幾乎可在任意位置實施帶外(OOB)安全高級遠程管理
數字標牌顯示屏隨處可見,就連偏僻鄉村的加油站也有其蹤影�。如今,3G 的廣泛普及和 4G 蜂窩式無線寬帶網絡的出現�,使數字標牌幾乎能夠部署在任意位置。1 當有線寬帶服務不可用時���,這是最佳替代品�,能夠為內容下載和更新提供連接���。
另外���,技術人員也可以使用網絡連接從遠程控制臺集中監控和管理顯示屏。相比派遣人員到現場提供日常支持和維修服務�,遠程管理能夠節省大量的成本和時間。對于需要 3G 連接的顯示屏���,遠程管理會帶來更大的節省���。
高級遠程管理
帶有英特爾® 主動管理技術(英特爾® AMT)2 的英特爾® 博銳™ 技術支持控制臺解決更廣泛的系統問題����,甚至在操作系統關閉時也可以實現����,從而將遠程管理提升到全新水平。例如����,遠程在沒有響應(無法運行或啟動)的標牌系統上維修受損的驅動程序、應用軟件或操作系統���。這些操作能夠通過帶外(OOB)管理功能在英特爾® 博銳™ 技術支持的顯示屏上
完成,詳細描述請見下文����。
英特爾® AMT 的高級功能有助于降低數字標牌的總體擁有成本(TCO),尤其是當系統部署在遙遠的位置時���。針對此類情況�,本白皮書描述了如何使用永久性站點到站點 IPSec VPN 隧道通過 3G 設置英特爾® AMT。實際上���,VPN 隧道可以將管理服務器網絡延伸到接受管理的設備����,讓公司防火墻內的管理控制臺發現和更安全地與防火墻外的數字標牌系統進行
通信���。除數字標牌以外����,這種方法也適用于其它公司防火墻之外通過有線或無線高速網絡連接的嵌入式設備����,例如自動售貨機、信息亭和醫療設備����。還有更多利用英特爾® AMT 通過 3G 或公司防火墻以外的其它網絡管理設備的方法,但這些方法不在本文討論范圍之內���。
英特爾® 主動管理技術的與眾不同之處是什么����?
帶有英特爾® AMT 的英特爾® 博銳™ 技術內建于英特爾® 指定的處理器和芯片組中。
英特爾® AMT 采用一種駐留在芯片上的管理機制���,可用于遠程發現����、修復和保護計算系統�。該電路能夠建立一個全新的通信渠道,即“帶外”鏈路����。該鏈路獨立于計算系統的“帶內”通道,可提供永久性連接���。
這種帶外鏈路采用一個專用管理引擎(ME)����,如圖 1 所示����,支持對未運行的系統加以控制����。英特爾® 博銳™ 技術的其它要素包括 FLASH 設備中的少量內存和一個帶過濾器的防火墻���。英特爾® 以太網和英特爾® 芯片組支持這些過濾器。當系統正常運行時�,英特爾® 處理器運行本地管理服務(LMS)軟件,用于通過本地接口連接 ME�。ME 可執行代碼和數據存儲在FLASH 中,ME 從芯片組的內部內存或從主機內存運行�,使用一個主機看不到的專用區域。
相比之下���,傳統遠程管理控制臺使用標準網絡功能即帶內鏈路(利用設備的操作系統����、CPU 和網絡驅動程序)來與設備進行通信����。當設備出現故障時,這種帶內方法依賴許多設備組件連續運行的缺點就會暴露出來����,從而大大減少能夠遠程修復的問題或故障類型。
英特爾® AMT 包含一個叫作“通過 IP 的KVM 重定向”特性����,允許 IT 控制臺的鍵盤-顯示器-鼠標(KVM)控制和顯示現場標牌系統的圖形用戶界面(GUI)���,無需額外硬件。英特爾® AMT 6.0 KVM 支持需要一個采用 2010 英特爾® 博銳™ 技術和英特爾® 集成顯卡的平臺���。
另外�,英特爾® AMT KVM 還支持播放驗證���,這是一種確認數字標牌顯示屏上實際播放內容的功能����。該功能定期捕獲截屏和時間戳���,證明系統在一天當中播放了什么內容�。在播放驗證出現之前���,廣告商很難驗證他們購買的廣告在實際中是否播出�。
除了花費高額成本派遣審計員到現場檢查顯示屏�,廣告商還不得不依靠接收播放列表來了解廣告播放情況,但是這無法證明標牌系統是否正常運行或者實際顯示的內容是什么����。
通過 3G 實施英特爾® 主動管理技術本白皮書將進一步介紹英特爾® AMT,通過一個配置示例來說明����,公司防火墻內
