思科解压缩软件哪个好

思科系统公司所有内容都归思科系统公司1992-2005年版权所有.
重要声明和保密声明.
第1页,共16页思科思科思科思科VPNVPNVPNVPN客户端帮助思科远程接入客户端帮助思科远程接入客户端帮助思科远程接入客户端帮助思科远程接入解决方案提高灵活性和降低成本解决方案提高灵活性和降低成本解决方案提高灵活性和降低成本解决方案提高灵活性和降低成本思科思科思科思科IT案例研究案例研究案例研究案例研究/接入接入接入接入/思科思科思科思科VPN客户端:客户端:客户端:客户端:本案例研究介绍了思科IT部门如何在思科全球网络中部署思科VPN客户端.
思科全球网络目前已经成为全球规模最大、最复杂、最先进的企业环境之一.
思科客户可以利用思科IT部门在这个领域的实际经验,满足类似的企业需求.
在2001年8月,思科系统IT部门的远程接入团队面临着一个危机.
他们在美国最主要的、基于DSL的高速接入解决方案很快将无法使用,因为他们的主要服务供应商——RhythmsNetConnections——已经在2001年8月申请破产,并且承诺只继续提供一个月的服务;在此之后,9000多名一直依赖于CiscoITDSL服务的思科员工将面临服务中断.
远程接入团队需要在一个月的时间内移植9000名用户.
凭他们过去的经验,移植到其他的标准远程接入服务——例如ISDN或者另一种可管理DSL服务——的成本很高,而且需要比他们现有的人手多出10倍的员工.
"但是事实证明,这次危机为思科IT带来了一个很好的契机",思科IT部门的远程接入服务部经理DaveHolloway表示,"它迫使我们考虑其他的选择方案,并且更快地移植到一个VPN解决方案.
这项措施不仅帮助我们节约了大量的资金,而且还改进了客户服务和提高了客户满意度,为实现一些我们在使用其他远程接入方式时从没有想到过的新型服务铺平了道路.
"在过去几年中,远程接入VPN已经成为希望在家中或者外出途中访问公司网络的思科员工的主要远程接入机制.

三年多以来,思科IT部门一直在利用思科VPN客户端软件支持远程接入VPN解决方案.
这种安装在用户的笔记本电脑上的VPN客户端软件可以提供对思科公司网络的远程访问,以及相对的便利性和增强的安全性.
用户可以自行寻找和管理对于这种服务的互联网访问,并向他们的部门报销互联网接入开支.
本案例研究将详细介绍一个强大的远程接入方案——例如我们的基于互联网的VPN——为思科带来的业务优势,并将说明VPN移植的背景、服务部署问题、支持问题、成本节约优势和其他好处,以及思科在远程接入方面的一些未来计划.

背景:业务问题和历史背景:业务问题和历史背景:业务问题和历史背景:业务问题和历史远程接入向来是思科IT部门为我们的最终用户提供的技术支持的重要组成部分,它为最终用户和整个公司提供了很多好处.
十多年以来,思科IT部门一直在为我们的最终用户提供远程接入连接,而且我们一向致力于提供最佳的技术工具,以便为我们的最终用户提供无所不在的高速接入.
通过改用一种基于互联网的高速VPN远程接入解决方案,思科IT部门不仅增强了原先采用的远程接入解决方案的很多优势,而且还获得了很多新的收益.
本节将详细成功案例思科系统公司所有内容都归思科系统公司1992-2005年版权所有.
重要声明和保密声明.
第2页,共16页介绍这些优势,并回顾促使思科IT部门采用我们目前的远程接入解决方案的历史.
远程接入方面的业务问题远程接入方面的业务问题远程接入方面的业务问题远程接入方面的业务问题大部分企业都认为,通过支持一个强大的远程接入解决方案,可以提高生产率和员工满意度.
企业有足够的理由来为员工提供优质的远程接入服务.
但是除了这些好处以外,思科IT部门还发现,一个出色的高速远程接入解决方案可以提供更加强大的功能——它让一个公司真正全球化,为公司提供更高灵活性,以适应突发事件的要求.
另外,基于互联网的VPN远程接入还显著地节约了我们的支持开支、增强了安全性和降低了我们的用户平均成本.
本部分将详细介绍这些优势.
员工生产率员工生产率员工生产率员工生产率远程接入——尤其是高速远程接入——一直被视为提高思科员工生产率的基本手段.

"我们通常会在早晨上班之前登陆(思科内部网);并在晚上回到家之后再次登陆,这样每天会多出一到两个小时接入内部网的时间.

"一位思科员工表示.
过去,由于速度缓慢的拨号远程接入是唯一可选的服务方式,员工通常只是在下班之后上载和下载电子邮件.
但是高速的远程接入意味着员工在家中或者外出途中开展所有的工作,例如访问共享的网络文件或者进行合作会议.
这些功能受到了思科员工的欢迎.
对于很多员工来说,这可以将每个员工每天的生产率平均提升10%到40%.
此外,有些工作员工们可以在家中轻松地完成.
"大部分高效率的工作我都是在家中完成的.
我可以聚精会神地撰写文档,而不会被他人或者电话所打扰",思科IT部门的项目经理LewThorne表示.
在2001年底,思科IT部门将它的用户群从一个由思科IT部门管理的DSL服务移植到了一个由客户端管理的VPN服务.
过去的DSL服务只能支持那些身在RhythmsDSL服务区域之内的员工,而现在的这项服务则可以支持任何可以找到一个互联网服务供应商(ISP)的用户.
这项措施让更多的思科员工可以利用高速的互联网服务提高生产率——在2001年,思科只有9000名DSL用户,但是在2003年,思科拥有超过23000名VPN用户.
员工满意度员工满意度员工满意度员工满意度思科员工发现,高速远程接入使他们非常容易地平衡工作和家庭生活.
这有助于提高员工的士气,让思科可以更加轻松地挽留有价值的员工.
"上周,我必须带两岁的女儿到医生那儿打免疫针",思科的Web开发人员RonMatz表示,"在带她到医生那儿之前,我可以登陆思科网络,工作几个小时,然后再在夜里加班,以弥补耽误的工作时间.

