內聯網概述
內聯網又稱企業內連網,是用網際網路技術建立的可支持企事業內部業務處理和信息交流的綜合網路信息系統,通常採用一定的安全措施與企事業外部的網際網路用戶相隔離,對內部用戶在信息使用的許可權上也有嚴格的規定。
內聯網與網際網路
Intranet與internet相比,可以說Internet是面向全球的網路,而Intranet則是Internet技術在企業機構內部的實現,它能夠以極少的成本和時間將一個企業內部的大量信息資源高效合理地傳遞到每個人。Intranet為企業提供了一種能充分利用通訊線路、經濟而有效地建立企業內聯網的方案,套用Intranet,企業可以有效的進行財務管理、供應鏈管理、進銷存管理、客戶關係管理等等。過去,只有少數大公司才擁有自己的企業專用網,而現在不同了,藉助於Internet技術,各箇中小型企業都有機會建立起適合自己規模的"內聯網企業內部網,企業關注Intranet的原因是,它只為一個企業內部專有,外部用戶不能通過Internet對它進行訪問。了解Intranet,首先要了解企業對於網路和信息技術的迫切需求。
內聯網Intranet的重要性
隨著現代企業的發展越來越集團化,企業的分布也越來越廣,遍布全國各地甚至跨越國界的公司越來越多,以後的公司將是集團化的大規模、專業性強的公司。這些集團化的公司需要及時了解各地的經營管理狀況、制定符合各地不同的經營方向,公司內部人員更需要及時了解公司的策略性變化、公司人事情況、公司業務發展情況以及一些簡單但又關鍵的文檔,如通訊錄、產品技術規格和價格、公司規章制度等信息。通常的公司使用如員工手冊、報價單、辦公指南、銷售指南一類的印刷品發放。這類印刷品的生產既昂貴又耗時,而且不能直接送到員工手中。另外,這些資料無法經常更新,由於又費時有昂貴,很多公司在規章制度已經變動了
的情況下也無法及時準確的通知下屬員工執行新的規章。如何保證每個人都擁有最新最正確的版本?如何保證公司成員及時了解公司的策略和其它信息是否有改變?利用過去的技術,這些問題都難以解決。市場競爭激烈、變化快,企業必須經常進行調整和改變,而一些內部印發的資料甚至還未到員工手中就已過時了。浪費的不只是人力和物力,還浪費非常寶貴的時間。 解決這些問題的方法就是聯網,建立企業的信息系統。已有的方法可以解決一些問題,如利用E-mail在公司內部傳送郵件,建立信息管理系統。Internet技術正是解決這些問題的有效方法。利用Internet各個方面的技術解決企業的不同問題,這樣企業內部網intranet誕生了。
典型套用
Intranet使各行各業的企業從中受益,利用Intranet一定程度地解決了企業戰略目標實現上的一些瓶頸問題,如辦公效率低下、新產品開發能力不足、生產過程中成本太高或生產計畫不合理等。企業將其信息存放於Web頁面中,使其信息可以得到迅速利用,其信息的製作、列印和傳播等費用可大大節省,同時為用戶迅速、方便地了解和獲取信息提供了一條方便的道路。其在企業中的典型套用有:
企業的人事資源管理;
企業財務管理;
企業的 文檔管理及技術資料查詢;
企業的產品開發與研製;
企業的計算機軟體管理。
Intranet能夠為企業提供的服務包括以下項目:
(1)檔案傳送
基於FTP (File Transfer Protocol)協定,企業員工可以在任意兩台計算機間傳送檔案,使用FTP,幾乎可以傳送任何類型的文本檔案、 二進制檔案、圖像檔案、聲音檔案和數據 壓縮檔案等。
(2)信息發布
企業所有的信息都可以在Web伺服器上以HTML頁面的方式發布,發布之後,企業內以及企業外所有對該信息有訪問權的人都可以看到。
(3)管理和業務系統
它可以根據企業工作流程和管理特點建立,員工在 瀏覽器上通過Web伺服器來訪問資料庫,接受管理或了解業務信息。
(4)安全性管理
可以建立用戶組,在每個用戶組下再建立用戶。對於某些需要訪問權的信息,可以對不同的用戶組或用戶設定不同的讀、寫許可權,對於需要在傳輸中保密的信息,可以採用加密、 解密技術。
(5)網上討論組
可以根據需要建立不同的討論組,在討論組中,可以對參加討論組的人加以限制,只有那些對該討論組有訪問權的人才能訪問這個討論組。在討論組中,企業員工可以自由地在網上傳送信息、闡明觀點或提出問題,進行相互交流和溝通。這種交流有利於企業獲得更多的商業機會和商品信息,也有利於促進企業管理,提高生產力和增強競爭能力。
配置
figure 3-8: intranet vpn scenario physical elements
headquarters router 配置
hq-sanjose# show running-config
building configuration...
