 |
網(wǎng)站首頁 | 新聞中心 | 企業(yè)名錄 | 品牌專區(qū) | 產(chǎn)品大全 | 技術(shù)學園 | 行業(yè)展會 | 商機信息 | 人才招聘 | 行業(yè)論壇 |
| 人物訪談 | 新品快訊 | 應用案例 | 招標信息 | 會議信息 | 商業(yè)顯示 | 播放器 | 觸控一體機 | 數(shù)字標牌軟件 | 專業(yè)音響 |
| 【數(shù)字標牌網(wǎng)】 服務熱線:400-6787-360 | 投稿郵箱 | 會員登錄 | 免費注冊 | 設(shè)為首頁 | 加入收藏 | RSS | 客戶服務 | 月刊訂閱 | |||
|
||||
 |
幾乎可在任意位置實施帶外(OOB)安全高級遠程管理
數(shù)字標牌顯示屏隨處可見,就連偏僻鄉(xiāng)村的加油站也有其蹤影。如今,3G 的廣泛普及和 4G 蜂窩式無線寬帶網(wǎng)絡(luò)的出現(xiàn),使數(shù)字標牌幾乎能夠部署在任意位置。1 當有線寬帶服務不可用時,這是最佳替代品,能夠為內(nèi)容下載和更新提供連接。
另外,技術(shù)人員也可以使用網(wǎng)絡(luò)連接從遠程控制臺集中監(jiān)控和管理顯示屏。相比派遣人員到現(xiàn)場提供日常支持和維修服務,遠程管理能夠節(jié)省大量的成本和時間。對于需要 3G 連接的顯示屏,遠程管理會帶來更大的節(jié)省。
高級遠程管理
帶有英特爾® 主動管理技術(shù)(英特爾® AMT)2 的英特爾® 博銳™ 技術(shù)支持控制臺解決更廣泛的系統(tǒng)問題,甚至在操作系統(tǒng)關(guān)閉時也可以實現(xiàn),從而將遠程管理提升到全新水平。例如,遠程在沒有響應(無法運行或啟動)的標牌系統(tǒng)上維修受損的驅(qū)動程序、應用軟件或操作系統(tǒng)。這些操作能夠通過帶外(OOB)管理功能在英特爾® 博銳™ 技術(shù)支持的顯示屏上
完成,詳細描述請見下文。
英特爾® AMT 的高級功能有助于降低數(shù)字標牌的總體擁有成本(TCO),尤其是當系統(tǒng)部署在遙遠的位置時。針對此類情況,本白皮書描述了如何使用永久性站點到站點 IPSec VPN 隧道通過 3G 設(shè)置英特爾® AMT。實際上,VPN 隧道可以將管理服務器網(wǎng)絡(luò)延伸到接受管理的設(shè)備,讓公司防火墻內(nèi)的管理控制臺發(fā)現(xiàn)和更安全地與防火墻外的數(shù)字標牌系統(tǒng)進行
通信。除數(shù)字標牌以外,這種方法也適用于其它公司防火墻之外通過有線或無線高速網(wǎng)絡(luò)連接的嵌入式設(shè)備,例如自動售貨機、信息亭和醫(yī)療設(shè)備。還有更多利用英特爾® AMT 通過 3G 或公司防火墻以外的其它網(wǎng)絡(luò)管理設(shè)備的方法,但這些方法不在本文討論范圍之內(nèi)。
英特爾® 主動管理技術(shù)的與眾不同之處是什么?