在家办公还让我有很多的时间陪我的女儿",他接着补充到,"在办公室工作有助于保持与同事的联系,而在家工作让我有更多的时间陪伴我的家人.
对我来说,这是一个实实在在的生活质量问题,因而我不希望加入一个不能提供足够的远程接入服务的公司.
"通过在家办公,员工可以陪伴生病的家庭成员,提供紧急的儿童护理,或者需要在家等待设备安装、包裹接收等无法在周末处理的事宜.
另外,可靠的高速远程接入还让思科可以留住那些因为个人原因(例如家庭问题或地区生活费用)而需要或者希望在思科的主要办公地点以外工作的员工.
他们可在全球任何地方找到高速接入的能力让他们可以保持与公司的联系,并且思科可以继续受益于他们的专业经验和辛勤工作.
通过从由思科管理的DSL服务移植到由客户管理的VPN服务,思科让员工可以迅速地找到他们所在地点的最佳高速接入途径,从而让他们获得更好的服务.
一位思科员工解释说:"我们会互相交流关于所在地区的最佳ISP的信思科系统公司所有内容都归思科系统公司1992-2005年版权所有.
重要声明和保密声明.
第3页,共16页息——即带宽最高或者服务记录最佳的ISP.
当思科IT部门允许我选择我自己的远程接入方式时,我选择了一个本地有线网络供应商.
我现在可以获得介于1Mbps到2Mbps之间的下载速度——远远快于我以前的DSL服务.
"全球化全球化全球化全球化成为一家全球性的公司并不只是意味着将业务拓展到全球各地.
全球性的公司还必须能够让其分布在全球各地的员工可以有效地共同协作.
在利用标准的话音和数据网络手段消除了各个工作地点之间的距离之后,在迈向真正全球化的道路上还存在着另一个障碍——时区差别.
"我是一名跨国项目经理.
我必须不停地主办和参加各种电话会议",身在澳大利亚悉尼的跨国项目经理OisinMacAlasdair表示,"因为时区的不同,我通常需要早上5点起床,以便与我的美国同事合作.
有时我还需要工作到深夜,以确保及时地处理在欧洲的工作时间出现的问题.
对我来说,家中的宽带接入是一个非常重要的工作手段,因为它让我在家中可以像在办公室一样的正常工作.

"Oisin指出,他在很多地方的同事都体会到了宽带接入的这种好处.
"利用思科技术——例如宽带VPN解决方案,思科AVVID(集成化话音、视频和数据体系结构)套件中的IP话音服务,以及思科Aironet无线LAN技术,我能够高效率地完成每天的任务,随时获得任何对于我成功开展工作具有重要意义的公司服务,而不需要每天20多个小时待在办公桌前.
我的同事和合作伙伴们也都是这样做的——无论他们是在圣何塞、悉尼还是伦敦",Oisin表示,"尽管我们无法改变时间前进的方式,但是我们可以确保我们的员工协调好他们的工作和个人生活"——以一种成功、有效的方式.

"这的确是一个非常重要的好处",Oisin表示,"坦白地说,没有它我将很难完成自己的工作.
"只限于美国的某些地区,从思科IT部门提供的DSL服务移植到由客户选择的VPN服务,全球各地的员工可以创建他们自己的家庭办公室.
VPN服务可以高速地将他们连接到公司内部网,让他们随时随地更加方便地开展工作.

另外,因为越来越多的员工开始在家办公,思科员工召开会议的方式也在发生变化,从而让跨国团队可以较容易、且更加有效地进行交流.
过去,思科的大部分会议——尤其是在位于加州圣何塞的思科总部举行的会议——以在一个会议室面对面的形式,同时设立一个话音会议桥,供几个来自于全球各地的团队成员打电话出席.

因为公司总部的大部分员工很少利用话音桥参加会议,所以他们并不知道这种会议常常无法满足远程员工的需求——清晰的发言,将声音与会议桥上的其他团队成员隔离开,利用协作式软件(例如IBMLotusSametimeConnect,OpenTextLivelink,或者MicrosoftNetmeeting)共享文档或者演示,口头介绍白板示意图,采用身体语言等.
远程员工——尤其是在欧洲或者亚洲——常常感到他们在与来自公司总部的员工一同参加的会议中,没有获得足够的价值,而他们的挫折感往往导致跨国团队的工作效率降低.
现在,大部分来自公司总部的员工也开始将更多的时间用于远程工作,而且他们也越来越意识到阻碍远程会议成员出席会议方式问题.
由于对这个问题的高度重视,越来越多的团队成员都希望确保会议可以为本地和远程员工提供相同的价值,从而提高跨国团队的数量和工作效率.
灵活性灵活性灵活性灵活性在2002年12月5日,一场异常严重的冰暴袭击了思科位于北卡罗来纳州的三角研究园区的工作地点.
办公楼失去了电力供应.
由于形势过于危险,大部分员工都无法开车上班.
冰暴的影响持续了三天.
如果是在过去,这将思科系统公司所有内容都归思科系统公司1992-2005年版权所有.
重要声明和保密声明.
第4页,共16页导致1000多名员工三天无法工作.
但是,因为几乎所有员工都已经习惯了使用他们的高速远程接入,因而他们在家中能够像在办公室一样高效率地工作.
在2003年四月,严重急性呼吸系统综合症(SARS)的爆发使得思科的员工无法前往亚洲的部分地区.

"在中国的SARS高峰期(四月中到五月中),思科的800名员工中的大部分人员都在家办公.
然而,整个机构的生产率受到的影响微乎其微,只有销售人员的工作遭受了一定程度的影响.
在中国市场,客户关系扮演着一个非常重要的角色.
客户希望他们的供应商可以面对面地为他们提供服务.
但是在SARS期间,全中国都在尽量避免这种面对面的会谈,因此一些辅助工具——例如视频会议——使用率迅速增加.
在最繁忙的日子里,北京的公共骨干网中的流量增长了将近三倍.
在SRAR爆发期间,我们刚刚开始在中国部署思科的IP软电话.
通过与客户的合作,这个项目进展得非常迅速,而且IP软电话很快就投入使用,这表明,IP软电话可以在消除因为只有少量员工在办公室工作而引发的生产率损失方面发挥了极为重要的作用.

"位于北京的思科中国公司IT经理GregDixon表示,"在SARS开始流行时,由于考虑到办公室可能要被迫关闭,我们开始制定应急预案,但是我们感到非常吃惊:我们几乎什么都不需要做,因为我们已拥有准备好的员工家中的宽带VPN.
SARS向大部分机构表明了防灾规划的复杂性.
它有力地证明了话音-数据融合和基于IP网络的VPN技术的重要性.
在SRAR风波逐渐平息之后,业务逐渐走上正规,但是很多客户开始认真地考虑如何为类似的事件做好更加充分的准备.
他们将思科视为这方面的一个典范,因而我们也利用各种机会向他们介绍我们在应对突发事件方面所采取的措施.

"远程接入可以在发生危机时,或者在日常工作中提供更高的灵活性.
"在交通高峰时间,我可能要花两个小时才能到办公室",一位员工表示,"因此,我在我的家庭办公室处理大部分工作,每周只到办公室工作一天.
我通过这种方式大大提高了自己的工作效率,而不需要每天花费四个小时在路上开车.