current configuration:
!
version 12.0
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname hq-sanjose
!
boot system flash bootflash:
boot bootldr bootflash:c7100-boot-mz.120-1.1.t
boot config slot0:hq-sanjose-cfg-small
no logging buffered
!
crypto isakmp policy 1
authentication pre-share
lifetime 84600
crypto isakmp key test12345 address 172.24.2.5
!
crypto ipsec transform-set proposal1 ah-sha-hmac esp-des esp-sha-hmac
mode transport
!
!
crypto map s1first local-address serial1/0
crypto map s1first 1 ipsec-isakmp
set peer 172.24.2.5
set transform-set proposal1
match address 101
!
interface tunnel0
bandwidth 180
ip address 172.17.3.3 255.255.255.0
no ip directed-broadcast
tunnel source 172.17.2.4
tunnel destination 172.24.2.5
crypto map s1first
!
interface fastethernet0/0
ip address 10.1.3.3 255.255.255.0
no ip directed-broadcast
no keepalive
full-duplex
no cdp enable
!
interface fastethernet0/1
ip address 10.1.6.4 255.255.255.0
no ip directed-broadcast
no keepalive
full-duplex
no cdp enable
!
interface serial1/0
ip address 172.17.2.4 255.255.255.0
no ip directed-broadcast
no ip mroute-cache
no keepalive
fair-queue64 256 0
framing c-bit
cablelength 10
dsu bandwidth 44210
clock source internal
no cdp enable
crypto map s1first
!
ip route 10.1.4.0 255.255.255.0 tunnel0
!
access-list 101 permit gre host 172.17.2.4 host 172.24.2.5
!
line con 0
transport input none
line aux 0
line vty 0 4
login
!
end
remote office router 配置:
ro-rtp# show running-config
building configuration...
current configuration:
!
version 12.0
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname ro-rtp
!
boot system flash bootflash:
boot bootldr bootflash:c7100-boot-mz.120-1.1.t
boot config slot0:ro-rtp-cfg-small
no logging buffered
!
crypto isakmp policy 1
authentication pre-share
lifetime 84600
crypto isakmp key test12345 address 172.17.2.4
!
crypto ipsec transform-set proposal1 ah-sha-hmac esp-des esp-sha-hmac
mode transport
!
!
crypto map s1first local-address serial1/0
crypto map s1first 1 ipsec-isakmp
set peer 172.17.2.4
set transform-set proposal1
match address 101
!
interface tunnel1
bandwidth 180
ip address 172.24.3.6 255.255.255.0
no ip directed-broadcast
tunnel source 172.24.2.5
tunnel destination 172.17.2.4
crypto map s1first
!
interface fastethernet0/0
ip address 10.1.4.2 255.255.255.0
no ip directed-broadcast
no keepalive
full-duplex
no cdp enable
!
interface serial1/0
ip address 172.24.2.5 255.255.255.0
no ip directed-broadcast
no ip mroute-cache
no keepalive
fair-queue64 256 0
framing c-bit
cablelength 10
dsu bandwidth 44210
clock source internal
no cdp enable
crypto map s1first
!
ip route 10.1.3.0 255.255.255.0 tunnel1
ip route 10.1.6.0 255.255.255.0 tunnel1
!
access-list 101 permit gre host 172.24.2.5 host 172.17.2.4
!
line con 0
transport input none
line aux 0
line vty 0 4
login
!
end
extranet外聯網配置:
figure 3-9: extranet vpn scenario physical elements
headquarters router配置:
hq-sanjose# show running-config
building configuration...
current configuration:
!
version 12.0
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname hq-sanjose
!
boot system flash bootflash:
boot bootldr bootflash:c7100-boot-mz.120-1.1.t
boot config slot0:hq-sanjose-cfg-small
no logging buffered
!
crypto isakmp policy 1
authentication pre-share
lifetime 84600
crypto isakmp key test12345 address 172.24.2.5
crypto isakmp key test67890 address 172.23.2.7
!
crypto ipsec transform-set proposal1 ah-sha-hmac esp-des esp-sha-hmac
ode transport
!
crypto ipsec transform-set proposal4 ah-sha-hmac esp-des esp-sha-hmac
!
