home *** CD-ROM | disk | FTP | other *** search
/ OS/2 Shareware BBS: 14 Text / 14-Text.zip / RMTLAN.ZIP / RMTLAN.TXT
Text File  |  1993-02-24  |  41KB  |  1,269 lines
  1.  
  2.  
  3.  
  4.  
  5.  
  6.  
  7.  
  8.  
  9.  
  10.  
  11.  
  12.  
  13.                                            THE IBM REMOTE LAN ACCESS CAPABILITY
  14.  
  15.  
  16.  
  17.  
  18.  
  19.  
  20.  
  21.                                                                January 21, 1993
  22.  
  23.  
  24.  
  25.  
  26.                                                             IBM PSP LAN Systems
  27.                                                               11400 Burnet Road
  28.                                                             Austin, Texas 78758
  29.  
  30.  
  31.  
  32.  
  33.  
  34.  
  35.  
  36.  
  37.  
  38.  
  39.  
  40.  
  41.  
  42.  
  43.  
  44.  
  45.  
  46.  
  47.  
  48.  
  49.  
  50.  
  51.  
  52.  
  53.  
  54.  
  55.  
  56.  
  57.  
  58.  
  59.  
  60.  
  61.  
  62.  
  63.  
  64.  
  65.  
  66.  
  67.  
  68.  
  69.  
  70.  
  71.  
  72.  
  73.   +--- NOTE -----------------------------------------------------------+
  74.   |                                                                    |
  75.   | Before using this information and the product it supports, be sure |
  76.   | to read the general information under TRADEMARKS.                  |
  77.   |                                                                    |
  78.   +--------------------------------------------------------------------+
  79.  
  80.  
  81.  
  82.  
  83.  
  84.  
  85.  
  86.  
  87.  
  88.  
  89.  
  90.  
  91.  
  92.  
  93.  
  94.  
  95.  
  96.  
  97.  
  98.  
  99.  
  100.  
  101.   FIRST EDITION (OCTOBER 1992)
  102.  
  103.   THE  FOLLOWING  PARAGRAPH  DOES NOT APPLY TO THE UNITED KINGDOM OR ANY
  104.   COUNTRY WHERE SUCH PROVISIONS ARE INCONSISTENT WITH LOCAL LAW:  INTER-
  105.   NATIONAL BUSINESS MACHINES CORPORATION PROVIDES THIS  PUBLICATION  "AS
  106.   IS"   WITHOUT  WARRANTY  OF  ANY  KIND,  EITHER  EXPRESS  OR  IMPLIED,
  107.   INCLUDING,  BUT  NOT   LIMITED   TO,   THE   IMPLIED   WARRANTIES   OF
  108.   MERCHANTABILITY  OR  FITNESS FOR A PARTICULAR PURPOSE.  Some states do
  109.   not allow disclaimer of  express  or  implied  warranties  in  certain
  110.   transactions; therefore, this statement may not apply to you.
  111.  
  112.   This publication could include technical inaccuracies or typographical
  113.   errors.    Changes  are  periodically  made to the information herein;
  114.   these changes will be incorporated in new editions of the publication.
  115.   IBM may make improvements and/or changes in the product(s) and/or  the
  116.   program(s) described in this publication at any time.
  117.  
  118.   It  is  possible  that  this  publication may contain reference to, or
  119.   information about, IBM products (machines and programs),  programming,
  120.   or  services  that are not announced in your country.  Such references
  121.   or information must not be construed  to  mean  that  IBM  intends  to
  122.   announce such IBM products, programming, or services in your country.
  123.  
  124.   (C)  COPYRIGHT  INTERNATIONAL BUSINESS MACHINES CORPORATION 1992.  ALL
  125.   RIGHTS RESERVED.
  126.  
  127.   Note to U.S. Government Users -- Documentation related  to  restricted
  128.   rights  --  Use,  duplication or disclosure is subject to restrictions
  129.   set forth in GSA ADP Schedule Contract with IBM Corporation.
  130.  
  131.  
  132.  
  133.  
  134.  
  135.  
  136.  
  137.  
  138.  
  139.   TRADEMARKS
  140.   __________
  141.  
  142.  
  143.  
  144.  
  145.  
  146.   References  in this publication to IBM products, programs, or services do not
  147.   imply that IBM intends to make these available in all countries in which  IBM
  148.   operates.    Any  reference  to  an  IBM  product, program, or service is not
  149.   intended to state or imply that only IBM's product, program, or  service  may
  150.   be  used.  Any functionally equivalent product, program, or service that does
  151.   not infringe any of IBM's  intellectual  property  rights  or  other  legally
  152.   protectible  rights  may  be  used  instead  of  the IBM product, program, or
  153.   service.  Evaluation and verification of operation in conjunction with  other
  154.   products,  programs,  or  services, except those expressly designated by IBM,
  155.   are the user's responsibility.
  156.  
  157.   IBM may have patents or pending patent applications covering  subject  matter
  158.   in  this  document.    The  furnishing of this document does not give you any
  159.   rights to these patents.  You can inquire, in writing, to the IBM Director of
  160.   Commercial Relations, IBM Corporation, Purchase, NY 10577-USA.
  161.  
  162.   The following terms in this publication, are trademarks  of  the  IBM  Corpo-
  163.   ration in the United States and/or other countries:
  164.  
  165.   IBM Corporation               IBM, OS/2, NetBIOS, DOS, LAN Server
  166.  
  167.   The following terms in this publication, are trademarks of other companies as
  168.   follows:
  169.  
  170.   Microsoft Corporation         LAN Manager, Windows
  171.   Novell Corporation            NetWare, NetWare Server
  172.   Intel Corporation             80386
  173.  
  174.  
  175.  
  176.  
  177.  
  178.  
  179.  
  180.  
  181.  
  182.  
  183.  
  184.  
  185.  
  186.  
  187.  
