销售人员产品技术培训3

销售人员产品技术培训奥联科技目录•APN相关技术•APN产品介绍–发展历史–如何获得新版本？•APN客户交流–了解客户需求–方案设计技能–测试流程–应该知道客户那些信息？–客户的误区，压缩，演示•案例分析–麦当劳–康佳APN客户交流•获得客户需求–网络结构：是星状、网状、还是树状；–应用系统：客户用此vpn打算实现什么；–网络现状：有无ADSL、上网方式，防火墙型号–关心问题：稳定？性能？管理？等等，要找到能够打动客户的核心点；–未来规划：扩展性设计–报价技巧：商务问题，不要贸然报价方案设计•提纲（参考《电力方案》）–客户需求–技术介绍–产品介绍–解决方案•有无固定IP（是否推荐5000)•客户能力评估（推荐何种型号）–工程实施–售后服务•WOR和VISIO演示•小技巧：切合用户实际情况，例如安装点位置，具体名称测试•客户网络信息调查–《调查表》•需求分析，测试项目–测试内容十分庞大，找出关键点•演示沟通技巧–判断客户关心问题问题•1．VPN中的压缩技术•2．标准的IPSEC如何配置•3．传统星状VPN的安全隐患•4．VPN中的密钥技术•5．IPSEC中的加密算法•6．不同厂家的VPN产品之间的通讯•7．动态IP地址如何实现VPN？•8．为什么需要IKE•9．有加密就会安全吗•10．防火墙和VPN的结合•11.APN是否为网络瓶颈•12.APN能代理多少用户上网•13.加密速度是怎么回事？•1．VPN中的压缩技术•目前部分产品宣传的压缩技术，可以提供比网络带宽还有高的网络，但是压缩能提高VPN的效率吗？•压缩当然需要消耗CPU的资源，数据在传输之前先压缩，然后到达目的地址之后就解开，这能否变向的扩展网络带宽，需要综合考虑。例如word文档、BMP文档的压缩比例高，压缩后传输比直接传输快，这是有可能的。SQL查询的时候产生很多数据也是可以压缩的，所以也可以在一定程度上提高运行速度。•标准的IPSECVPN一般都支持IP压缩。APN当然也支持。•但是就很多程序运用而言，一定要同时考虑设备处理CPU消耗和数据的可压缩比例，才能决定是否采用压缩。一般例如视频、复杂数据应用上由于应用软件已经考虑了压缩机制，所以启动压缩功能对速度没有提高反而消耗CPU资源。最简单的测试方法是启动和停止压缩功能，看看运行情况比较。•标准的IPSEC如何配置•配置一个传统的IPSEC,需要配置：隧道名称、本地ID、本地IP、对方IP、本地内网、对方内网、本地下一跳地址、VPN方式（隧道模式？）、加密方式（ESP?)、数据加密算法、传输认证算法、psk、IKE时间、key协商时间、PFS……•APN产品采用License独创技术，无需了解IPSEC的细节，可以在5分钟内设置完毕，建立VPN网络。•传统星状VPN的安全隐患•最早的IPSECVPN产品，几乎都是基于固定IP地址去实现的。这是因为IPSEC这个协议源自美国，在IP地址丰富的情况下，需要解决的主要是安全问题。到了产品在市场上应用，尤其是到了中国市场之后，部分VPN产品就用1个固定IP加上其他是动态IP形成星状连接的方式。这样设计的方式要求中心点的VPN策略是允许所有建立VPN的请求，因为来源的地址不固定，所以只能采取这样的方式。一旦泄漏了PSK等VPN配置信息，就可以联入VPN。•APN产品采用了VDN技术，使得任何两个动态IP地址建立隧道的时候，都是相对的固定地址，非特定的地址无法建立隧道。•VPN中的密钥技术•密钥管理是VPN技术中的一个重要安全内容。密钥管理技术的主要任务是如何在公用数据网上安全地传递密钥而不被窃取。现行密钥管理技术又分为SKIP与ISAKMP/OAKLEY两种。SKIP主要是利用Diffie-Hellman的演算法则，在网络上传输密钥；在ISAKMP中，双方都有两把密钥，分别用于公用、私用。•APNGW采用DH方法和证书结合方法，通过IKE实现密钥管理。•PSEC中的加密算法•标准的IPSEC需要包含多种算法。每种加密算法的设计，都是为了完成不同的安全功能。例如在数据传输过程中用的加密算法主要是保证数据的安全，不能被别人窃听；而为了保证数据在传输的过程中不能被更改，设计了MD5这样的加密算法；而为了保证通讯对方的身份是特定的身份，设计了RSA这样的算法。