"外出的员工可以利用VPN连接,通过基本的拨号连接收发电子邮件,以及上载和下载小型文件.
另外,越来越多的宾馆和咖啡厅现在可以提供免费的或者价格低廉的高速互联网接入,因而很多思科员工能够利用这一点,在旅行时有效地开展工作.
基于互联网的高速远程接入的普及也为思科员工提供了一个试用新型服务的平台.
有些思科员工在他们的家庭办公室中拥有一部IP电话或者软电话分机,这让他们可以在思科IP网络上拨打电话.
有些思科员工还在他们的家庭办公室中,利用IP摄像头与思科的其他团队召开视频会议.
本案例研究中的"下一步"部分将会更加详细地介绍上述服务和其他一些即将推出的服务.
手动支持手动支持手动支持手动支持支持一项远程接入服务可能需要大量的人力.
"当我们为9300名思科员工提供专用DSL接入时,我们的远程接入团队包括10名身在圣何塞园区的全职工程师.
我们将大部分安装任务外包给了Rhythms,这意味着Rhythms的工程师将会到员工的家中安装DSL路由器和测试DSL接入,接听求助电话,派遣技术人员到员工家中解决问题.
这让我们可以将我们的工作重心从解决故障转移到管理Rhythms.
但是我们自己的思科IT远程接入工程师仍然必须为不思科系统公司所有内容都归思科系统公司1992-2005年版权所有.
重要声明和保密声明.
第5页,共16页在Rhythms服务区内的员工提供服务,因而我们仍然不得不支持使用帧中继和ISDN的员工,而且我们必须自行设置和支持他们的路由器.
这是一项非常费时的工作.
我们还在本地维护着一个大规模的拨号接入服务.
每月大约有700名新增的或者注销的DSL用户,因而我们需要与Rhythms核算帐目和终结服务.
这也非常花费时间.
"思科IT部门的远程接入经理DaveHolloway表示,"现在,几乎所有的思科员工都可以选择他们自己的宽带VPN远程接入服务,我们不需要执行安装或者支持任务,也不需要核算帐目.
我们已经将我们的大部分工程师调到思科的一些更加重要的工作岗位.
我们目前在圣何塞园区有两个承包商和一名工程师负责我们所需要的所有远程接入工作,其中大部分现在已经变成主动的规划,而不是被动的维护.
"本案例研究的"下一步"部分还将详细介绍思科对于主动规划的重视.
安全安全安全安全"在由Rhythms为我们处理服务终止任务时,需要大约两到三天的时间才能终止一个离职员工的远程接入服务.

在此期间,他们仍然可以访问我们的网络——尽管他们已经离开思科.
这对思科构成了安全威胁",DaveHolloway表示,"现在,因为我们已经移植到了互联网VPN接入服务,我们不需要关闭一个帐号;离职员工可以自行终止自己的接入服务.
我们所要做的就是从身份验证、授权和记帐(AAA)服务器上终止离职员工的访问权限.
我们在24小时之内就可以完成这项任务.
"成本成本成本成本提供由用户管理的VPN服务的成本大约只是提供由思科IT部门管理的高速接入服务的一半.
每个思科员工购买互联网接入服务的成本取决于他们所在地区是否存在价格低廉的网络服务,以及可供选择的互联网接入服务类型(可能包括ISDN、DSL、有线网络或者租用线路),但是它的成本仍然只是由思科提供的DSL接入服务的大约一半.
在可能的情况下,员工可以向他们的部门报销部分费用.
因此,与由思科IT部门管理的远程接入DSL服务相比,由用户管理的互联网VPN服务可以显著地降低用户平均成本.
除了这些成本节约优势以外,思科还可以节约大量的管理成本.
在2001年末向VPN的移植所使用的成本由多种因素构成,本案例研究的"成效"部分中的"节约"将详细介绍这些因素.
历史历史历史历史十多年来,思科IT部门一直在利用多种技术支持员工的远程接入需求.
我们致力于利用各个时代最先进的技术提供最佳的远程接入服务.
这些技术已经从异步拨号、ISDN、帧中继或者其他基于专用线路的协议、DSL发展到最新的VPN.
本节将概括地介绍思科IT部门在过去十年中支持的各种远程接入解决方案.
在1993年,异步拨号成为了IT提供的第一个广为部署的远程接入解决方案.
当时,用户通过拨号,连接到位于加州圣何塞的调制解调器池.
在1995年,圣何塞成为了思科第一个采用CiscoAS5100通用接入服务器和基于客户端PC的拨号软件的思科地点.
随着思科在美国东海岸和其他地区的业务拓展,这项服务随后被推广到位于北卡罗来纳州的三角研究园区和思科在全球各地的其他一些办公地点.
随着时间的发展,CiscoAS5100接入服务器升级到CiscoAS5200通用接入服务器,而且思科在美国推出了一项全国性的免费800服务.
思科在1998年与Equant合作,首次推出了第一个国际性的异步拨号接入服务,从而为思科在全球各地的几乎所有员工提供了远程接入.
然而,拨思科系统公司所有内容都归思科系统公司1992-2005年版权所有.
重要声明和保密声明.
第6页,共16页号接入的带宽限制仍然让我们的最终用户感到不满,因而思科IT部门推出了速度更快的远程接入服务.
在1996年,思科首次向少量用户提供了ISDN服务.
它支持多种最终用户设备,包括Cisco700系列ISDN接入路由器和Cisco3600系列多服务平台路由器,但是主要是Cisco800系列路由器.
这种ISDN服务的用户群最终扩大到了大约1000名客户.
但是,这个解决方案存在很多限制,包括总拥有成本的提高,这主要源自于管理成本和供应商成本的提高.
思科IT部门的管理成本较高的原因是思科IT远程接入工程师必须在安装时手动设置和测试每个最终用户的Cisco800系列路由器,以便解决问题.
另外,用户在长时间连接时需要交纳较高的ISDN费用.
因为大部分服务供应商都根据连接时间对ISDN服务收费,所以这使它成为了一个昂贵的解决方案.
由于性能的提高,大部分用户使用ISDN服务的时间都长于异步拨号服务,有些用户甚至因为某种原因在一天的大部分时间里都保持联网,其中最主要的原因是Windows2000会进行频繁的DNS解析和无限期地保持连接.
"在Windows2000推出之后的前几个月,思科IT部门的ISDN成本几乎增加了三倍,因而我们必须设法降低ISDN费用",圣何塞远程接入团队的首席工程师PlamenNedeltchev表示.
思科IT开始寻找成本较低的替代方案.
帧中继为那些ISDN接入成本较高,但是又需要长时间联网的ISDN用户提供了一种有效的替代方式.
思科部门IT必须与一些服务供应商合作,为用户家庭提供帧中继连接.
这种服务的范围非常有限——很多思科员工无法获得帧中继服务,而且如果用户与服务供应商总部的距离超过30英里,服务成本就会大幅度增加.
与ISDN一样,帧中继需要思科IT远程接入工程师用更多的时间为其提供部署、运营和管理支持.
支持该服务的客户端设备包括Cisco1000系列路由器、Cisco1600系列路由器、Cisco3600系列多服务平台和Cisco4000系列路由器.
尽管帧中继服务不是按小时收费,但是它仍然比较昂贵,因此只有三百多名思科用户使用这项服务.