  188.  
  189.  
  190.  
  191.  
  192.  
  193.  
  194.  
  195.  
  196.                                                                 Trademarks  iii
  197.  
  198.  
  199.  
  200.  
  201.  
  202.  
  203.  
  204.  
  205.  
  206.  
  207.  
  208.  
  209.  
  210.  
  211.  
  212.  
  213.  
  214.  
  215.  
  216.  
  217.  
  218.  
  219.  
  220.  
  221.  
  222.  
  223.  
  224.  
  225.  
  226.  
  227.  
  228.  
  229.  
  230.  
  231.  
  232.  
  233.  
  234.  
  235.  
  236.  
  237.  
  238.  
  239.  
  240.  
  241.  
  242.  
  243.  
  244.  
  245.  
  246.  
  247.  
  248.  
  249.  
  250.  
  251.  
  252.  
  253.  
  254.  
  255.  
  256.  
  257.  
  258.  
  259.  
  260.  
  261.  
  262.   iv  The IBM Remote LAN Access Capability
  263.  
  264.  
  265.  
  266.  
  267.  
  268.  
  269.  
  270.  
  271.  
  272.   CONTENTS
  273.   ________
  274.  
  275.  
  276.  
  277.  
  278.  
  279.   What Is The IBM Remote LAN Access Capability?   1
  280.   Remote LAN Access Environments   1
  281.   Current Remote LAN Access Technologies   3
  282.   Supported Connectivities   5
  283.   Supported Software Interfaces   6
  284.   Supported Hardware   6
  285.   Security   6
  286.   Administrative Features   9
  287.   User Interface   9
  288.   Installation and Configuration   10
  289.   Components and Packaging   11
  290.   Licensing of Technology   12
  291.  
  292.  
  293.  
  294.  
  295.  
  296.  
  297.  
  298.  
  299.  
  300.  
  301.  
  302.  
  303.  
  304.  
  305.  
  306.  
  307.  
  308.  
  309.  
  310.  
  311.  
  312.  
  313.  
  314.  
  315.  
  316.  
  317.  
  318.  
  319.  
  320.  
  321.  
  322.  
  323.  
  324.  
  325.  
  326.  
  327.  
  328.  
  329.                                                                     Contents  v
  330.  
  331.  
  332.  
  333.  
  334.  
  335.  
  336.  
  337.  
  338.  
  339.  
  340.  
  341.  
  342.  
  343.  
  344.  
  345.  
  346.  
  347.  
  348.  
  349.  
  350.  
  351.  
  352.  
  353.  
  354.  
  355.  
  356.  
  357.  
  358.  
  359.  
  360.  
  361.  
  362.  
  363.  
  364.  
  365.  
  366.  
  367.  
  368.  
  369.  
  370.  
  371.  
  372.  
  373.  
  374.  
  375.  
  376.  
  377.  
  378.  
  379.  
  380.  
  381.  
  382.  
  383.  
  384.  
  385.  
  386.  
  387.  
  388.  
  389.  
  390.  
  391.  
  392.  
  393.  
  394.  
  395.   vi  The IBM Remote LAN Access Capability
  396.  
  397.  
  398.  
  399.  
  400.  
  401.  
  402.  
  403.  
  404.  
  405.   WHAT IS THE IBM REMOTE LAN ACCESS CAPABILITY?
  406.   _____________________________________________
  407.  
  408.   The  IBM  remote  LAN access capability enables remote users to transparently
  409.   run their LAN-based applications  over  switched  connections  (asynchronous,
  410.   synchronous  and  ISDN)  using  public  switch  telephone networks or PBX/CBX
  411.   exchanges.  The primary distinction of the IBM remote LAN  access  capability
  412.   is  that it uses a device driver replacement technology to provide a superset
  413.   of functionality available with remote LAN  access  products  on  the  market
  414.   today,  and  it  accomplishes this using a non-dedicated communication server
  415.   and non-proprietary hardware.  The IBM remote LAN access capability addresses
  416.   all of the following remote LAN access environments:
  417.  
  418.   o   A remote workstation connecting to another remote workstation
  419.   o   A remote workstation connecting to a LAN workstation
  420.   o   A LAN workstation connecting to a remote workstation
  421.   o   A LAN workstation connecting to a remote LAN workstation
  422.  
  423.   The IBM remote LAN access capability's communication server supports up to 32
  424.   simultaneous communication ports and provides a full  range  of  configurable
  425.   security  and administrative features.  In essence, the IBM remote LAN access
  426.   capability provides the user with  functionality  and  features  to  run  LAN
  427.   applications  anywhere  anytime,  and provides the systems administrator with
  428.   effective tools for managing the wide area network (WAN).
  429.  
  430.  
  431.  
  432.   REMOTE LAN ACCESS ENVIRONMENTS
  433.   ______________________________
  434.  
  435.  
  436.   REMOTE-TO-REMOTE
  437.  
  438.   The four main environments listed in the introductory  paragraph  are  illus-
  439.   trated in Figure 1 on page 2.  A "remote-to-remote" environment consists of a
  440.   direct  physical  connection  established  between  two  or more remote work-
  441.   stations.  In a remote-to-remote environment, two computers connect to form a
  442.   network in which only the directly connected  machines  are  visible  to  one
  443.   another.    This  creates  an  ad hoc LAN over telephone lines.   Without LAN
  444.   adapters and without LAN wiring,  remote-to-remote  workstations  can  access
  445.   each other's LAN resources and LAN-based applications.  This environment sup-
  446.   ports  customers  who  need a single low-cost WAN connection to support data,
  447.   resource and program sharing.  An example would be a remote  user  using  the
  448.   telephone line to run applications on a directly-connected LAN server.
  449.  
  450.  
  451.  
  452.   REMOTE-TO-LAN
  453.  