的管理控制臺如何借助站點到站點 VPN隧道通過 3G 網絡與防火墻外的系統進行安全通信。任何能夠建立站點到站點
VPN 的 VPN 技術(例如 SSL VPN����、PPTP和 L2TP)都有可能在該配置示例中得到運用。VPN 技術已經成熟�,并且能夠在IPsec、MPLS����、ATM、載波以太網或其它網絡技術上運行���。無論采用哪種網絡技術傳輸 IP 流量����,關鍵是在英特爾® AMT 支持的控制臺和英特爾® 博銳™ 技術支持的標牌設備之間實現直接的 IP 級網絡可見性�,以便從控制臺“看到”所有標牌設備。實際上����,通過使用 VPN���,支持數字標牌系統的遠程 LAN 成為了公司網絡的延伸;因此�,隧道一側的數字標牌設備能夠被另一側的管理控制臺看見和發現。使用永久性站點到站點 VPN 而非客戶端 VPN 的原因是�,保持隧道正常運行,甚至在設備關機或無法運行時也可以實現�;這是充分利用英特爾® AMT 的 OOB 管理特性所必需的。
在最簡單的形式中���,實施的關鍵組件包括支持 VPN 的路由器或連接到管理控制臺的設備和支持 VPN 的 3G 調制解調器/網關�。
這個 3G 調制解調器/網關連接著一個或更多英特爾® 博銳™ 技術支持的數字標牌系統����,如圖 2 所示。在實際實施中����,可能有額外的 IT 基礎設施,例如 DNS�、DHCP、CA�、AD 和更多路由器和交換機�,具體情況取決于安全和 IT 策略����,以及所需設備和VPN 連接的數量����。針對本次概念驗證選擇的設備并不意味著,英特爾會為這些設備及其制造商做任何擔保���。數字標牌廠商應當選擇能夠滿足其安全和可用性要求的設備���。
配置示例:通過 3G 實施英特爾® 主動管理技術
英特爾構建了圖 2 中的網絡,并使用Sprint* 無線網絡展示了如何通過 3G 實施英特爾® AMT����。這一部分以及附錄 A-D 將描述路由器和 3G 調制解調器/網關的配置細節,而且盡管描述的是特定網絡要素���,但這些信息也適用于其它網絡和網絡設備���。
Sierra* Wireless AirLink* Raven XE 以太網網關Raven XE 可以用作具備 DHCP 和 VPN 隧道功能的 3G 調制解調器/網關設備。相比簡單的 3G 調制解調器���,該設備可以提供更簡單�、成本更低的解決方案,避免在調制解調器和數字標牌設備之間添加具備VPN 功能的路由器���。Raven XE 支持兩種運行模式:調制解調器和網關����。在調制解調器模式下����,插入 Raven XE 以太網端口的系統與 3G WAN 接口擁有相同的 IP 地址。在網關模式下�,可以選擇為標牌設備
設置本地靜態 IP 地址,或者讓它的 DHCP為一個或更多直接連接或通過交換機連接 Raven XE 的設備分配動態 IP 地址���。因此�,啟用 DHCP 的網關模式可以在網關背后的 LAN 上為每個數字標牌系統提供動態IP 地址���,避免添加路由器���,從而在 RavenXE 背后創建專用 LAN。
該配置示例采用網關模式。盡管調制解調器模式和網關模式都經過測試而且可行,但網關模式更受青睞���。在調制解調器模式下�,可能不需要用 VPN 隧道進行發現����,但為了實現安全���、加密的通信���,最好有 VPN隧道����。在網關模式下����,網關背后專用 LAN上的設備 IP 地址只能被隧道另一側的控制臺和設備看見����;然而�,在調制解調器模式下,直接連接到 Raven 的設備的 IP 地址可以被網絡上的任何用戶看見�,從安全角度來講,這是不可取的���。
通過在 Raven XE 和設備之間添加路由器����,讓 VPN 隧道成為必備組件����,可以解決這一問題。但是����,這種解決方案比使用網關模式需要更高的成本�。
思科* SA520 安全設備在實驗中���,英特爾使用了帶 VPN 功能的基礎 SA520 路由功能����,然而���,更加全面�、能夠建立數百個 VPN 連接的安全路由設備可以為其它實施提供更好的保護���。
配置標牌設備