随着互联网的迅速发展和DSL、宽带有线网络等家用宽带接入方式的出现,IT开始与多家服务供应商和多系统运营商(MSO)合作,为用户家庭提供宽带接入服务.
思科IT部门在为思科员工提供一个可管理DSL服务方面面临的最大挑战是,他们必须谨慎地评估不同规模的服务供应商,以及他们的服务区域(这决定了他们所能支持的思科员工的数量),他们可以承诺的服务水平协议,以及他们所提供的服务的成本.
我们的目标是以合理的成本,为大部分员工提供最佳的服务.
我们选择RhythmsCommunications作为我们的合作伙伴,为美国境内的思科远程接入用户提供专用xDSL连接.
RhythmsDSL服务是一种有效的"专用"DSL服务,可以为思科公司内部网提供直接的虚拟电路连接.
第一批客户在1998年获得了Rhythms所提供的服务.
Rhythms为我们的客户提供了专用DSL服务,并在Rhythms和思科内部网之间提供了专用的45Mbps租用线路DS3连接.
员工利用Cisco600系列路由器连接到这个DSL网络,稍后又移植到Cisco800系列路由器.
思科IT的远程接入客户群包括9000多名美国用户.
挑战挑战挑战挑战2001年,在很多DSL公司纷纷破产之后,RhythmsCommunications公司也变得岌岌可危.
就在思科IT部门寻求可管理DSL服务的其他备用服务选项时,Rhythms提出了破产申请,建议思科IT部门在很短的时间内将我们的包括9000多名远程接入用户的客户群移植到新的服务.
"当时是2000年11月,我们必须在两周多一点的时间内将9000多名DSL用户移植到另一种服务",思科IT部门的远程接入团队的DSL技术负责人LainieVanDoornewaard表示.
她补充指出:"将用户移植到远程接入VPN是当时的最佳选择.
这可以让思科IT部门摆脱成本高昂的可管理服务模思科系统公司所有内容都归思科系统公司1992-2005年版权所有.
重要声明和保密声明.
第7页,共16页式.
"随着Rhythms在2001年的破产和对于"随时随地"连接的日益增长的需求,思科IT部门评估了多种服务,最终选择了一种新的模式:由用户管理的服务,例如VPN.
按照这种模式,用户自行负责提供他们自己的互联网连接,而思科IT部门则负责提供和支持从互联网网关到思科公司网络的VPN连接.
这种方式为员工带来了很多好处,其中最主要的是互联网接入的范围要比原先的服务模式广泛得多.
这使得更多的员工可以利用这种新的远程接入模式,美国的远程接入用户的人数从10000人增长了一倍以上,达到23000人.
除了23000名互联网VPN用户以外,还有大约200名帧中继用户、1200名ISDN用户、30名T1用户和200名与SBC签约的可管理DSL用户.
这些额外的客户大部分都是那些无法在家中获得任何形式的宽带接入服务,因而无法使用自行管理的VPN的用户.
另外,思科员工仍然可以使用由思科与Equant、iPass合作支持的异步拨号服务,并利用这些供应商所提供的VPN和第二层传输协议(L2TP)连接到思科.
解决方案解决方案解决方案解决方案此前,思科IT远程接入部门已经对基于VPN的远程接入服务进行了几个月的测试,因而为将它的用户群从由服务供应商管理的服务模式移植到一种由用户管理的模式做好了充分的准备.
这种由用户管理的模式需要用户承担起管理他们的互联网连接的责任和主导权,并缴纳一次性的安装费用和每月的服务费用(经管理人员批准,可以由公司报销).
思科IT部门的责任缩减为帮助用户安全地连接到公司网络.
另外,IT部门还为支持VPN客户端软件的安装和设置提供了多种工具,并为用户在VPN连接方面遇到的问题提供长期的技术支持.
服务介绍服务介绍服务介绍服务介绍从1998年到2000年,思科IT部门一直在寻求最佳的远程接入VPN战略.
我们考察了来自IRE和RedCreek等公司的OEM产品,考虑能否通过在思科VPN产品中集成IP安全(IPSec)功能,提供安全的远程接入服务.
随着思科于2000年初对Altiga公司的收购,思科加强了它的远程接入VPN产品系列.
同时,思科还收购了CompatibleSystems公司.
在经过谨慎的测试和评估之后,IT部门决定选用Altiga的产品系列支持我们的内部企业VPN部署,并根据服务供应商的需要改进CompatibleSystems公司的VPN解决方案.
思科IT部门与营销和业务部门进行了密切的合作,测试和改进VPN软件(软件VPN客户端和CiscoVPN3060集中器),确保它们非常便于管理,并且可在整个公司部署.
思科ITVPN部署计划包括对软件和硬件VPN产品的实验室测试,一个有限范围的用户试用,以及在最终投入实际部署之前的扩大范围试用.
思科IT部门以两个一组(例如加州圣何塞)或者四个一组的形式,为所有拥有互联网连接的思科办公地点部署了CiscoVPN3060集中器.
这些CiscoVPN3060集中器被部署于加州圣何塞、北卡罗莱纳州RTP、荷兰阿姆斯特丹、日本东京和澳大利亚悉尼.
马萨诸塞州Chelmsford、以色列特拉维夫、新加坡、德克萨斯州Richardson和中国香港后来也加入进来,以提供更多的本地VPN头端支持(如图2所示).
VPN服务首先于2000年9月5日以小范围用户试用的形式推出.
接受测试的思科VPN客户端的第一个版本是2.
5版,但是该版本当时不支持Windows2000平台.
该平台在几个月后将成为思科WindowsPC平台的标准操作系统.
因此,工程师开发了一个可以支持Windows2000平台的过渡版本2.
6版.
最终,他们开发了3.
0版,并将其放到了Cisco.
com上.
3.
0是第一个可以支持Windows2000PC的正式版本.
3.
0版的集中器功能包括通过集中器群支持负思科系统公司所有内容都归思科系统公司1992-2005年版权所有.
重要声明和保密声明.
第8页,共16页载平衡和支持用于安全管理的SecureShell(SSH)协议.
思科IT部门发现,任何需要VPN服务的用户都必须具备下列条件:互联网连接互联网连接互联网连接互联网连接——用户需要自行从他们所选择的本地服务供应商那里获得他们的互联网连接.