  454.   A  "remote-to-LAN"  environment,  sometimes  called  "dial-in", occurs when a
  455.   remote workstation initiates a connection to a LAN workstation via some  form
  456.   of  WAN/LAN  communication  server.    The  IBM  remote LAN access capability
  457.   remote-to-LAN environment is characterized by the remote workstation  running
  458.   LAN applications between itself and one or more LAN-attached workstations via
  459.   a  single WAN connection to the LAN.  A separate and direct connection is not
  460.   required for each LAN-attached workstation with which the remote  workstation
  461.  
  462.  
  463.                                                                               1
  464.  
  465.  
  466.  
  467.  
  468.  
  469.  
  470.  
  471.  
  472.  
  473.   needs  to  communicate.    Once the WAN connection is established between the
  474.   remote workstation and the LAN, the remote workstation can  directly  address
  475.   any   LAN-attached   workstation   configured   to   participate  within  the
  476.   remote-to-LAN  environment.  Likewise, because the remote workstation has its
  477.   own unique address, it can receive  information  directly  from  the  partic-
  478.   ipating LAN-attached workstations.  The IBM remote LAN access capability thus
  479.   provides  a remote LAN access environment which allows the remote workstation
  480.   to transparently run LAN-based applications and interoperate with the LAN  as
  481.   if  it  were LAN-attached.  The IBM remote LAN access capability also enables
  482.   remote workstations to concurrently access multiple LAN-attached workstations
  483.   without redialing.
  484.  
  485.  
  486.   -----------------------------------------------------------------------------
  487.  
  488.  
  489.  
  490.  
  491.     Remote-to-Remote                            Remote-to-LAN
  492.  
  493.    +------+
  494.    |remote|                                                    +------+
  495.    |  ws  |==                                                  |remote|
  496.    +------+  ==                                                |  ws  |
  497.                ==                                              +------+
  498.    +------+      ==  +------+                                      |
  499.    |remote|        =>|remote|                                   :::::::
  500.    |  ws  |=========>|server|                                 ::       ::
  501.    +------+      ===>+------+                 +------+       ::         ::
  502.                ==                             |remote|=====>::  TR LAN   ::
  503.    +------+   ==                              |  ws  |       ::         ::
  504.    |remote|==                                 +------+        ::       ::
  505.    |  ws  |                                                     :::::::
  506.    +------+
  507.  
  508.  
  509.  
  510.  
  511.          LAN-to-Remote                               LAN-to-LAN
  512.  
  513.      +------+                                                +------+
  514.      |remote|                                                |remote|
  515.      |  ws  |                                                |  ws  |
  516.      +------+                                                +------+
  517.          |                                                       |
  518.       :::::::                              :::::::            :::::::
  519.     ::       ::                          ::       ::        ::       ::
  520.    ::         ::      +------+          ::         ::      ::         ::
  521.   ::  TR LAN   ::====>|remote|         ::  TR LAN   ::===>::  TR LAN   ::
  522.    ::         ::      |  ws  |          ::         ::      ::         ::
  523.     ::       ::       +------+           ::       ::        ::       ::
  524.       :::::::                              :::::::            :::::::
  525.                                               |
  526.                                            +------+
  527.                                            |remote|
  528.                                            |  ws  |
  529.                                            +------+
  530.  
  531.   -----------------------------------------------------------------------------
  532.   Figure 1. Four Remote LAN Access Environments
  533.  
  534.  
  535.  
  536.  
  537.   LAN-TO-REMOTE
  538.  
  539.   A "LAN-to-remote" environment, sometimes called  "dial-out",  occurs  when  a
  540.   LAN-attached workstation initiates a connection to a remote workstation via a
  541.   WAN/LAN   communication  server.    The  IBM  remote  LAN  access  capability
  542.   LAN-to-remote environment has the same characteristics  and  capabilities  as
  543.   the remote-to-LAN environment except that the LAN-attached workstation initi-
  544.   ates  the  connection.    An example of LAN-to-remote would be a LAN-attached
  545.   workstation accessing  a  remote  "information  server"  to  acquire  product
  546.   pricing data.
  547.  
  548.  
  549.  
  550.   LAN-TO-LAN
  551.  
  552.   A "LAN-to-LAN" environment occurs when a LAN-attached workstation connects to
  553.   another  LAN-attached workstation via two WAN/LAN communication servers.  The
  554.   IBM remote LAN access capability's LAN-to-LAN implementation simply  combines
  555.   the  functionality  of the LAN-to-remote and remote-to-LAN environments.  The
  556.   resulting "casual bridge" allows  the  customer  to  utilize  switched  links
  557.   rather  than leased lines for a more cost effective solution.  The LAN-to-LAN
  558.   environment provides the capability for LAN-attached machines  to  access  or
  559.   update information residing in remote locations, and also, to act as a server
  560.   for  other remote workstations connecting onto the LAN.  Note that this envi-
  561.   ronment is very different from a split bridge environment.   A  split  bridge
  562.   establishes  a permanent connection between all machines on the two LANs.  In
  563.   the IBM remote LAN access capability LAN-to-LAN environment, connections  are
  564.   established  on  a temporary workstation-to-workstation basis across the WAN.
  565.   The LAN-to-LAN environment is particularly useful for  customers  with  large
  566.   number  of  remote  LAN  networks and a need to control access on and off the
  567.   LANs, such as banking companies with their many branch offices.  It  provides
  568.  
  569.  
  570.  
  571.   2  The IBM Remote LAN Access Capability
  572.  
  573.  
  574.  
  575.  
  576.  
  577.  
  578.  
  579.  
  580.  
  581.   an  inexpensive mechanism for dynamicly connecting the LANs while maintaining
  582.   control over the origin of traffic flowing between them.
  583.  
  584.  
  585.  
  586.   CURRENT REMOTE LAN ACCESS TECHNOLOGIES
  587.   ______________________________________
  588.  