采用英特爾® 博銳™ 技術的設備必須配置英特爾® AMT,才能使用英特爾® AMT 進行管理���。本次實驗在手動模式下配置了標牌設備����,并啟用了 DHCP�。或許其它配置方法更合適����,具體情況取決于 IT 基礎設施����、安全要求以及其它因素���。
英特爾® AMT 軟件開發套件提供了一系列的推薦設置�,以構建更加安全的配置����。
其它方法包括使用 Kerberos 身份驗證,利用 KVM 重定向端口而非遠程幀緩沖器(RFB)���,同時禁用 KVM 偵聽器(僅在需要開啟會話時啟用)����。
表 1 總結了路由器配置步驟�。
結果
英特爾使用 WebUI 和其它控制臺通過Sprint 3G 網絡成功管理 VPN 隧道上的數字標牌設備。經過測試的使用案例包
括 OOB 庫存和資產管理�、KVM、啟動BIOS�、電源控制特性、網絡隔離和lDE-R����。
標牌無處不在
哪怕是只需要一次現場維修訪問���,數字標牌的投資回報也會大大降低。借助英特爾®AMT����,技術人員可以遠程解決更多問題,從而節省成本���。本白皮書提供了配置和管理采用英特爾® AMT����、通過 3G 網絡連接的標牌設備的重要信息����,開啟了在有線互聯網不可用的地區部署數字標牌的大門�。
如欲了解有關英特爾® 數字標牌解決方案
的更多信息,請訪問:
www.intel.com/go/digitalsignage
附錄概述
附錄 A-D 描述了 Sierra* 3G 網關和思科* 安全設備的 LAN/WAN 和 VPN 配置步驟�。由于網關和防火墻彼此之間必須進行通信,VPN配置表中的必要字段應當包含相同的信息�,如“匹配值”欄所示。換言之���,匹配值相同的配置步驟在相應配置字段中應該有相同的值���。關于配置步驟的更多信息請見下文�。
步驟注釋
1 VPN 1 類型:選擇“IPSec Tunnel”�,
2 VPN 網關地址:這是與公司路由器相關的 WAN IP 地址����。注:路由器中的匹配字段。
3 預共享密鑰 1:用戶設置的身份驗證密鑰�。注:路由器中的匹配字段。
4 我的身份:與 Raven XE 相關的 WAN IP 地址�。注:路由器中的匹配字段。
5 同伴身份:這必須與第 5 步中輸入的值相匹配���。 本地地址類型:選擇“Use the Host Subnet”����。
6 本地地址:這是數字標牌系統的 IP 地址。注:路由器中的匹配字段�。
7 本地地址 — 子網掩碼:這是數字標牌系統的 LAN 的子網掩碼地址。注:路由器中的匹配字段�。
8 遠程地址:這是管理控制臺的 IP 地址。注:路由器中的匹配字段�。
9 遠程地址 — 子網掩碼:這是管理控制臺的 LAN 的子網掩碼。注:防火墻中的匹配字段���。
10 遠程地址 — 子網掩碼:這是管理控制臺的 LAN 的子網掩碼����。注:防火墻中的匹配字段����。
11 IKE 加密算法:配置中使用的 3DES。如果支持,建議使用 AES128 或更強大的加密算法����。注:路由器中的匹配字段�。
12 IKE 身份驗證算法:配置中使用的 SHAI�。如果支持�,建議至少使用 SHA2。注:路由器中的匹配字段���。
步驟注釋
1 VPN 類型:本配置示例使用“Site-to-Site”�,IPSec 隧道�。
2 接口名稱:任何名稱。
3 預共享密鑰是什么����?用戶設置的身份驗證密鑰,它必須與 3G 網關的密碼相匹配�。
4 遠程 WAN 的 IP 地址/FQDN:與 3G 網關相關的 WAN IP 地址。
5 遠程 LAN IP 地址:這是數字標牌系統的 LAN 基礎 IP 地址�。
6 遠程 LAN 子網掩碼:這是數字標牌系統的 LAN 子網掩碼。
7 起始 IP 地址:這是管理控制臺的 LAN IP 地址����。
8 子網掩碼:這是管理控制臺的 LAN 子網掩碼。
9 加密算法:配置示例中使用的 3DES���。如果支持����,建議使用 AES128 或更強大的加密算法。
10 身份驗證算法:配置示例中使用的是 SHA1����。如果支持,建議至少使用 SHA2���。
表 5:路由器 VPN 配置示例:思科* SA520 安全設備