!
crypto map s1first local-address serial1/0
crypto map s1first 1 ipsec-isakmp
set peer 172.24.2.5
set transform-set proposal1
match address 101
!
crypto map s4second local-address serial2/0
crypto map s4second 2 ipsec-isakmp
set peer 172.23.2.7
set transform-set proposal4
match address 111
!
interface tunnel0
bandwidth 180
ip address 172.17.3.3 255.255.255.0
no ip directed-broadcast
tunnel source 172.17.2.4
tunnel destination 172.24.2.5
crypto map s1first
!
interface fastethernet0/0
ip address 10.1.3.3 255.255.255.0
no ip directed-broadcast
no keepalive
full-duplex
no cdp enable
!
interface fastethernet0/1
ip address 10.1.6.4 255.255.255.0
no ip directed-broadcast
ip nat inside
no keepalive
full-duplex
no cdp enable
!
interface serial1/0
ip address 172.17.2.4 255.255.255.0
no ip directed-broadcast
no ip mroute-cache
no keepalive
fair-queue64 256 0
framing c-bit
cablelength 10
dsu bandwidth 44210
clock source internal
no cdp enable
crypto map s1first
!
interface serial2/0
ip address 172.16.2.2 255.255.255.0
no ip directed-broadcast
ip nat outside
no ip mroute-cache
no keepalive
fair-queue64 256 0
framing c-bit
cablelength 10
dsu bandwidth 44210
clock source internal
no cdp enable
crypto map s4second
!
router bgp 10
network 10.2.2.2 mask 255.255.255.0
network 172.16.2.0 mask 255.255.255.0
!
ip route 10.1.4.0 255.255.255.0 tunnel0
!
ip nat inside source static 10.1.6.5 10.2.2.2
!
access-list 101 permit gre host 172.17.2.4 host 172.24.2.5
access-list 111 permit ip host 10.2.2.2 host 10.1.5.3
!
line con 0
transport input none
line aux 0
line vty 0 4
login
!
end
business partner router 配置:
bus-ptnr# show running-config
building configuration...
current configuration:
!
version 12.0
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname bus-ptnr
!
boot system flash bootflash:
boot bootldr bootflas
解決方案
V3虛擬安全系統通過在 磁碟任意分區生成高強度加密檔案,並通過映射該加密檔案成虛擬磁碟分區的方式運行V3 虛擬桌面系統。 V3虛擬安全系統不但可以生成現有作業系統的全新虛擬 鏡像,它具有真實系統完全一樣的功能。進入 虛擬系統後,所有操作都是在這個全新的獨立的虛擬系統裡面,可以獨立安裝軟體,運行軟體,保存數據,擁有自己的獨立桌面。不會對真正的系統產生任何影響。也不會因為真正的系統出問題而影響在 虛擬系統裡面軟體和數據.和傳統的虛擬機不同,虛擬系統不會降低電腦的性能,啟動虛擬系統也不需要等待的時間。同時支持可移動存儲運行,既插既用等等特性。
V3虛擬安全系統和外界 主機系統無法直接互訪,用戶在主機只能訪問主機的 磁碟分區,不能直接訪問V3虛擬安全系統的虛擬磁碟分區。同時用戶在虛擬安全專業版系統環境中也不能直接訪問除自身 虛擬磁碟外的分區,這樣就形成了一個相對封閉的計算機環境,當用戶需要與外界 主機環境交換檔案時只能通過我司獨創的專用檔案交換 資源管理器實現V3虛擬安全系統環境與外界主機環境的單向檔案導入和導出。
伊朗研發
中東北非借網際網路掀起的反政府浪潮似乎對伊朗產生了觸動,為了應對西方利用網際網路對其進行滲透,伊朗已開發出新型的“內聯網”(Internalnetwork)系統,並準備在兩年內將其推廣至全國。在伊朗電信部長RezaTaghipour領導下,伊朗成功開發了這種新型網路系統,可以將伊朗國內的網路與外部世界徹底切斷。
這一新型的內聯網開始將與普通網際網路同時運行,銀行、政府部門及大企業仍可以接入普通網際網路。但它最終將在伊朗取代網際網路,其他穆斯林國家也可以這樣。伊朗國有的網路將是真正的伊斯蘭教義的網路,在宗教和道德層面面向廣大穆斯林。伊朗電信部下屬的研究院院長RezaBagheriAs 2010年12月曾表示,伊朗全國60%的家庭和企業將用上這一新型的“內聯網”。
不過外界並不認為伊朗真的能夠僅僅使用“內聯網”,因為雖然伊朗受西方制裁,但網際網路仍是該國與俄羅斯等貿易夥伴做生意的重要工具,所以內聯、互聯並行似乎更實際。