  589.   There  are  numerous other remote LAN access products available today.  These
  590.   products vary widely in cost and functionality.  Many utilize extensions of a
  591.   remote-to-remote environment to provide  remote-to-remote  and  remote-to-LAN
  592.   access capabilities, but do not support the LAN-to-remote or LAN-to-LAN envi-
  593.   ronments.   Many of the products currently available do not support graphical
  594.   interfaces.  Many require dedicated or proprietary hardware.
  595.  
  596.  
  597.   Remote LAN access products use one of four  known  technological  approaches.
  598.   Each  approach  provides  an inherent level of functionality and limitations.
  599.   In order to better compare the functionality offered by the  IBM  remote  LAN
  600.   access  capability to that offered by other products, an overview of the four
  601.   remote LAN access technologies is provided in the following sections.   These
  602.   four technologies are:
  603.  
  604.   o   The hardware approach
  605.   o   The remote control approach
  606.   o   The remote client approach
  607.   o   The WAN/LAN frame relay approach
  608.  
  609.  
  610.   THE HARDWARE APPROACH
  611.  
  612.   The  hardware approach replaces the LAN adapter with a customized WAN adapter
  613.   in the remote workstation and provides a compatible  hardware  "tap"  on  the
  614.   LAN.  This LAN hardware tap varies from a specialized adapter on the LAN file
  615.   server  to  a  standalone  multiprocessor  box.    The implementation of this
  616.   approach varies widely in sophistication, cost, and performance.  In general,
  617.   supporting a large number of remote users with  customized  hardware  may  be
  618.   cost prohibitive.  Difficulties in network maintenance and compatibility have
  619.   been cited as additional reasons this approach might be considered suboptimum
  620.   for  distributed environments.  The IBM remote LAN access capability does not
  621.   use this approach.
  622.  
  623.  
  624.  
  625.   THE REMOTE CONTROL APPROACH
  626.  
  627.   One of the earliest and most pervasive software approaches is remote control.
  628.   The remote workstation using this approach  dials  into,  and  takes  control
  629.   over,  a  LAN-attached  workstation  which executes programs on behalf of the
  630.   remote workstation over the LAN.  Keyboard and screen data from the dedicated
  631.   LAN-attached system is then routed  back  to  the  remote  workstation.    By
  632.   routing  only keyboard and screen data, this approach minimizes the amount of
  633.   data which flows across the link; however, there are numerous  disadvantages.
  634.   Because this approach requires a dedicated machine on the LAN for each remote
  635.   workstation  dialing onto the LAN, customers are required to invest in dupli-
  636.  
  637.  
  638.                                                                               3
  639.  
  640.  
  641.  
  642.  
  643.  
  644.  
  645.  
  646.  
  647.  
  648.   cate hardware.  Most remote control products  transmit  keyboard  and  screen
  649.   data  over  the  WAN in character mode, though some companies are planning to
  650.   provide transmission of graphical screen data in the near future.   Transmit-
  651.   ting  graphics  images  will be slower than transmitting characters; however,
  652.   graphics mode transmission will be necessary to support the use  of  graphics
  653.   or graphical interfaces across the remote link.  Lack of graphics support has
  654.   been  a  major  factor  in the loss of popularity for this approach.  Another
  655.   disadvantage with this approach is security.  In addition to the  requirement
  656.   for the LAN-attached workstation to be powered on for remote use, screen data
  657.   transmitted  across  the link contains a high percentage of fixed information
  658.   in a fixed format.  Data encrypted in this form is relatively easy  to  break
  659.   because  the intruder can see the effects of encryption on the fixed informa-
  660.   tion that is transmitted.  The IBM remote LAN access capability does not  use
  661.   the remote control approach.
  662.  
  663.  
  664.  
  665.   THE REMOTE CLIENT APPROACH
  666.  
  667.   Gaining  popularity  today in the remote LAN access market, the remote client
  668.   approach utilizes a simple mechanism to extend the remote-to-remote  environ-
  669.   ment  to service the remote workstation and allow it to share data and appli-
  670.   cations located on a common WAN/LAN server.   This  may  be  accomplished  by
  671.   replacing  the  LAN device drivers in the remote workstation and LAN-attached
  672.   server with customized device drivers  that  will  allow  them  to  send  and
  673.   receive  LAN  frames across a WAN link.  This provides LAN application trans-
  674.   parency within the remote  workstation.    The  new  device  drivers  utilize
  675.   existing protocols to allow remote workstations to connect with each other to
  676.   form a virtual LAN via the WAN link.  In addition, the device drivers provide
  677.   a  mechanism for remote workstations to disconnect from one another upon con-
  678.   clusion of the remote transaction.  Since the entire LAN frame is transported
  679.   between the remote machines over the WAN link, LAN  applications  running  in
  680.   the  remote  workstations can support graphical interfaces in the same way as
  681.   those running on LAN-attached workstations.  Also, the LAN frames  have  much
  682.   less  fixed  format information thus providing a more secure link encryption.
  683.   This approach is used to provide the remote-to-remote environment within  the
  684.   IBM remote LAN access capability.
  685.  
  686.  
  687.   Extending  the  remote client approach to access information elsewhere on the
  688.   LAN from a remote workstation requires a LAN-attached server to manage trans-
  689.   action data on the workstation's behalf.  The remote environment is analogous
  690.   to a standard LAN client-server environment.    The  remote  workstation  has
  691.   addressability  only  to  the WAN/LAN server to which it is connected.  Files
  692.   and programs residing on the common WAN/LAN server can be  shared  throughout
  693.   the  virtual  LAN.   This approach supports small single-server networks, but
  694.   does not scale well to support large or distributed  environments.    Bottle-
  695.   necks in both memory and CPU capacity tend to form in the common WAN/LAN com-
  696.   munication  and file server.  Because of this, most products using the remote
  697.   client approach are dedicated servers supporting a limited number  of  remote
  698.   connections  (generally,  1 to 16).  Organizations requiring more connections
  699.   or greater capacity than can be accommodated by a single WAN/LAN server  face
  700.   potentially  complex  challenges  in duplicating and maintaining data on mul-
  701.   tiple communication servers.  Accessing data and applications which are  dis-
  702.  
