几乎可在任意位置实施带外（OOB）安全高级远程管理

数字标牌显示屏随处可见，就连偏僻乡村的加油站也有其踪影。如今，3G 的广泛普及和 4G 蜂窝式无线宽带网络的出现，使数字标牌几乎能够部署在任意位置。1 当有线宽带服务不可用时，这是最佳替代品，能够为内容下载和更新提供连接。
另外，技术人员也可以使用网络连接从远程控制台集中监控和管理显示屏。相比派遣人员到现场提供日常支持和维修服务，远程管理能够节省大量的成本和时间。对于需要 3G 连接的显示屏，远程管理会带来更大的节省。
高级远程管理
带有英特尔® 主动管理技术（英特尔® AMT）2 的英特尔® 博锐™ 技术支持控制台解决更广泛的系统问题，甚至在操作系统关闭时也可以实现，从而将远程管理提升到全新水平。例如，远程在没有响应（无法运行或启动）的标牌系统上维修受损的驱动程序、应用软件或操作系统。这些操作能够通过带外（OOB）管理功能在英特尔® 博锐™ 技术支持的显示屏上
完成，详细描述请见下文。
英特尔® AMT 的高级功能有助于降低数字标牌的总体拥有成本（TCO），尤其是当系统部署在遥远的位置时。针对此类情况，本白皮书描述了如何使用永久性站点到站点 IPSec VPN 隧道通过 3G 设置英特尔® AMT。实际上，VPN 隧道可以将管理服务器网络延伸到接受管理的设备，让公司防火墙内的管理控制台发现和更安全地与防火墙外的数字标牌系统进行
通信。除数字标牌以外，这种方法也适用于其它公司防火墙之外通过有线或无线高速网络连接的嵌入式设备，例如自动售货机、信息亭和医疗设备。还有更多利用英特尔® AMT 通过 3G 或公司防火墙以外的其它网络管理设备的方法，但这些方法不在本文讨论范围之内。

英特尔® 主动管理技术的与众不同之处是什么？
带有英特尔® AMT 的英特尔® 博锐™ 技术内建于英特尔® 指定的处理器和芯片组中。
英特尔® AMT 采用一种驻留在芯片上的管理机制，可用于远程发现、修复和保护计算系统。该电路能够建立一个全新的通信渠道，即“带外”链路。该链路独立于计算系统的“带内”通道，可提供永久性连接。
这种带外链路采用一个专用管理引擎（ME），如图 1 所示，支持对未运行的系统加以控制。英特尔® 博锐™ 技术的其它要素包括 FLASH 设备中的少量内存和一个带过滤器的防火墙。英特尔® 以太网和英特尔® 芯片组支持这些过滤器。当系统正常运行时，英特尔® 处理器运行本地管理服务（LMS）软件，用于通过本地接口连接 ME。ME 可执行代码和数据存储在FLASH 中，ME 从芯片组的内部内存或从主机内存运行，使用一个主机看不到的专用区域。
相比之下，传统远程管理控制台使用标准网络功能即带内链路（利用设备的操作系统、CPU 和网络驱动程序）来与设备进行通信。当设备出现故障时，这种带内方法依赖许多设备组件连续运行的缺点就会暴露出来，从而大大减少能够远程修复的问题或故障类型。

