经调制解调器进行传统的远程维护,在不久的将来将会被经互联网的VPN链接取而代之。新推出的用于工业用途的一大批VPN路由器表明,市场正在发生变动。然而对于经VPN远程维护的成功应用来说,机器上的VPN设备部件只不过是整个系统中的一部分。中央VPN网关和管理方案对于运行同样也很重要。
采用的远程维护方案必须与需要进行维护的机器设备数目相匹配,维护机器的最大台数是根据每年需要维护的机器台数以及维护合同的典型期限计算出来的。因此,需要做好对上百台甚至上千台机器进行远程维护的准备。
用互联网进行远程维护需要可靠的链接(图1),同时还需要通过VPN通道获得机密(密码)和授权。VPN通道建立在各台机器上未命名的Mguard等分散的设备部件与中央的服务网关之间,通常位于机器制造厂商的计算或服务中心。
图1 设备的远程维护可以降低成本。若经过互联网进行远程维护,则需要可靠的链接
对于像预防性维护或远程维护这样的服务项目,VPN通道必须随时随地可以激活。正因为如此,它们当中的一部分需要永远处于运行中,以保证链接的可使用性。如果VPN通道只是在远程维护情况下激活了,则只需对少数几个通道同时提供支持,但也必须能够同时配置一大批通道(图2)。
图2 插图表示一种配有中央网关和分散设备的远程维护场景。对于远程维护或预防性维护来说,必须拥有对大量通道进行配置的可能性
在设计用VPN进行远程维护的方案时,设计的开始阶段就需要考虑到终端的扩展。使用现有的Modem方案所取得的经验不可以直接进行有意义的嫁接,因为这种方案中同时激活的只有少数几个通道。
远程维护为机器制造厂商减少费用
假如今后远程维护全部由通道VPN来进行,则提供的所有系统都必须支持这一方案。根据所供货的机器台数来看,需要管理的链接正在增长。远程维护可为机器制造厂商或运营商减少费用,而且需要使用许多年。一家机器制造商每个月提供20套系统,交货后签订前四年的维护合同,就必须计划安装大约1000个通道。同时,一开始也不必悉数配备这些通道,但方案必须具有相应的可定径性(图3)。设计示范项目时,也应同时对可定径性做出评价。市场上许多产品报价瞄准的目标是:用第一个通道的简单投用来迎合客户,并建立在这样的基础上;一旦建成了第一批系统,客户以后在遇到定径问题时就不会再犹豫了。
在理想情况下,机器方面的VPN设备部件投用之后就不会再改变配置了。不过在使用期限若干年的情况下,还是有必要把改变配置的必要性计划在内。
大部分工业用VPN设备都是用网上GUI(图形用户界面)进行配置的,许多用户设备上的改动则必须通过手工互动来实施。这在用户设备最多只有20套时是可行的,此外还需要有一套中央管理工具。上面提到的例子约有1000个系统,假如每个系统有1000个配置变量,那么总共就有100万个参数,若每个参数为100 Byte,则总量可达100 MB。显而易见,从一开始就必须为巨大的数据存量开发出相应的管理工具,比如未命名的设备身份识别管理(IDM),这是一种带相关数据库的客户服务器结构。
在上面提到的一家机器制造商的例子中,在最不利的情况下,可能有1000个系统的配置同时需要进行修改,而且这是一次系统的改动。
基本配置的修改
只能在一个地方进行
有一个基于模板的思路被证明是很有用的,它可以从一种或几种基本配置中推导出符合个性的调整。假如一种基本配置必须进行修改,那只能在一个地方进行。个性配置中修改的使用以及在目标系统中的激活由中央管理来承担。根据系统数目的大小,配置改动的成功必须由中央进行采集和报告。
图3 Innominate Device Manager的结构是按定径进行设计的
建立VPN通道之前,通讯伙伴必须进行相互认证。当前的技术水平是,在使用X.509认证的同时使用公共密钥程序。同时,认证证书包含连同有关系统的信息在内的非机密公共密钥。
在小型设备上,通道的管理可以通过对通道相应证书的个性化配置来进行,但在设备规模比较大时就不管用了。使用PKI加CA则可以在使用专门的证书登记情况下进行配置。
IDM不仅可以对分散的设备进行配置,还可以根据要求用必要的通道参数对中央网关进行自动配置。更为简单的是使用通道分组,在这种通道组中,由一个CA出具的所有认证证书可以全部得到认可,因而只需对一个“总通道”进行配置。一个总通道足可包含100个真实的通道,但这样就不能对各个通道的个性化防火墙规则进行配置了。
DPD功能确保通道的连接准确无误
为了对1000个VPN通道确定时间期限,需要有具备相应功能的中央网关;互联网的链接也必须拥有相应的带宽。通道一旦建立,没有有效数据也处于激活状态:为了发现连接故障,以短的时间间隔,如每隔90 s发送DPD包,若有1000个通道,则每秒约发送10个包。一般情况下,所有会议密钥每小时更新一次,那么1000个通道至少每3 s就需要一个新密钥。除了硬件的功能之外,特别是软件的质量也具有重要意义。
无论是所使用的VPN应用软件的内部结构,还是控制软件的接入,都对可定径性具有决定性作用:分组不合适的环路大部分往往未被发现,在某些通道中功能又很正常,但在通道很多时又对总功率造成破坏。
图4 装有多核处理器的Mguard Centerport对于安装大型VPN装置来说,拥有足够的功能储备
中央网关重新启动后,分散的装置又重新自动与中央连通,因而在极短的时间内收到极多的通道询问。除了具有相应的高计算速率之外,中央网关也必须掌握过程的结构以应对这种负荷。
软件中的存储器渗漏要求在随时拥有系统活动方面予以特别关注,一旦某种应用的每个通道或每次操作,哪怕只是丢失几个字节,那么它很快就会累积成很大的存储区,在可以预见的时间内,这些存储区将会导致功能故障,最终导致崩溃。
公司用Mguard Centerport(图4)将其产品补充了一个至少有1000个VPN通道的硬件。基于x86拥有多核处理器的硬件,对于安装大型VPN装置来说拥有足够的功能储备。固件Mguard 7.0支持新的硬件,也支持市场上已经引进的设备,研制过程中对可定径性给予了特别的关注。
评论
加载更多