  703.  
  704.   4  The IBM Remote LAN Access Capability
  705.  
  706.  
  707.  
  708.  
  709.  
  710.  
  711.  
  712.  
  713.  
  714.   tributed  across  multiple  servers  can  be  annoying for a remote user in a
  715.   remote client environment.  For instance, a remote user would have  to  phys-
  716.   ically  disconnect  from one server and reconnect to a second server in order
  717.   to  access  its  resources even though the two servers may be attached to the
  718.   same LAN.  Due to the constraints on distributed environments imposed by  the
  719.   remote  client  approach,  The  IBM  remote  LAN access capability utilizes a
  720.   fourth approach, called WAN/LAN frame  relay,  to  provide  fully  integrated
  721.   capabilities  for  the  remote-to-LAN, LAN-to-remote, and LAN-to-LAN environ-
  722.   ments.
  723.  
  724.  
  725.  
  726.   THE WAN/LAN FRAME RELAY APPROACH
  727.  
  728.   The WAN/LAN  frame  relay  approach  replaces  the  device  driver  within  a
  729.   LAN-attached  communication server.   The device driver enables the server to
  730.   take incoming data off a WAN and put it onto the LAN, and also, to take  out-
  731.   going data off the LAN and put it onto the WAN.  In addition to providing the
  732.   transparency  and  remote  LAN  access  capabilities  of  the  remote  client
  733.   approach, frame relay provides full addressability allowing the remote  work-
  734.   station  to  access distributed LAN-attached servers and peer services.  This
  735.   means that the remote workstation can access information and  services  wher-
  736.   ever  they reside on the LAN rather than the LAN having to be redesigned with
  737.   a central dedicated server to accommodate access by the  remote  workstation.
  738.   It  also means that growth in the number of local and remote LAN users can be
  739.   easily accommodated without duplicating (and maintaining) data  files  across
  740.   numerous communication servers.
  741.  
  742.  
  743.   In  summary,  The  IBM  remote LAN access capability utilizes both the remote
  744.   client and WAN/LAN frame relay approaches to provide  a  flexible  and  full-
  745.   function  remote  LAN access capability.  The rest of the paper describes the
  746.   features provided by the IBM remote LAN access capability.
  747.  
  748.  
  749.  
  750.   SUPPORTED CONNECTIVITIES
  751.   ________________________
  752.  
  753.   Remote LAN Access software  products  in  the  market  today  provide  remote
  754.   machines  with  the  ability  to  access information on a LAN-attached server
  755.   using asynchronous modem connections at rates generally between 2400 to 14400
  756.   bits per second (bps).  The IBM remote LAN access capability is optimized for
  757.   higher speed (9600 bps and greater) connections and includes support for  the
  758.   following LAN and WAN connectivities:
  759.  
  760.   o   LAN Connectivities
  761.  
  762.       -   Token Ring
  763.  
  764.   o   WAN Connectivities
  765.  
  766.       -   ISDN Basic Rate Adapter
  767.       -   Asynchronous Communications Port/Modem
  768.       -   Dual Asynchronous Adapter/Modem
  769.  
  770.  
  771.                                                                               5
  772.  
  773.  
  774.  
  775.  
  776.  
  777.  
  778.  
  779.  
  780.  
  781.       -   Asynchronous/Synchronous Artic Adapter/Modem
  782.       -   Synchronous Wide Area Connector Adapter/Modem
  783.  
  784.   An  adequately  configured  WAN/LAN  server can support up to 32 concurrently
  785.   active ports.
  786.  
  787.  
  788.  
  789.   SUPPORTED SOFTWARE INTERFACES
  790.   _____________________________
  791.  
  792.   The IBM remote LAN access capability supports the following  LAN  programming
  793.   interfaces, network operating systems and operating system platforms:
  794.  
  795.   o   Application Programming Interfaces -
  796.  
  797.       -   Netbios
  798.       -   802.2
  799.  
  800.   o   Network Operating Systems -
  801.  
  802.       -   IBM(R) LAN Server
  803.       -   Microsoft(R) LAN Manager
  804.       -   Novell Netware(R) Server (802.2 Compatibility Mode)
  805.  
  806.   o   Operating System Platforms -
  807.  
  808.       -   OS/2(R) 2.0 or greater
  809.       -   Microsoft  Windows(R)  3.1  (provided for remote and LAN workstations
  810.           only)
  811.  
  812.   Any Netbios or 802.2 application will run transparently over the  IBM  remote
  813.   LAN access capability without modification.
  814.  
  815.  
  816.  
  817.   SUPPORTED HARDWARE
  818.   __________________
  819.  
  820.   The  IBM  remote LAN access capability supports all hardware supported by the
  821.   operating system platform on which the IBM remote LAN access capability  com-
  822.   ponent  runs.    Thus,  remote  and  LAN  workstations  support all Microsoft
  823.   Windows(R) 3.1 hardware platforms, and the WAN/LAN server supports all  hard-
  824.   ware platforms supported by OS/2(R) 2.0 or later.
  825.  
  826.  
  827.  
  828.   SECURITY
  829.   ________
  830.  
  831.   The   IBM   remote  LAN  access  capability  provides  an  extensive  set  of
  832.   configurable security options which are enabled via WAN/LAN server configura-
  833.   tion.  These security options include:
  834.  
  835.   o   Workstation address identification
  836.   o   Valid logon time intervals
  837.   o   Password encryption and session-based user authentication
  838.  
  839.  
  840.   6  The IBM Remote LAN Access Capability
  841.  
  842.  
  843.  
  844.  