IT部门并不会对ISP选择流程施加影响,而是只会提供一个某个特定地区的可选服务供应商的参考列表.
思科IT部门并不会与服务供应商商讨任何服务合同或者特殊的公司协议,用户需要自行负责挑选符合他们需要的ISP.
但是,思科员工很快就学会了如何解决在选择他们所在地区的最佳ISP方面存在的问题,并且经常通过电子邮件交流这些信息.
SofTokenSofTokenSofTokenSofToken或者或者或者或者DESDESDESDES金卡帐号金卡帐号金卡帐号金卡帐号——思科信息安全机构要求思科员工在互联网上使用一次性密码访问思科内部网服务.
这需要用户拥有一个SofToken或者DES卡帐号.
SofToken(一种PC应用)和DES金卡(一种由员工单独携带的硬件卡)需要员工输入一个密码,而后它们就会生成一个符合VPN安全访问控制服务器要求的一次性密码.
因为办理DES卡需要一定的成本,思科建议用户使用SofToken,除非需要连接多台计算机(SofToken一次只能用于一台计算机.
)WWWWiiiindowsndowsndowsndows操作系统操作系统操作系统操作系统——目前,思科IT部门只支持基于Windows的思科VPN客户端软件,因而远程接入用户必须拥有一台WindowsPC,才能连接到公司网络.
思科正在测试对于非Windows客户端的VPN支持.
VPN客户端的Linux版本目前只能在美洲和EMEA地区的部分试用项目中使用,尚未获得全面的支持.
在目前的试用项目成功结束之后,思科还快将会对其提供全面支持.
授权和报销(可选)授权和报销(可选)授权和报销(可选)授权和报销(可选)——经过管理人员的批准,客户端可以通过思科的内部退款工具报销他们的ISP服务安装费用和每月的服务费用.
思科报销金额的限额为:一次性安装费用500美元,每月服务费用100美元.
图图图图1圣何塞VPN头端架构思科系统公司所有内容都归思科系统公司1992-2005年版权所有.
重要声明和保密声明.
第9页,共16页网络架构和设计网络架构和设计网络架构和设计网络架构和设计图1显示了圣何塞的远程接入VPN网络的体系结构.
该图显示了VPN头端的主要组件,但是并不包含思科IT部门的内部服务架构的所有组件.
其他具有VPN头端智能的地点的网络架构与圣何塞类似,或者只包含圣何塞架构中的部分组件.
小型办公地点通常装有两台VPN集中器,而有些小型地点只有一个接入网关.
下面几节将详细说明这种网络架构的一些技术细节,其中包括网络连接、负载平衡、安全、分离隧道策略、客户端支持和管理.
网络连接网络连接网络连接网络连接————————CiscoVPN3060集中器连接到一个公司互联网接入网关中.
集中器的公共和专用接口都连接到同一个网关.
这是因为CiscoVPN3000系列集中器现有的限制——CiscoVPN3000系列集中器只有三个接口,因而无法在集中器和接入网关层之间提供双路冗余路径对.
接入网关先连接到骨干网路由器,后者再连接到保护内部网络的防火墙.
这些防火墙为集中器的虚拟IP地址开放了端口UDP500(用于ISAKMP)、端口50(用于ESP)和UDP10000(用于UDP所使用的IPSec).
集中器通过快速以太网连接到接入网关,并且配有只想接入网关的缺省静态路由.
这种网络设计需要为VPN集中器网络使用基于思科IT标准增强边界网关路由协议(EIGRP)——而不是路由信息协议(RIP)或者开放最短路径优先(OSPF)——的静态路由,以简化配置和支持.
负载平衡负载平衡负载平衡负载平衡————————加州圣何塞园区的网络设计包括四台构成一个群集的CiscoVPN3060集中器.
这样可以为思科IT部门的VPN解决方案提供负载平衡.
每个集中器都配有相同的优先级,因而可以平等地分担负载.
这确保了集中器的负载得到公平的分配.
安全安全安全安全————————思科IT部门采用的公司加密标准是三重数据加密标准(3DES).
这种级别的加密也被应用于VPN服务中.
IT和公司信息安全(Infosec)团队都在评估将高级加密标准(AES)作为未来的加密算法的可能性.
用户需要用一个由SofToken应用或者DES金卡提供的一次性密码进行身份验证.
通过配置,集中器可以通过基于UNIX的思科安全访问控制服务器(ACS),验证用户的身份.
目前,集中器支持基于UNIX的CiscoSecureACS2.
5版.
思科IT部门计划将其移植到基于Windows的思科安全ACS.
经过设置,CiscoSecureACS将通过Safeword服务器进行一次性密码身份验证.
思科IT部门目前并不会对所有对外VPN执行Infosec策略.
在必须要从思科网络建立一个指向某个客户或者合作伙伴的VPN连接时,Infosec将会设立一个案例,并根据这样做的必要性判断是否允许对外使用IPSec.
分离隧道策略分离隧道策略分离隧道策略分离隧道策略————————分离隧道是指在用户接入公司VPN时控制用户的互联网流量的流向,让用户的公司流量可以通过VPN隧道进入公司内部网,同时让用户的公共互联网流量直接发送到互联网,从而减轻公司内部网网关的负担.

Infosec的策略是禁用分离隧道功能,因为它在互联网和企业内部网之间建立了一条不安全的路径(临时性路径).
通过禁用分离隧道功能,用户的所有流量都将流经思科公司的ISP网关.
这样做虽然增加了网关需要处理的流量,但是消除了安全威胁.
分离隧道实际上是一种流量管理功能,而不是一种网络安全功能.
VPN产品团队建议在安全性是最关键的因素时,关闭分离隧道,而不是带宽限制.
这是因为启用分离隧道会让客户有可能遭受到互联网攻击、特洛伊木马、蠕虫和病毒的威胁.
这种"禁用分离隧道"的策略由VPN集中器通过模式配置进行控制,而最终用户无法加以修改.
寻址寻址寻址寻址————————思科ITVPN解决方案采用了思科模式配置支持.
它用于从头端控制策略和从中央地点管理连接信息.
VPN客户端的IP地址从集中器上设置的一个中央地址池中分配.
接入路由器配有指向VPN头端集中器的静态路由,以获得它们各自的地址池.
思科系统公司所有内容都归思科系统公司1992-2005年版权所有.
重要声明和保密声明.
第10页,共16页管理管理管理管理————————思科IT工程师利用SSH或者安全套接字层来访问集中器,以提供最大限度的安全性.
对集中器的监控是通过EMAN(思科IT的企业管理工具)实现的.
它可以提供可用性、负载、性能和其他统计数据.

支持支持支持支持全球技术响应中心将VPN作为一项优先级较低(四级优先级,即P4)的服务提供支持.
它会在两个工作日之内对客户提出的问题做出答复.
不限于单个用户的、严重的VPN服务中断是一项P2服务.
思科IT远程接入部门还编写了很多用户支持文档.
其中所提供的信息可以帮助客户选择ISP、管理VPN服务、设置家庭网络以支持VPN,了解安全和计费政策,以及获得一些常见问题的答案.
图图图图2VPN集中器在全球的分布情况成效成效成效成效现在,用户可以从任何一个具有公共互联网连接的地方访问公司网络.
这包括有线连接和在机场、餐厅、宾馆和其他公共场所日益增多的无线热点.
在2003年7月之前,全球远程接入VPN解决方案已经在九个核心集中器地点获得支持.
这些地点是:加州圣何塞、北卡罗莱纳州三角研究园区、德克萨斯州Richardson、马萨诸塞州Boxborough、澳大利亚悉尼、荷兰阿姆斯特丹、以色列特拉维夫、中国香港和日本东京(如图2所示).
思科计划在不久的将来,在印度班加罗尔和新加坡添加VPN集中器.
目前全球大约有23000名注册用户在使用VPN客户端.
基于互联网的宽带VPN已经成为思科的一种广受欢迎、普遍使用的生产率提升工具.
思科系统公司所有内容都归思科系统公司1992-2005年版权所有.
重要声明和保密声明.
第11页,共16页通过移植到VPN,思科IT部门能够大幅度地降低提供远程接入的平均用户成本.
此外,思科IT部门能够大大减少用于安装和维护远程接入最终用户设备的人手.
尽管由于基于互联网的VPN的受欢迎程度和普遍性,我们的最终用户的人数增加了大约2.
5倍,但是我们的总成本只是略有增加.
下面的"成本节约"部分将详细地介绍这些成本.