帶有英特爾® AMT 的英特爾® 博銳™ 技術(shù)內(nèi)建于英特爾® 指定的處理器和芯片組中。
英特爾® AMT 采用一種駐留在芯片上的管理機制,可用于遠程發(fā)現(xiàn)、修復和保護計算系統(tǒng)。該電路能夠建立一個全新的通信渠道,即“帶外”鏈路。該鏈路獨立于計算系統(tǒng)的“帶內(nèi)”通道,可提供永久性連接。
這種帶外鏈路采用一個專用管理引擎(ME),如圖 1 所示,支持對未運行的系統(tǒng)加以控制。英特爾® 博銳™ 技術(shù)的其它要素包括 FLASH 設(shè)備中的少量內(nèi)存和一個帶過濾器的防火墻。英特爾® 以太網(wǎng)和英特爾® 芯片組支持這些過濾器。當系統(tǒng)正常運行時,英特爾® 處理器運行本地管理服務(LMS)軟件,用于通過本地接口連接 ME。ME 可執(zhí)行代碼和數(shù)據(jù)存儲在FLASH 中,ME 從芯片組的內(nèi)部內(nèi)存或從主機內(nèi)存運行,使用一個主機看不到的專用區(qū)域。
相比之下,傳統(tǒng)遠程管理控制臺使用標準網(wǎng)絡(luò)功能即帶內(nèi)鏈路(利用設(shè)備的操作系統(tǒng)、CPU 和網(wǎng)絡(luò)驅(qū)動程序)來與設(shè)備進行通信。當設(shè)備出現(xiàn)故障時,這種帶內(nèi)方法依賴許多設(shè)備組件連續(xù)運行的缺點就會暴露出來,從而大大減少能夠遠程修復的問題或故障類型。
英特爾® AMT 包含一個叫作“通過 IP 的KVM 重定向”特性,允許 IT 控制臺的鍵盤-顯示器-鼠標(KVM)控制和顯示現(xiàn)場標牌系統(tǒng)的圖形用戶界面(GUI),無需額外硬件。英特爾® AMT 6.0 KVM 支持需要一個采用 2010 英特爾® 博銳™ 技術(shù)和英特爾® 集成顯卡的平臺。
另外,英特爾® AMT KVM 還支持播放驗證,這是一種確認數(shù)字標牌顯示屏上實際播放內(nèi)容的功能。該功能定期捕獲截屏和時間戳,證明系統(tǒng)在一天當中播放了什么內(nèi)容。在播放驗證出現(xiàn)之前,廣告商很難驗證他們購買的廣告在實際中是否播出。
除了花費高額成本派遣審計員到現(xiàn)場檢查顯示屏,廣告商還不得不依靠接收播放列表來了解廣告播放情況,但是這無法證明標牌系統(tǒng)是否正常運行或者實際顯示的內(nèi)容是什么。
通過 3G 實施英特爾® 主動管理技術(shù)本白皮書將進一步介紹英特爾® AMT,通過一個配置示例來說明,公司防火墻內(nèi)
的管理控制臺如何借助站點到站點 VPN隧道通過 3G 網(wǎng)絡(luò)與防火墻外的系統(tǒng)進行安全通信。任何能夠建立站點到站點
VPN 的 VPN 技術(shù)(例如 SSL VPN、PPTP和 L2TP)都有可能在該配置示例中得到運用。VPN 技術(shù)已經(jīng)成熟,并且能夠在IPsec、MPLS、ATM、載波以太網(wǎng)或其它網(wǎng)絡(luò)技術(shù)上運行。無論采用哪種網(wǎng)絡(luò)技術(shù)傳輸 IP 流量,關(guān)鍵是在英特爾® AMT 支持的控制臺和英特爾® 博銳™ 技術(shù)支持的標牌設(shè)備之間實現(xiàn)直接的 IP 級網(wǎng)絡(luò)可見性,以便從控制臺“看到”所有標牌設(shè)備。實際上,通過使用 VPN,支持數(shù)字標牌系統(tǒng)的遠程 LAN 成為了公司網(wǎng)絡(luò)的延伸;因此,隧道一側(cè)的數(shù)字標牌設(shè)備能夠被另一側(cè)的管理控制臺看見和發(fā)現(xiàn)。使用永久性站點到站點 VPN 而非客戶端 VPN 的原因是,保持隧道正常運行,甚至在設(shè)備關(guān)機或無法運行時也可以實現(xiàn);這是充分利用英特爾® AMT 的 OOB 管理特性所必需的。
在最簡單的形式中,實施的關(guān)鍵組件包括支持 VPN 的路由器或連接到管理控制臺的設(shè)備和支持 VPN 的 3G 調(diào)制解調(diào)器/網(wǎng)關(guān)。
這個 3G 調(diào)制解調(diào)器/網(wǎng)關(guān)連接著一個或更多英特爾® 博銳™ 技術(shù)支持的數(shù)字標牌系統(tǒng),如圖 2 所示。在實際實施中,可能有額外的 IT 基礎(chǔ)設(shè)施,例如 DNS、DHCP、CA、AD 和更多路由器和交換機,具體情況取決于安全和 IT 策略,以及所需設(shè)備和VPN 連接的數(shù)量。針對本次概念驗證選擇的設(shè)備并不意味著,英特爾會為這些設(shè)備及其制造商做任何擔保。數(shù)字標牌廠商應當選擇能夠滿足其安全和可用性要求的設(shè)備。