  845.  
  846.  
  847.  
  848.  
  849.  
  850.   o   Access privilege levels
  851.   o   Simplified log-on for LAN-to-LAN
  852.   o   Call back
  853.  
  854.   Details  of  each  of  these features are provided below.  In addition to the
  855.   security features listed, the IBM remote LAN access capability  transparently
  856.   supports  existing  LAN  and application level security mechanisms.  In other
  857.   words, security features originating from applications, the network operating
  858.   system, the operating system platform, and hardware should run  without  mod-
  859.   ification.
  860.  
  861.  
  862.  
  863.   WORKSTATION ADDRESS IDENTIFICATION
  864.  
  865.   Each  user  account on the WAN/LAN server can be configured with 0 to 8 work-
  866.   station LAN MAC addresses.  If one or more addresses have been defined for  a
  867.   user's  account,  the  user  must  call  from  a  workstation with an address
  868.   matching one of the user account addresses or the logon attempt will fail.
  869.  
  870.  
  871.  
  872.   VALID LOGON TIME INTERVALS
  873.  
  874.   The Valid Logon Time Intervals option allows a Security Administrator to con-
  875.   figure the days of the week and the times of day  during  which  a  user  can
  876.   logon  to  the  server.    Any  logon attempts outside of the designated time
  877.   periods will fail.
  878.  
  879.  
  880.  
  881.   PASSWORD ENCRYPTION AND SESSION-BASED USER AUTHENTICATION
  882.  
  883.   To minimize the possibility of off-line "dictionary attacks" to discover user
  884.   passwords, a one-way encrypted password key is  generated  from  a  "password
  885.   phrase."   For each subsequent logon, the security subsystem implements a two
  886.   party, two-way entity authentication protocol  using  message  authentication
  887.   code  which  adheres  to  the OSI X9.9 security standard.  After a successful
  888.   mutual authentication (workstation-to-server and  server-to-workstation)  the
  889.   workstation  and  WAN/LAN server  both share a common secret session key that
  890.   is used to build certificates that authenticate  all  subsequent  workstation
  891.   service  requests  sent  to  the server.   A new session key is generated for
  892.   every session.
  893.  
  894.  
  895.  
  896.   ACCESS PRIVILEGE LEVELS
  897.  
  898.   A database of user accounts is maintained at the WAN/LAN server.  User's  are
  899.   classified into the following types:
  900.  
  901.   o   User
  902.   o   Administrator
  903.   o   Security Administrator
  904.  
  905.  
  906.                                                                               7
  907.  
  908.  
  909.  
  910.  
  911.  
  912.  
  913.  
  914.  
  915.  
  916.   "User"  is  the  lowest  security  classification.   A User has permission to
  917.   access the dial services of a WAN/LAN server in order to dial off LAN and can
  918.   be granted permission to remotely attach to the LAN wire by calling a WAN/LAN
  919.   server.  A User can also view and change selected information, such  as  user
  920.   description  and  user  password,  within the User's own account on a WAN/LAN
  921.   server.
  922.  
  923.  
  924.   An Administrator has the same privileges as a  User,  and  additionally,  can
  925.   perform  management  functions  such as transaction logging and report gener-
  926.   ation.
  927.  
  928.  
  929.   A Security Administrator has the same privileges as an Administrator and,  in
  930.   addition,  is  authorized  to  maintain  a WAN/LAN server's User Account Data
  931.   Base.  This includes changing user account policy parameters (e.g.    maximum
  932.   number of logon attempts permitted during a single call), as well as viewing,
  933.   adding,  and  deleting  user accounts within the User Account Data Base.  The
  934.   Security Administrator can also change account information contained  in  any
  935.   user's accounts and disable the security features.
  936.  
  937.  
  938.  
  939.   SIMPLIFIED LOG-ON FOR LAN-TO-LAN
  940.  
  941.   A  user  is  required  to  logon and be authenticated by each secured WAN/LAN
  942.   server before accessing it's services.  If the same user ID and password  are
  943.   maintained  at  multiple servers, the user will be able to access these addi-
  944.   tional servers without having to reenter IDs and passwords.  For example,  if
  945.   a  user  on  a  LAN-attached  workstation  wishes  to access a workstation on
  946.   another LAN, the user would logon to the locally-attached WAN/LAN  server  to
  947.   dial-out to a second, remote WAN/LAN server.  The user would only be prompted
  948.   for  an  ID  and  password by the remote WAN/LAN server if they are different
  949.   from those used to access the first WAN/LAN server.
  950.  
  951.  
  952.   This feature should not be confused with what  is  generally  called  "single
  953.   logon."    Single  logon,  or  the ability to bypass network operating system
  954.   logons, is not provided by the IBM remote LAN access capability.    In  other
  955.   words,  users  must  still logon to LAN servers in the same way they would if
  956.   they were LAN-attached.
  957.  
  958.  
  959.  
  960.   CONFIGURABLE LOGON PARAMETERS
  961.  
  962.   Several logon policy options can be configured by  a  Security  Administrator
  963.   when setting up a WAN/LAN server.  These include:
  964.  
  965.   o   Minimum and Maximum Password Age
  966.   o   Minimum Password Length
  967.   o   Maximum Number of Unsuccessful Logon Attempts
  968.   o   Password History
  969.  
  970.  
  971.  
  972.   8  The IBM Remote LAN Access Capability
  973.  
  974.  
  975.  
  976.  
  977.  
  978.  
  979.  
  980.  
  981.  
  982.   The Password History option allows a Security Administrator to specify that a
  983.   history of from zero to eight prior passwords be saved in the user's account.
  984.   When a user submits a new password, the password is checked against the pass-
  985.   word  history to ensure it does not duplicate one previously submitted.  If a
  986.   duplicate  is found, the new password is invalid and the user is requested to
  987.   submit another new password.
  988.  
  989.  
  990.  