•APNGW产品支持多种加密算法•数据传输可自由选择•AES/128位加密算法•3DES/168位加密算法•SERPENT/128位加密算法•BLOWFISH/128位加密算法•TWOFISH/128位加密算法•硬件加密卡或第三方算法•保证数据完整可自由选择•MD5-96•SHA1-96•SHA2-256•SHA2-512•身份认证支持•RSA2048•Pre-shareKey•不同厂家的VPN产品之间的通讯•不同厂家提供的VPN产品之间能够互通吗？事实上，如果都是基于IPSEC，是可以通讯的。例如APN产品和NETSCEEN之间，是可以互联互通的。选择VPN的产品的时候，这个也是可以作为判断是否是基于IPSEC构架的一个方法。•动态IP地址如何实现VPN？•目前其他VPN产品解决动态IP地址的方法，主要有动态网页、DDNS等方法。这些解决方法都是或多或少依赖于第三方的技术或者服务，究其中心点来说，原理上是一个被动接受的方式，有请求才能回应，所以为了获得各节点的地址，设计上需要不断的到网站刷新获得可能变化的地址。这种设计很大程度上导致了稳定问题。•APN和其他动态IP比较，采用独立开发的VDN技术，APNGW产品采用了交互式的基于APNGW-VDN之间的设计，可以由VDN来协调网络拓扑，形成节点可定义；同时完成隧道的自动巡检，保证隧道的稳定性。•为什么需要IKE•Internet密钥交换协议（IKE）用于在两个通信实体协商和建立安全相关，交换密钥。安全相关(SecurityAssociation)是IPSec中的一个重要概念。一个安全相关表示两个或多个通信实体之间经过了身份认证，且这些通信实体都能支持相同的加密算法，成功地交换了会话密钥，可以开始利用IPSec进行安全通信。IPSec协议本身没有提供在通信实体间建立安全相关的方法，利用IKE建立安全相关。IKE定义了通信实体间进行身份认证、协商加密算法以及生成共享的会话密钥的方法。IKE中身份认证采用共享密钥和数字签名两种方式，密钥交换采用DiffieHellman协议。•如果不是基于IPSEC协议的VPN，注意了解其密钥交换的方式。•有加密就会安全吗•VPN产品涉及最多的技术就是加密了。加密了是否究可以保证安全呢？通过以上的几个描述，应该认识到，加密只是一种技术，在整个通讯过程中需要完整的体系结构，结合加密技术、IKE、密钥管理等方面的技术，才能构建真正安全的VPN系统。也正是IPSEC的诞生初衷，以安全体系架构安全网络。•APN是基于IPSEC的VPN，安全的架构设计保证通讯的整体安全。•防火墙和VPN的结合•VPN和防火墙其实是密不可分的。因为VPN也是需要在内部网络和Internet之间构建一个桥梁，也涉及到防火期规则，所以设计专业的产品的都是把二者结合在一起。如果一定需要在VPN设备前面加装防火墙，注意选择VPN产品是否支持NAT穿越。•APN产品获得了国家公安部包过滤防火墙检测和VPN产品检测，分别颁发防火墙类、VPN类销售许可证。•并发会话数•并发会话连接数指的是网关设备对其业务信息流的处理能力，是能够同时处理的点对点会话连接的最大数目，它反映了设备对多个连接的访问控制能力和连接状态跟踪能力。这个参数的大小可以直接影响到防火墙所能支持的最大信息点数。简单来说，一个并发会话数代表一台机器打开的一个窗口或者一个页面。那么内网中一台机器同时开很多页面，并且聊天工具或者网络游戏同时进行着，那么这一台机器占用的会话数就会有几十到几百不等。内网中同时在线的机器数量越多，需要的会话数就越多。•APNGW设备为用户提供了足够的并发会话能力。GW200支持8192个并发会话，这在一般50人以下的office的日常使用下，完全能够满足要求。•吞吐量•吞吐量是测试设备包转发的能力。通常指设备在不丢包条件下每秒转发包的极限。一般可以采用二分发查找该极限点。•吞吐量需要考虑大于用户的实际网络带宽。•APNGW200的吞吐能力•测试结果如图所示，最高达到了6.4Mbps。案例1：康佳集团VPN•全国80个节点（二期完工后）•第三期20多个点•基本是ADSL和宽带案例二：西铁财务专网•超过70个节点•全部使用ADSL接入•形成星形网络案例三美联物业案例四麦当劳财务系统•总部采用4M城域网接入•各地使用ADSL或宽带•运行财务系统和OA系统•总部充分使用5000防火墙功能，配置NAT，DMZ，PAT多种防火墙策略•目前应用与各地分公司讨论和总结•销售APN的几个原则（个人观点，仅供参考）–不要贸然承诺–不要乱做方案–不卑不亢，为客户解决问题DEMO•APN的配置•结束