第三方安全服务器与远程访问服务器协调一致并支持这些功能，提供了鉴别和访问控制的服务。远程访问设备的供应商对于测试其产品与中央网络安全服务器之间的接口是义不容辞的责任。企业型网络管理人员应该坚持LAN管理员要实施远程访问服务器至少支持其中一些主要的第三方安全数据包。

　　连接的应用

　　一些技术可以节省ISDN的B信道，使数据流信息量最大化。为了充分发挥ISDN每一个的链接，远程访问服务器依靠压缩和嵌入链接管理特性，例如“协议仿真”，令人欣喜的是这些技术相对来说只需要很少的管理，但其不尽如人意之处则主要是其专用性，以致使企业网络管理员必须与远程办公室LAN管理员协调设备的购置。要节省WAN中费用最为昂贵的部分──ISDN的B信道的使用。而“协议仿真”则降低了由广播和运作中的信息所产生的网络成本。例如，连接的远程网络未能有效地利用WAN资源。因为较多的带宽用于传输流询问，广播和多点传送通讯，而不是有用的数据，仿真用于链接的两个终端以过滤来自WAN的信息，这是确保分布的IP和IPX应用程序有效运行的重要方法。

　　但是并非所有的仿真技术的效果都一样，IPX仿真盒上数据表的检验标记并非一直都能有效，例如有些销售商声称支持IPX仿真，而实际所提供的只不过是能够从文件服务器和打印服务器那里所提供的地址与服务，从而得到“Service　Advertising　Protocol”(SAP)的一点点的好处；另一些供应商则完全提供实现IPX，仿真SPX和过滤出运作中的信息以及从NetWare客户机对最接近的服务器的请求。“Novell　IPX”网络随时都受到工作站至客户机之间脉冲信息所干扰，如果供应商不随时仿真那些信息的话，使用ISDN线路时造成低效，而使用连接的费用却十分昂贵。因此需要采用SPX仿真来优化在IPX环境中的远程数据库应用软件（如图2）。目前压缩还未标准化，虽然压缩算法一般都不存在配置与管理问题，但是它们在网络上必须是一致的，因此企业网络管理员一定要参与确保所有LAN管理员采用兼容硬件和可互用的压缩技术。

　　带宽的分配

　　不同于压缩与仿真，动态带宽的分配是有标准控制的，如“多路链接的点对点协议”(MLPPP)，这些标准还相当的新型，得不到所有供应商一致的支持，专门提供的带宽分配特性还包括如何组合单独B信道的方法以及将B信道加入或从中减去的组合连接，企业网络管理员必须确定在网络中所有远程访问服务器都采用这些统一技术。含有文件传输和数据成组传送的远程“LAN-to-LAN”应用软件可获益于WAN通道的拓展。“MLPPP”是一种将附加的B信道协调到ISDN连接的有效途径。用“MLPPP”远程访问设备在第一B信道利用率达到规定的百分比时，可以按程序拨到附加的线路上，然后将两条信道的数据组合起来。

　　一台远程访问服务器必须有一套灵活的参数，以便在加入第二条B信道之前确定链接的排列与堆积的程度，同时还必须有一种方法在B信道断开连接前，设定信息流量下降的水平。目前来说，只有在一个远程节点拨入单一访问服务器，而不是通过两个服务器“MLPPP”才有效，也就是说如果通过单一访问服务器设置B信道的话，用“MLPPP”就不能做到组合，因为一些节点，特别是中央型的，可能有多台访问服务器，远程访问设备必须设置为拨入同一中央服务器。一开始计划支持“MLPPP”或专用带宽分配技术需要精心策划，设计远程用户拨入的拨号表，以及附加的B信道，都需要对网络的信息流作分析，在应用程序使用权限和ISDN接口的可用性之间做出正确的选择，以提高效率和缓解线路繁忙等待的状况。MLPPP (动态带宽分配)等多种协议，用户可根据需要选择不同的协议，灵活经济地访问Internet网。强大的数据压缩功能又使您的网上冲浪更快速，吞吐量更大（如图3）。

　　远程监控和管理

　　为了有效地监控远程访问服务器的操作，企业网络管理员必须能看到远程LAN和供网络载体所提供的某些服务内容。中央节点的通信技术人员力量相对强大，相比之下在远程节点要获取设备的实际存取既要花费时间又要有资金的投入。正因为如此，远程管理功能是一个关键的需求，除了用设备从远程登录进行内部诊断并发现细小的问题之外，ISDN访问服务器应当可提供内置的“SNMP”简单网络管理规程和“Telnet”虚拟终端访问的内部支持。有了“SNMP”的支持。远程访问服务器可以通过管理控制站为本地LAN管理员提供有效的信息，它有助于企业网络管理员处理电话上的问题。一个统一的“SNMP”管理系统可以让企业网络管理员拨入远程访问服务器，观看其状态与参数，并可以在远程重新配置其设备。远程访问服务器应该支持各种不同存取管理信息的方法，当出现故障时，限制进入某一设备反而不容易查出问题根源的所在。许多访问设备都有专用模拟接口，可以把调制解调器连上WAN接口，以使远程网络管理员可以进入本地诊断软件。

　　一旦完成连接，就可以通过IP连接上建立虚拟终端(Telnet)的对话，以操纵设备管理接口。这样就可访问所嵌入的误码率测试，检查一下已采集到的“NMP”诊断统计，网络管理人员可以查看ISDN和以太网的统计。甚至还可进行更为深入的检测，打开跟踪窗口，监控交换与访问设备之间的ISDN通讯情况，看看调用上是否有故障。远程ISDN　LAN至LAN之间通讯的激增确实提出新的挑战，关键是要了解支持的需求并能考虑在前。预计将来不久可能会有加密、MLPPP和安全新标准的出台，据说，“Carriers”公司也正在开发新的LAN之间互连服务，它允许ISDN用户拨入帧中继的连接。为支持这些将要出台的标准与服务，供应商必须提供容易升级的远程访问服务器，企业型网络管理员也要采用自动和简化远程管理的新策略。
观看地址： http://www.qqread.com/network/buxian/g360773.html