另外,通过提供关于产品和服务的反馈信息,思科为面向所有其他企业客户的VPN产品的改进做出了重要的贡献.
我们还将在本案例研究的"经验和教训"部分总结我们在管理一个大规模VPN连接部署方面所积累的经验.
成本节约成本节约成本节约成本节约与思科IT部门管理的专用DSL服务相比,由用户管理的宽带VPN服务可以显著地降低用户服务成本和服务管理成本.
用于提供由思科管理的DSL服务的用户服务成本大约为每个用户每月100美元.
相比之下,平均每个思科员工购买互联网接入服务的成本大约只是前者的一半(大约每月50美元),不过这在很大程度上取决于他们所在的地点和可供他们选择的互联网接入服务类型(其中包括ISDN、DSL、有线网络或者租用线路).
思科专门制定了一项授权政策,要求管理人员对报销VPN月服务开支(每月最高100美元)的申请进行审批.
前期部署成本平均为每个员工大约60美元,而互联网接入开支平均为每个员工每月50美元,这大约是思科为完全采用RhythmsDSL服务缴纳的费用的一半.
因此,与由思科IT部门管理的专用DSL服务相比,由用户管理的宽带VPN服务可以每人每月节约大约50美元,即约总成本的50%.
随着思科IT部门从由IT管理的DSL服务转向由用户管理的VPN服务,服务管理成本也大幅度减少.
十名思科IT远程接入工程师中的九人都被调往IT部门的其他职位,另外远程接入部门还聘请了两个承包商来协助支持远程接入服务.
人员的大幅度精简使IT部门每月可以节约超过90000美元的IT远程接入预算.
通过将大约10000名用户从专用的DSL服务移植到由用户管理的VPN服务,思科IT部门每月可以节约49.
6万美元的远程接入成本,投资回报期大约为6个月(如表1所示).
表表表表111110000名DSL用户与10000名VPN用户的成本对比客户客户客户客户客户一次性成客户一次性成客户一次性成客户一次性成本(美元)本(美元)本(美元)本(美元)总一次性成本总一次性成本总一次性成本总一次性成本(美元)(美元)(美元)(美元)客户每月成本客户每月成本客户每月成本客户每月成本(美元)(美元)(美元)(美元)总月成本总月成本总月成本总月成本(美元)(美元)(美元)(美元)移植之前移植之前移植之前移植之前RhythmsDSLRhythmsDSLRhythmsDSLRhythmsDSL服务费用服务费用服务费用服务费用9366100936600远程接入远程接入远程接入远程接入ITITITIT员工(人力)成员工(人力)成员工(人力)成员工(人力)成本本本本————————10101010名工程师名工程师名工程师名工程师120000移植前总计移植前总计移植前总计移植前总计93661056600移植后的非移植后的非移植后的非移植后的非VPNVPNVPNVPN由由由由SBCSBCSBCSBC供应商管理-供应商管理-供应商管理-供应商管理-RLANRLANRLANRLAN22811025080SBCDSLSBCDSLSBCDSLSBCDSL,,,,VPNVPNVPNVPN(由用户管理)(由用户管理)(由用户管理)(由用户管理)283318050994067189811827827827827路由器成本路由器成本路由器成本路由器成本3061180550980827827827827控制、配置成本控制、配置成本控制、配置成本控制、配置成本3061180550980线路安装、项目协调成本线路安装、项目协调成本线路安装、项目协调成本线路安装、项目协调成本3061180550980由用户管理的由用户管理的由用户管理的由用户管理的VPNVPNVPNVPN630515094575050315250远程接入远程接入远程接入远程接入ITITITIT员工(人力)成员工(人力)成员工(人力)成员工(人力)成30000思科系统公司所有内容都归思科系统公司1992-2005年版权所有.
重要声明和保密声明.
第12页,共16页本本本本————————一名工程师,两名顾问一名工程师,两名顾问一名工程师,两名顾问一名工程师,两名顾问移植后总计移植后总计移植后总计移植后总计93663108630560141月成本节约总计月成本节约总计月成本节约总计月成本节约总计496459回收期回收期回收期回收期6.
3个月但是,在2001年末,一个重要因素使VPN服务的移植成本变得更加复杂.
原先的可管理DSL服务无法供很多用户使用,因为RhythmsDSL服务的范围非常有限.
但是当我们移植到基于互联网的VPN接入模式以后,可以使用这项服务的用户远远超过了DSL服务的用户.
在大约一年的时间里,用户人数从9300人上升到了超过23000人,增加了一倍多.
因此,尽管每个用户的平均成本减少了一半,但是思科的总成本还是上升了18%.
尽管如此,我们以大约相同的价格,让比以前多出一倍半的用户可以获得高速远程接入,从而提高他们的生产率(如表2所示).
表表表表222210000名DSL用户与23000名VPN用户的成本对比客户客户客户客户客户一次性客户一次性客户一次性客户一次性成本(美元)成本(美元)成本(美元)成本(美元)总一次性成本总一次性成本总一次性成本总一次性成本(美元)(美元)(美元)(美元)客户每月成本客户每月成本客户每月成本客户每月成本(美元)(美元)(美元)(美元)总月成本总月成本总月成本总月成本(美元)(美元)(美元)(美元)移植之前移植之前移植之前移植之前RhythmsDSLRhythmsDSLRhythmsDSLRhythmsDSL服务费用服务费用服务费用服务费用9366100936600远程远程远程远程接入接入接入接入ITITITIT员工(人力)成员工(人力)成员工(人力)成员工(人力)成本本本本————————10101010名工程师名工程师名工程师名工程师120000移植前总计移植前总计移植前总计移植前总计93661056600移植后的非移植后的非移植后的非移植后的非VPNVPNVPNVPN由由由由SBCSBCSBCSBC供应商管理-供应商管理-供应商管理-供应商管理-RLANRLANRLANRLAN22811025080SBCDSLSBCDSLSBCDSLSBCDSL,,,,VPNVPNVPNVPN(由用户管理)(由用户管理)(由用户管理)(由用户管理)283318050994067189811827827827827路由器成本路由器成本路由器成本路由器成本3061180550980827827827827控制、配置成本控制、配置成本控制、配置成本控制、配置成本3061180550980线路安装、项目协调成本线路安装、项目协调成本线路安装、项目协调成本线路安装、项目协调成本3061180550980由用户管理的由用户管理的由用户管理的由用户管理的VPNVPNVPNVPN200001503000000501000000远程接入远程接入远程接入远程接入ITITITIT员工(人力)成员工(人力)成员工(人力)成员工(人力)成本本本本————————一名工程师,两名顾问一名工程师,两名顾问一名工程师,两名顾问一名工程师,两名顾问30000移植后总计移植后总计移植后总计移植后总计936651628801244891每月增加成本每月增加成本每月增加成本每月增加成本188291用户人数增加幅度用户人数增加幅度用户人数增加幅度用户人数增加幅度146%成本增加幅度成本增加幅度成本增加幅度成本增加幅度18%经验与教训经验与教训经验与教训经验与教训我们预计,在移植到一个由客户管理的VPN服务的过程中,最大的挑战可能是在服务的用户管理部分——用户可能会在自行选择ISP、安装服务和获得支持方面遇到困难.
思科IT部门一直都在为我们的用户处理这些所有的问题,因而我们不确定我们能否成功地将这种责任转交给最终用户.
然而后来的事实表明,用户在选择ISP、安装服务和管理他们自己的互联网供应商方面遇到很少的问题.
思科系统公司所有内容都归思科系统公司1992-2005年版权所有.
重要声明和保密声明.
第13页,共16页最初,思科远程接入部门所接到的求助电话主要都是关于在初次使用时遇到的问题.
用户现在必须建立一个VPN隧道,这需要运行VPN客户端软件和在每次连接到思科内部网时输入一个用户名和密码——大约每天一次.
获得经过思科IT部门批准的一次性密码需要打开和运行另一个应用——SofToken.
在熟悉了运行VPN客户端软件和用以生成密码的SofToken软件的流程之后,整个过程只需要30秒钟就可以完成.
但是在初次使用时,用户可能会觉得有些困难.
思科IT远程接入团队编写的用户手册非常详细地介绍了整个过程的每个步骤,因而可以为用户提供重要的帮助.
但是,并非所有用户都知道这个资源的存在,因而他们会向内部支持部门寻求帮助.