英特尔® AMT 包含一个叫作“通过 IP 的KVM 重定向”特性，允许 IT 控制台的键盘-显示器-鼠标（KVM）控制和显示现场标牌系统的图形用户界面（GUI），无需额外硬件。英特尔® AMT 6.0 KVM 支持需要一个采用 2010 英特尔® 博锐™ 技术和英特尔® 集成显卡的平台。
另外，英特尔® AMT KVM 还支持播放验证，这是一种确认数字标牌显示屏上实际播放内容的功能。该功能定期捕获截屏和时间戳，证明系统在一天当中播放了什么内容。在播放验证出现之前，广告商很难验证他们购买的广告在实际中是否播出。
除了花费高额成本派遣审计员到现场检查显示屏，广告商还不得不依靠接收播放列表来了解广告播放情况，但是这无法证明标牌系统是否正常运行或者实际显示的内容是什么。
通过 3G 实施英特尔® 主动管理技术本白皮书将进一步介绍英特尔® AMT，通过一个配置示例来说明，公司防火墙内
的管理控制台如何借助站点到站点 VPN隧道通过 3G 网络与防火墙外的系统进行安全通信。任何能够建立站点到站点
VPN 的 VPN 技术（例如 SSL VPN、PPTP和 L2TP）都有可能在该配置示例中得到运用。VPN 技术已经成熟，并且能够在IPsec、MPLS、ATM、载波以太网或其它网络技术上运行。无论采用哪种网络技术传输 IP 流量，关键是在英特尔® AMT 支持的控制台和英特尔® 博锐™ 技术支持的标牌设备之间实现直接的 IP 级网络可见性，以便从控制台“看到”所有标牌设备。实际上，通过使用 VPN，支持数字标牌系统的远程 LAN 成为了公司网络的延伸；因此，隧道一侧的数字标牌设备能够被另一侧的管理控制台看见和发现。使用永久性站点到站点 VPN 而非客户端 VPN 的原因是，保持隧道正常运行，甚至在设备关机或无法运行时也可以实现；这是充分利用英特尔® AMT 的 OOB 管理特性所必需的。
在最简单的形式中，实施的关键组件包括支持 VPN 的路由器或连接到管理控制台的设备和支持 VPN 的 3G 调制解调器/网关。
这个 3G 调制解调器/网关连接着一个或更多英特尔® 博锐™ 技术支持的数字标牌系统，如图 2 所示。在实际实施中，可能有额外的 IT 基础设施，例如 DNS、DHCP、CA、AD 和更多路由器和交换机，具体情况取决于安全和 IT 策略，以及所需设备和VPN 连接的数量。针对本次概念验证选择的设备并不意味着，英特尔会为这些设备及其制造商做任何担保。数字标牌厂商应当选择能够满足其安全和可用性要求的设备。

配置示例：通过 3G 实施英特尔® 主动管理技术
英特尔构建了图 2 中的网络，并使用Sprint* 无线网络展示了如何通过 3G 实施英特尔® AMT。这一部分以及附录 A-D 将描述路由器和 3G 调制解调器/网关的配置细节，而且尽管描述的是特定网络要素，但这些信息也适用于其它网络和网络设备。
Sierra* Wireless AirLink* Raven XE 以太网网关Raven XE 可以用作具备 DHCP 和 VPN 隧道功能的 3G 调制解调器/网关设备。相比简单的 3G 调制解调器，该设备可以提供更简单、成本更低的解决方案，避免在调制解调器和数字标牌设备之间添加具备VPN 功能的路由器。Raven XE 支持两种运行模式：调制解调器和网关。在调制解调器模式下，插入 Raven XE 以太网端口的系统与 3G WAN 接口拥有相同的 IP 地址。在网关模式下，可以选择为标牌设备
设置本地静态 IP 地址，或者让它的 DHCP为一个或更多直接连接或通过交换机连接 Raven XE 的设备分配动态 IP 地址。因此，启用 DHCP 的网关模式可以在网关背后的 LAN 上为每个数字标牌系统提供动态IP 地址，避免添加路由器，从而在 RavenXE 背后创建专用 LAN。

该配置示例采用网关模式。尽管调制解调器模式和网关模式都经过测试而且可行，但网关模式更受青睐。在调制解调器模式下，可能不需要用 VPN 隧道进行发现，但为了实现安全、加密的通信，最好有 VPN隧道。在网关模式下，网关背后专用 LAN上的设备 IP 地址只能被隧道另一侧的控制台和设备看见；然而，在调制解调器模式下，直接连接到 Raven 的设备的 IP 地址可以被网络上的任何用户看见，从安全角度来讲，这是不可取的。
通过在 Raven XE 和设备之间添加路由器，让 VPN 隧道成为必备组件，可以解决这一问题。但是，这种解决方案比使用网关模式需要更高的成本。
思科* SA520 安全设备在实验中，英特尔使用了带 VPN 功能的基础 SA520 路由功能，然而，更加全面、能够建立数百个 VPN 连接的安全路由设备可以为其它实施提供更好的保护。