  991.   CALL BACK
  992.  
  993.   The Call Back feature for remote workstations can  be  configured  to  handle
  994.   either  a  fixed or mobil telephone number.  The mobil Call Back requires the
  995.   user to submit a telephone number as part of  the  logon  process  which  the
  996.   server then uses to call back.  The caller is authenticated both prior to the
  997.   call  back to prevent unnecessary telephone charges, and also, after the call
  998.   back is complete to guard against known hacker techniques that  can  normally
  999.   only be avoided using special telephone equipment or service options.  Beyond
  1000.   security, call back can be useful if reversal of telephone charges is needed,
  1001.   such as from a hotel or customer site.
  1002.  
  1003.  
  1004.  
  1005.   ADMINISTRATIVE FEATURES
  1006.   _______________________
  1007.  
  1008.   The IBM remote LAN access capability provides full administrative support for
  1009.   monitoring  connection status as well as logging errors, user data, and audit
  1010.   information.   Audit information includes  all  connections  attempted,  com-
  1011.   pleted,  and  rejected.    Also  included  are security trails and statistics
  1012.   useful for capacity planning.  The audit logs can  be  displayed  locally  or
  1013.   retrieved  from a remote workstation.  In addition, several key configuration
  1014.   files from a given workstation can be collected into a single file for  anal-
  1015.   ysis.    The  IBM  remote  LAN  access  capability can interface with a user-
  1016.   supplied report program to schedule and  create  daily,  weekly,  or  monthly
  1017.   reports, or to periodically generate output when the log file reaches a spec-
  1018.   ified size.
  1019.  
  1020.  
  1021.  
  1022.   USER INTERFACE
  1023.   ______________
  1024.  
  1025.   The  IBM  remote  LAN  access  capability  employs a standard object-oriented
  1026.   graphical user interface consistent with that used  for  OS/2(R)  2.0.    The
  1027.   interface  has  been designed to be consistent across all supported operating
  1028.   systems and machine types, whether it be a Microsoft Windows(R)-based  remote
  1029.   workstation  or  an  OS/2(R)-based  LAN-attached  workstation.    Only  those
  1030.   selections appropriate to the user's location and privilege  level  are  pre-
  1031.   sented.    An  example  of  this  interface is the phone book and call status
  1032.   screen illustrated in Figure 2 on page 10.
  1033.  
  1034.  
  1035.   The graphical user interface provides information on available servers,  call
  1036.   status,  and context sensitive help screens.  Connection to the "virtual LAN"
  1037.   may be accomplished by selecting an entry from a user's phone book or through
  1038.  
  1039.  
  1040.                                                                               9
  1041.  
  1042.  
  1043.  
  1044.  
  1045.  
  1046.  
  1047.  
  1048.  
  1049.  
  1050.   a command line interface.   Commands may be  entered  from  the  keyboard  or
  1051.   imbedded in a batch or command file.
  1052.  
  1053.  
  1054.   Another  unique feature is support for moving workstations between remote and
  1055.   LAN-attached environments, or "docking."  When a workstation is configured as
  1056.   both LAN-attached and remote, the IBM remote LAN  access  capability  manages
  1057.   the  configuration  changes  to support the correct environment.  This vastly
  1058.   simplifies the use of a single workstation for home, office, and travel.
  1059.  
  1060.  
  1061.   -----------------------------------------------------------------------------
  1062.  
  1063.  
  1064.   +----------------------------------------------+
  1065.   |   SERVER-10 - Phone Book                     |
  1066.   +----------------------------------------------+
  1067.   |                                              |
  1068.   |  +-+-----------------------------+           |
  1069.   |  \\|                             ------+     |
  1070.   |  \\| Name:           (Dial)        A-L |     |
  1071.   |  \\|   Austin, TX                ------+     |
  1072.   |  \\|                 (Hang Up)   |           |
  1073.   |  \\| Number:                     |-----+     |
  1074.   |  \\|   512 555 1212  (Alternate) | M-R |     |
  1075.   |  \\|                             |-----+     |
  1076.   |  \\| Modem:                      |           |
  1077.   |  \\|   ATDT15125551212           |-----+     |
  1078.   |  \\|   CONNECT 19200/ECL V.32BIS | S-Z |     |
  1079.   |  \\|                             |-----+     |
  1080.   |  \\|          page 1 of 4  < | > |           |
  1081.   |  +-+-----------------------------+           |
  1082.   |                                              |
  1083.   |  (Add)  (Change)  (Delete)  (Help)           |
  1084.   |                                              |
  1085.   +----------------------------------------------+
  1086.  
  1087.  
  1088.   -----------------------------------------------------------------------------
  1089.   Figure 2. Phone Book and Call Status Screen
  1090.  
  1091.  
  1092.  
  1093.  
  1094.   INSTALLATION AND CONFIGURATION
  1095.   ______________________________
  1096.  
  1097.   The IBM remote LAN access capability provides a guided quick installation and
  1098.   configuration path as well as support for advanced configuration via CUA'91's
  1099.   Notebook Controls.  The quick install feature may be used to install the  IBM
  1100.   remote  LAN access capability on LAN-attached and remote workstations.  It is
  1101.   designed for non-technical users to provide a simple  workstation  configura-
  1102.   tion with a minimum amount of knowledge, time and effort.  After installation
  1103.   is  complete,  the  advanced  configuration may be used to customize and tune
  1104.   selected configuration parameters within the WAN/LAN server  and workstations
  1105.   for optimum network and system performance.   The advanced  configuration  is
  1106.   designed for experienced users.  Preconfigured default values make tuning via
  1107.   the  advanced  configuration  panels  unnecessary for most parameters on most
  1108.   networks.  Online help panels guide users through possible choices  for  each
  1109.   parameter.
  1110.  
  1111.  