VPN用户面临的另外一个难题是合理地配置用户要求互联网的稳定性.
互联网的稳定性将会影响到VPN隧道的稳定性.
短时间的中断与用户的ISP的互联网连接通常不会被标准互联网连接的最终用户所察觉;但是这个中断可能会导致VPN隧道的中断,因而需要用户重新获取一次性密码和建立VPN隧道.
尽管整个过程所用时间不会超过1分钟,但是因为用户在初期可能不太了解内情,会感到一些不满.
有些用户报告说他们的VPN隧道连续几周或几个月都没有中断,而有些用户则报告说他们在一周内要重建好几次VPN隧道.
与最大传输单元(MTU)有关的问题仍然是最常见的技术问题之一,但是随着最新的思科VPN客户端软件4.
0版本的推出,这方面的问题已经大为减少.
这个新版本为IPSec接口提供了一个单独的虚拟适配器.
"常见的问题包括用户能够浏览网页,但是无法收发电子邮件,尤其是带有的邮件,无法访问NT共享等",GTRC的分析师SonnyParmar表示.
以前的方法要求用户利用旧版本的客户端软件中的"设置MTU"选项,改变MTU值.
但是如果客户端使用的DSL采用了基于以太网的点对点协议(PPPoE),那么这种方法更加困难,因为在PPPoE客户端上调节MTU需要更多的时间.
在思科VPN客户端4.
0版中,它通过添加一个单独的虚拟适配器解决了这个问题.
前期的另外一个经常导致困扰的技术问题是VPN客户端的升级.
思科IT部门开发的客户端安装软件的部分版本没有更改Windows注册表的部分内容,因而需要手动清除或者更改这些内容.
支持人员会帮助用户执行这项任务,但是它占用了IT支持人员相当的时间.
在3.
6版本和所有后续版本中,内部集成的Microsoft安装程序将会自动进行这些注册表改动.
过去纪录的另外一个技术问题是某些ISP(包括AT&T有线网络服务)要求他们的用户在接入ISP网络时更改他们的计算机名.
但是在更改了计算机名之后,用户会发现他们不再是思科IT有效目录域的成员,因而他们无法通过VPN接入思科网络,或者在连接后传输流量.
思科IT部门建议员工使用NetSwitcher——一种可以通过创建不同的系统档案,为计算机解决这个问题的软件应用.
员工可以从SoftTracker下载NetSwitcher.
它由GTRC提供支持.
(AT&T有线互联网接入服务已经更改了它的政策,不再需要用户更改计算机名.

)最后一个技术问题出在思科IT部门安排本地电话公司(SBC)为我们的部分新VPN用户提供基于DSL的VPN接入时.
思科IT部门建议我们的员工使用Cisco827ADSL路由器进行DSL接入,而SBC并不支持Cisco827ADSL路由器.
思科IT部门花费了几个月时间,与SBC一同认证Cisco827路由器,并将对处理Cisco827路由器问题的支持人员的培训列入常规支持流程的一部分.
思科系统公司所有内容都归思科系统公司1992-2005年版权所有.
重要声明和保密声明.
第14页,共16页思科IT部门的其他经验与教训包括:将支持客户端版本数量降至最低——我们发现,我们需要将任何时段提供支持客户端的软件版本数量降至最低.

这有助于大幅度简化支持和诊断.
每个新的客户端版本都包含了多个不同于以往版本的特性,而就每个版本的功能对支持人员进行培训会让诊断流程复杂化.
进行深入的客户端版本测试——我们发现,在将某个新的客户端软件正式投入使用之前,通过闭环式测试和使用(按照某个指定的时间段和截止日期,由至少100名具有不同的技术水平的最终用户进行试用)对其进行深入的测试非常重要.
这让思科IT部门能够及时地发现缺陷和解决办法,撰写用户培训资料和Q&A,以及就常见的问题和解决方法对支持人员进行培训.
将隧道的连接时间延至到最长——在我们首次进行VPN部署时,我们的信息安全部门制定了一项规定,限制一个隧道的连接时间.
他们的规定是丢弃闲置时间超过30分钟的隧道,并丢弃连接时间超过24小时的隧道.
这可以最大限度地减小某个非法用户利用合法用户离开PC的机会盗用某个安全隧道的可能性.
但是,我们很快就发现用户对这项规定感到不满.
用户对于因为离开自己的PC而必须重建VPN隧道感到很不愉快,而且他们认为他们的住宅或者宾馆房间已经足够安全,不必再担心非法用户的影响.
更加重要的是,很多在家工作的应用软件设计师和软件工程师都将他们的任务设置为长时间运行,因而他们再回到计算机前时会发现他们的通讯进程在任务完成之前就被中断,因而他们不得不重新开始,从而浪费了大量的时间.
思科IT部门最终决定,没有时间限制地保持隧道连接的生产率增益比安全威胁的增加更为重要.
因而我们取消了对隧道连接时间的限制.