配置标牌设备
采用英特尔® 博锐™ 技术的设备必须配置英特尔® AMT，才能使用英特尔® AMT 进行管理。本次实验在手动模式下配置了标牌设备，并启用了 DHCP。或许其它配置方法更合适，具体情况取决于 IT 基础设施、安全要求以及其它因素。
英特尔® AMT 软件开发套件提供了一系列的推荐设置，以构建更加安全的配置。
其它方法包括使用 Kerberos 身份验证，利用 KVM 重定向端口而非远程帧缓冲器（RFB），同时禁用 KVM 侦听器（仅在需要开启会话时启用）。
表 1 总结了路由器配置步骤。
结果
英特尔使用 WebUI 和其它控制台通过Sprint 3G 网络成功管理 VPN 隧道上的数字标牌设备。经过测试的使用案例包
括 OOB 库存和资产管理、KVM、启动BIOS、电源控制特性、网络隔离和lDE-R。
标牌无处不在
哪怕是只需要一次现场维修访问，数字标牌的投资回报也会大大降低。借助英特尔®AMT，技术人员可以远程解决更多问题，从而节省成本。本白皮书提供了配置和管理采用英特尔® AMT、通过 3G 网络连接的标牌设备的重要信息，开启了在有线互联网不可用的地区部署数字标牌的大门。
如欲了解有关英特尔® 数字标牌解决方案
的更多信息，请访问：
www.intel.com/go/digitalsignage

附录概述
附录 A-D 描述了 Sierra* 3G 网关和思科* 安全设备的 LAN/WAN 和 VPN 配置步骤。由于网关和防火墙彼此之间必须进行通信，VPN配置表中的必要字段应当包含相同的信息，如“匹配值”栏所示。换言之，匹配值相同的配置步骤在相应配置字段中应该有相同的值。关于配置步骤的更多信息请见下文。

步骤注释
1 VPN 1 类型：选择“IPSec Tunnel”，
2 VPN 网关地址：这是与公司路由器相关的 WAN IP 地址。注：路由器中的匹配字段。
3 预共享密钥 1：用户设置的身份验证密钥。注：路由器中的匹配字段。
4 我的身份：与 Raven XE 相关的 WAN IP 地址。注：路由器中的匹配字段。
5 同伴身份：这必须与第 5 步中输入的值相匹配。 本地地址类型：选择“Use the Host Subnet”。
6 本地地址：这是数字标牌系统的 IP 地址。注：路由器中的匹配字段。
7 本地地址 — 子网掩码：这是数字标牌系统的 LAN 的子网掩码地址。注：路由器中的匹配字段。
8 远程地址：这是管理控制台的 IP 地址。注：路由器中的匹配字段。
9 远程地址 — 子网掩码：这是管理控制台的 LAN 的子网掩码。注：防火墙中的匹配字段。
10 远程地址 — 子网掩码：这是管理控制台的 LAN 的子网掩码。注：防火墙中的匹配字段。
11 IKE 加密算法：配置中使用的 3DES。如果支持,建议使用 AES128 或更强大的加密算法。注：路由器中的匹配字段。
12 IKE 身份验证算法：配置中使用的 SHAI。如果支持，建议至少使用 SHA2。注：路由器中的匹配字段。

步骤注释
1 VPN 类型：本配置示例使用“Site-to-Site”，IPSec 隧道。
2 接口名称：任何名称。
3 预共享密钥是什么？用户设置的身份验证密钥，它必须与 3G 网关的密码相匹配。
4 远程 WAN 的 IP 地址/FQDN：与 3G 网关相关的 WAN IP 地址。
5 远程 LAN IP 地址：这是数字标牌系统的 LAN 基础 IP 地址。
6 远程 LAN 子网掩码：这是数字标牌系统的 LAN 子网掩码。
7 起始 IP 地址：这是管理控制台的 LAN IP 地址。
8 子网掩码：这是管理控制台的 LAN 子网掩码。
9 加密算法：配置示例中使用的 3DES。如果支持，建议使用 AES128 或更强大的加密算法。
10 身份验证算法：配置示例中使用的是 SHA1。如果支持，建议至少使用 SHA2。

表 5：路由器 VPN 配置示例：思科* SA520 安全设备