配置示例:通過 3G 實施英特爾® 主動管理技術(shù)
英特爾構(gòu)建了圖 2 中的網(wǎng)絡(luò),并使用Sprint* 無線網(wǎng)絡(luò)展示了如何通過 3G 實施英特爾® AMT。這一部分以及附錄 A-D 將描述路由器和 3G 調(diào)制解調(diào)器/網(wǎng)關(guān)的配置細節(jié),而且盡管描述的是特定網(wǎng)絡(luò)要素,但這些信息也適用于其它網(wǎng)絡(luò)和網(wǎng)絡(luò)設(shè)備。
Sierra* Wireless AirLink* Raven XE 以太網(wǎng)網(wǎng)關(guān)Raven XE 可以用作具備 DHCP 和 VPN 隧道功能的 3G 調(diào)制解調(diào)器/網(wǎng)關(guān)設(shè)備。相比簡單的 3G 調(diào)制解調(diào)器,該設(shè)備可以提供更簡單、成本更低的解決方案,避免在調(diào)制解調(diào)器和數(shù)字標牌設(shè)備之間添加具備VPN 功能的路由器。Raven XE 支持兩種運行模式:調(diào)制解調(diào)器和網(wǎng)關(guān)。在調(diào)制解調(diào)器模式下,插入 Raven XE 以太網(wǎng)端口的系統(tǒng)與 3G WAN 接口擁有相同的 IP 地址。在網(wǎng)關(guān)模式下,可以選擇為標牌設(shè)備
設(shè)置本地靜態(tài) IP 地址,或者讓它的 DHCP為一個或更多直接連接或通過交換機連接 Raven XE 的設(shè)備分配動態(tài) IP 地址。因此,啟用 DHCP 的網(wǎng)關(guān)模式可以在網(wǎng)關(guān)背后的 LAN 上為每個數(shù)字標牌系統(tǒng)提供動態(tài)IP 地址,避免添加路由器,從而在 RavenXE 背后創(chuàng)建專用 LAN。
該配置示例采用網(wǎng)關(guān)模式。盡管調(diào)制解調(diào)器模式和網(wǎng)關(guān)模式都經(jīng)過測試而且可行,但網(wǎng)關(guān)模式更受青睞。在調(diào)制解調(diào)器模式下,可能不需要用 VPN 隧道進行發(fā)現(xiàn),但為了實現(xiàn)安全、加密的通信,最好有 VPN隧道。在網(wǎng)關(guān)模式下,網(wǎng)關(guān)背后專用 LAN上的設(shè)備 IP 地址只能被隧道另一側(cè)的控制臺和設(shè)備看見;然而,在調(diào)制解調(diào)器模式下,直接連接到 Raven 的設(shè)備的 IP 地址可以被網(wǎng)絡(luò)上的任何用戶看見,從安全角度來講,這是不可取的。
通過在 Raven XE 和設(shè)備之間添加路由器,讓 VPN 隧道成為必備組件,可以解決這一問題。但是,這種解決方案比使用網(wǎng)關(guān)模式需要更高的成本。
思科* SA520 安全設(shè)備在實驗中,英特爾使用了帶 VPN 功能的基礎(chǔ) SA520 路由功能,然而,更加全面、能夠建立數(shù)百個 VPN 連接的安全路由設(shè)備可以為其它實施提供更好的保護。
配置標牌設(shè)備
采用英特爾® 博銳™ 技術(shù)的設(shè)備必須配置英特爾® AMT,才能使用英特爾® AMT 進行管理。本次實驗在手動模式下配置了標牌設(shè)備,并啟用了 DHCP。或許其它配置方法更合適,具體情況取決于 IT 基礎(chǔ)設(shè)施、安全要求以及其它因素。
英特爾® AMT 軟件開發(fā)套件提供了一系列的推薦設(shè)置,以構(gòu)建更加安全的配置。
其它方法包括使用 Kerberos 身份驗證,利用 KVM 重定向端口而非遠程幀緩沖器(RFB),同時禁用 KVM 偵聽器(僅在需要開啟會話時啟用)。
表 1 總結(jié)了路由器配置步驟。
結(jié)果
英特爾使用 WebUI 和其它控制臺通過Sprint 3G 網(wǎng)絡(luò)成功管理 VPN 隧道上的數(shù)字標牌設(shè)備。經(jīng)過測試的使用案例包
括 OOB 庫存和資產(chǎn)管理、KVM、啟動BIOS、電源控制特性、網(wǎng)絡(luò)隔離和lDE-R。
標牌無處不在
哪怕是只需要一次現(xiàn)場維修訪問,數(shù)字標牌的投資回報也會大大降低。借助英特爾®AMT,技術(shù)人員可以遠程解決更多問題,從而節(jié)省成本。本白皮書提供了配置和管理采用英特爾® AMT、通過 3G 網(wǎng)絡(luò)連接的標牌設(shè)備的重要信息,開啟了在有線互聯(lián)網(wǎng)不可用的地區(qū)部署數(shù)字標牌的大門。