简化网络架构——我们发现,应当尽可能地简化头端CiscoVPN3060集中器网络的设计.
例如,思科IT部门没有使用Cisco3060集中器的反向路由导入功能,因为它不支持我们所选择的网络路由协议EIGRP.
相反,我们为每台集中器采用了一个专门的IP地址池(RFC1918地址空间),并建立了一个从使用该地址池的接入网关到相应集中器的静态路由.
全球合作——我们还发现,应当密切地与不同的跨国团队合作,以便在发现本地问题之后,立即与其他的跨国团队共享这些问题及其解决方法的信息.
这让我们可以从一个更加庞大、广泛的群体的经验受益,提高我们发现更好的解决方法和支持战略的能力.
下一步下一步下一步下一步现有的VPN解决方案让我们进一步开发一些无法通过其他远程接入服务方式实现的、有意义的服务.
我们对于灵活VPN技术的投资让思科IT部门可以相对比较轻松地更改网络架构,将基本的远程接入与多种其他技术——例如话音、视频、无线——相结合,最终甚至不需要使用VPN客户端软件.
思科IT部门正在致力于通过增加VPN网关数量、加快升级速度、利用更好的加密和数据压缩软件,改进目前的远程接入服务.
我们还希望通过支持用于家庭接入的硬件VPN客户端改进现有的服务,在互联网VPN中支持话音和视频服务,提供外部网VPN连接,通过支持面向PC和PDA的无线连接提高移动能力,为VPN连接使用支持SSL的浏览器,超越基本的VPN软件客户端.
扩大服务范围扩大服务范围扩大服务范围扩大服务范围——思科IT部门计划在一些新的地点部署VPN头端集中器.
目前在全球的很多地方,思科员工必须连接到一个VPN网关地点,但是因为这些地点距离他们非常遥远,给他们造成了很多的不便,而且降低了他思科系统公司所有内容都归思科系统公司1992-2005年版权所有.
重要声明和保密声明.
第15页,共16页们的VPN连接的总体性能.
尽管思科IT部门制定了一项试图通过最大限度地减少网络上的互联网接入点的数量以降低安全风险的策略,我们还是希望能够有效地平衡这种担忧与我们的用户对于更加便利的连接、更高的远程接入性能的需要.
加快升级速度加快升级速度加快升级速度加快升级速度——利用思科VPN客户端软件3.
6版,思科IT部门将使用该软件的Microsoft安装程序版本,这将大大缩短进行质量保障测试和推出一个新版本的VPN软件所需要的时间.
以前的版本需要思科IT部门自行编写我们的批处理安装程序,以便在升级到某个新的VPN客户端版本之前对其进行检测,这影响了我们迅速部署新的升级的能力.
更加严格的加密更加严格的加密更加严格的加密更加严格的加密——思科VPN客户端3.
6版支持高级加密标准(AES).
AES被思科IT部门和思科信息安全机构视为3DES加密的一项替代技术.
AES加密可以根据用户的需求提供多层加密,而且可以提供更高的安全强度和速度.
数据压缩数据压缩数据压缩数据压缩——思科IT部门正在评估数据压缩技术,以便通过占用带宽较少的VPN服务提供更高的吞吐率.
无法获得高带宽的互联网连接的用户不得不使用拨号或者速率有限的DSL连接,因而发现较低的吞吐率会对他们的生产率造成严重的影响.
我们正在设法在VPN客户端中集成软件压缩功能,以帮助这些用户提高吞吐率.
目前,VPN客户端中已经为那些利用VPN连接到公司网络的拨号用户采用了一种压缩技术.
家庭办公室的硬件客户端家庭办公室的硬件客户端家庭办公室的硬件客户端家庭办公室的硬件客户端——家庭办公室用户目前正在试用不同形式的硬件VPN客户端,其中包括CiscoVPN3002硬件客户端和Cisco831以太网宽带路由器.
这让他们可以通过单个VPN隧道连接多个IP终端,提供一个多功能、高效率的家庭办公环境.
这些家庭办公室测试用户正在通过一条由路由器或者硬件客户端建立的安全隧道,将他们的思科IP电话、PC、服务器和摄像头连接到思科.
实践证明,最近针对支持家庭接入的思科路由器的服务质量支持的测试对于为最终用户提供更高质量的话音和视频具有重要的意义.

基于基于基于基于VPN的话音和视频的话音和视频的话音和视频的话音和视频——思科IT部门正在试用在连接到家庭办公室、客户办公室或者宾馆房间的VPN连接上传输话音和视频.
我们已经测试的有:利用硬件客户端使用思科IP电话,以及利用运行在用户PC上的思科IP软电话应用,在基于PC的VPN连接上提供话音.
软电话支持功能目前尚未在所有地区推出,但是它在一些地区进行的试用中得到了支持,并且显示了重要的作用.
外部网连接外部网连接外部网连接外部网连接——思科IT部门正在评估利用远程接入VPN为小型办公地点的外部网合作伙伴提供安全连接的可能性.
思科IT部门计划使用CiscoVPN3060集中器的群组锁定功能,即让思科可以创建多个VPN,并且确保每个用户只能连接到分配给他们的VPN.
思科IT部门将建设外部网VPN.
这将在思科内部网中为每个合作伙伴提供一组数量有限的用于连接的特定终端.
从而提高思科专有信息的安全性.

无线服务供应商支持无线服务供应商支持无线服务供应商支持无线服务供应商支持——思科IT正在评估无线VPN技术,以求为经常外出的销售和营销人员提供"随时随地"的接入服务.
思科IT部门正在与一些支持宽带移动传输技术——包括GPRS和CDMA2000——的服务供应商进行测试.
利用无线技术,用户将能够在乘坐火车或者汽车的同时,保持与内部网的持续连接和完成重要的工作.

另外,思科IT部门正在与一些无线热点供应商(例如iPass)合作,在全球各地的宾馆、机场、咖啡厅和餐厅中无线连接,从而大大提高员工的移动办公能力.
PDA支持支持支持支持——思科IT部门正在考虑将一些支持IPSec标准的个人数字助理(PDA)软件包用作VPN客户端的终端.
支持无线功能的PDA将让思科员工可以获得更高的移动能力.
SSL支持支持支持支持——思科IT部门将评估基于安全套接字层(SSL)的VPN客户端功能.
它们将于今年晚些时候获得支持.
思科IT部门希望能够为所有可以使用一个支持SSL的浏览器的思科员工提供安全的、可以验证身份的VPN连接,而不需要他们安装和使用一个单独的VPN客户端.
注:注:注:注:本文介绍了思科如何通过部署它自己的产品而获益.
本文所介绍的成果和好处可能得益于很多因素;思科并不保证在其他场合下也能取得同样的成果.
思科是以原样提供本文的,不承诺任何明示或者默示的担保,其中包括对适销性或者适用性的担保.
有些司法管辖区不允许排除明示或者默示的担保责任.
在这种情况下,上述有关排除担保责任的规定可能不适用于您.