如欲了解有關(guān)英特爾® 數(shù)字標牌解決方案
的更多信息,請訪問:
www.intel.com/go/digitalsignage
附錄概述
附錄 A-D 描述了 Sierra* 3G 網(wǎng)關(guān)和思科* 安全設(shè)備的 LAN/WAN 和 VPN 配置步驟。由于網(wǎng)關(guān)和防火墻彼此之間必須進行通信,VPN配置表中的必要字段應當包含相同的信息,如“匹配值”欄所示。換言之,匹配值相同的配置步驟在相應配置字段中應該有相同的值。關(guān)于配置步驟的更多信息請見下文。
步驟注釋
1 VPN 1 類型:選擇“IPSec Tunnel”,
2 VPN 網(wǎng)關(guān)地址:這是與公司路由器相關(guān)的 WAN IP 地址。注:路由器中的匹配字段。
3 預共享密鑰 1:用戶設(shè)置的身份驗證密鑰。注:路由器中的匹配字段。
4 我的身份:與 Raven XE 相關(guān)的 WAN IP 地址。注:路由器中的匹配字段。
5 同伴身份:這必須與第 5 步中輸入的值相匹配。 本地地址類型:選擇“Use the Host Subnet”。
6 本地地址:這是數(shù)字標牌系統(tǒng)的 IP 地址。注:路由器中的匹配字段。
7 本地地址 — 子網(wǎng)掩碼:這是數(shù)字標牌系統(tǒng)的 LAN 的子網(wǎng)掩碼地址。注:路由器中的匹配字段。
8 遠程地址:這是管理控制臺的 IP 地址。注:路由器中的匹配字段。
9 遠程地址 — 子網(wǎng)掩碼:這是管理控制臺的 LAN 的子網(wǎng)掩碼。注:防火墻中的匹配字段。
10 遠程地址 — 子網(wǎng)掩碼:這是管理控制臺的 LAN 的子網(wǎng)掩碼。注:防火墻中的匹配字段。
11 IKE 加密算法:配置中使用的 3DES。如果支持,建議使用 AES128 或更強大的加密算法。注:路由器中的匹配字段。
12 IKE 身份驗證算法:配置中使用的 SHAI。如果支持,建議至少使用 SHA2。注:路由器中的匹配字段。
步驟注釋
1 VPN 類型:本配置示例使用“Site-to-Site”,IPSec 隧道。
2 接口名稱:任何名稱。
3 預共享密鑰是什么?用戶設(shè)置的身份驗證密鑰,它必須與 3G 網(wǎng)關(guān)的密碼相匹配。
4 遠程 WAN 的 IP 地址/FQDN:與 3G 網(wǎng)關(guān)相關(guān)的 WAN IP 地址。
5 遠程 LAN IP 地址:這是數(shù)字標牌系統(tǒng)的 LAN 基礎(chǔ) IP 地址。
6 遠程 LAN 子網(wǎng)掩碼:這是數(shù)字標牌系統(tǒng)的 LAN 子網(wǎng)掩碼。
7 起始 IP 地址:這是管理控制臺的 LAN IP 地址。
8 子網(wǎng)掩碼:這是管理控制臺的 LAN 子網(wǎng)掩碼。
9 加密算法:配置示例中使用的 3DES。如果支持,建議使用 AES128 或更強大的加密算法。
10 身份驗證算法:配置示例中使用的是 SHA1。如果支持,建議至少使用 SHA2。
表 5:路由器 VPN 配置示例:思科* SA520 安全設(shè)備
 |
| 立式廣告機 |
落地式廣告機 |
高清廣告機 |
分屏廣告機 |
藍牙廣告機 |
網(wǎng)絡(luò)廣告機 |
數(shù)字標牌播放器 |
廣告機方案 |
多媒體信息發(fā)布系統(tǒng) |
觸控一體機 |
高清機頂盒 鏡面廣告機 | 多媒體廣告機 | 觸摸廣告機 | 網(wǎng)絡(luò)廣告機 | 液晶廣告機 | 車載廣告機 | 互動式廣告載體 | 樓宇廣告機 | 流媒體實時發(fā)布系統(tǒng) | 廣告機外殼 | 戶外大屏幕 廣告機報價 | 數(shù)字標牌軟件 | 電子看板 | 商業(yè)顯示 | 嵌入式主板 | 觸控一體機 | 數(shù)字標牌顯示器 | 嵌入式流媒體服務器 |
| 設(shè)為首頁
| 網(wǎng)站建設(shè) | 歡迎投稿
| 數(shù)字標牌雜志
| 資訊中心 | 本站動態(tài)
| 關(guān)于數(shù)字標牌網(wǎng) |
網(wǎng)站RSS | 網(wǎng)站地圖
| 友情鏈接
熱點:數(shù)字標牌 | 數(shù)字告示 | 液晶廣告機 | 網(wǎng)絡(luò)廣告機 | 廣告機 | 廣告機報價 | 多媒體信息發(fā)布系統(tǒng) | 數(shù)字標牌網(wǎng) 本站實名:數(shù)字標牌網(wǎng) 國際域名:m.aa16811.com 版權(quán)所有© 2009-2012 深圳中投網(wǎng)絡(luò)信息技術(shù)有限公司 郵箱:ds-360@3v.cn 客服QQ: |