  1112.   The  remote  workstation can be installed directly over OS/2(R) 2.0 or later,
  1113.   or Microsoft Windows(R) 3.1.  The WAN/LAN server and LAN workstation assume a
  1114.   LAN-enabled system for installation; minimum requirements are for the Netbios
  1115.   or 802.2 LAN Adapter Protocol Support to be  present.    The  WAN/LAN  server
  1116.   requires OS/2(R) 2.0 or later, while the LAN workstation may be either Micro-
  1117.   soft Windows(R) or OS/2(R)-based.
  1118.  
  1119.  
  1120.   The IBM remote LAN access capability may be installed by using:
  1121.  
  1122.   o   diskettes
  1123.   o   diskettes and a response file
  1124.   o   a LAN redirected drive
  1125.   o   a LAN redirected drive and a response file
  1126.  
  1127.   Installation  using a LAN redirected drive is performed via the LAN's Config-
  1128.   uration, Installation and Distribution (CID) facility.   The IBM  remote  LAN
  1129.  
  1130.  
  1131.   10  The IBM Remote LAN Access Capability
  1132.  
  1133.  
  1134.  
  1135.  
  1136.  
  1137.  
  1138.  
  1139.  
  1140.  
  1141.   access  capability  is  fully  CID-enabled  for installation.   Users of this
  1142.   facility install the IBM remote LAN access capability on  their  workstations
  1143.   and  servers  by  attaching  to  the  LAN  and  redirecting  the files from a
  1144.   LAN-attached  source.  A response file may be specified at the time installa-
  1145.   tion is invoked.  A response file contains all the answers to  the  questions
  1146.   that  are  asked during a panel-driven installation.  This allows administra-
  1147.   tors to setup quick and simple installations for their users.
  1148.  
  1149.  
  1150.  
  1151.  
  1152.   COMPONENTS AND PACKAGING
  1153.   ________________________
  1154.  
  1155.   The IBM remote LAN access capability consists  of  three  components  (remote
  1156.   workstation, server, and LAN workstation) contained within two packages:
  1157.  
  1158.  
  1159.  
  1160.   THE IBM REMOTE WORKSTATION PACKAGE
  1161.  
  1162.   The  IBM remote workstation package contains the remote workstation component
  1163.   and enables the remote-to-remote environment by establishing  a  direct  con-
  1164.   nection  with  another  workstation.   Used alone, the IBM remote workstation
  1165.   package can provide a low-cost means for two LAN applications to  communicate
  1166.   without  requiring  a  physical  LAN.    If  installed on a LAN-attached file
  1167.   server, the IBM remote workstation package can provide indirect remote access
  1168.   to the LAN through shared files contained on the server.  This  configuration
  1169.   supplies  the level of functionality available with the remote clent approach
  1170.   described earlier. If used in conjunction with a WAN/LAN server  supplied  by
  1171.   the  IBM  remote LAN access server package, a remote workstation can directly
  1172.   access any workstation on the LAN which has been configured to participate in
  1173.   the remote environment.  The IBM remote workstation package  runs  on  either
  1174.   OS/2(R) 2.0 or later, or Microsoft Windows(R) 3.1.
  1175.  
  1176.  
  1177.  
  1178.   THE IBM REMOTE LAN ACCESS SERVER PACKAGE
  1179.  
  1180.   The  IBM  remote  LAN access server package contains the server and LAN work-
  1181.   station components.  The IBM remote LAN access server package enables the LAN
  1182.   portion of the remote-to-LAN, LAN-to-remote, and LAN-to-LAN  environments  by
  1183.   allowing  a LAN workstation to dial-out to a remote workstation, allowing the
  1184.   remote workstation to dial-in to  a  LAN  workstation,  and  relaying  frames
  1185.   between  the WAN/LAN environments.  The non-dedicated WAN/LAN server requires
  1186.   an OS/2(R) 2.0 or later base.
  1187.  
  1188.  
  1189.   The LAN workstation component provides an  interface  to  allow  LAN-attached
  1190.   workstations  to  dial-out  of  the LAN and participate in remote LAN access.
  1191.   The LAN workstation component runs on either OS/2(R) 2.0 or later, or  Micro-
  1192.   soft Windows(R) 3.1.
  1193.  
  1194.  
  1195.  
  1196.  
  1197.  
  1198.                                                                              11
  1199.  
  1200.  
  1201.  
  1202.  
  1203.  
  1204.  
  1205.  
  1206.  
  1207.  
  1208.   LICENSING OF TECHNOLOGY
  1209.   _______________________
  1210.  
  1211.   The  following options are available to customers desiring to obtain early or
  1212.   pre-release versions of the IBM remote LAN access capability components:
  1213.  
  1214.  
  1215.   THE BETA PROGRAM provides the IBM remote LAN access capability code at prede-
  1216.   termined development checkpoints.   Access to this  code  is  gained  through
  1217.   processing the IBM remote LAN access capability evaluation agreement.
  1218.  
  1219.  
  1220.   A  CUSTOMIZED  AGREEMENT  FOR DISTRIBUTION RIGHTS provides the IBM remote LAN
  1221.   access capability technology prior to General Availability under  a  distrib-
  1222.   ution license to allow seamless integration with customer products.
  1223.  
  1224.  
  1225.   Questions  concerning  the IBM remote LAN access capability or the above pro-
  1226.   grams should be directed to the the IBM remote LAN access capability Develop-
  1227.   ment liaison:
  1228.  
  1229.       Rick Ragan
  1230.       IBM Internal Zip 9131
  1231.       11400 Burnet Road
  1232.       Austin, TX 78758
  1233.       (512) 838-0640 voice
  1234.       (512) 838-8597 fax
  1235.       IBMMAIL: IBMMAIL(USIB2D2P)
  1236.       INTERNET: ragan@ausvm1.vnet.ibm.com
  1237.  
  1238.  
  1239.  
  1240.  
  1241.  
  1242.  
  1243.  
  1244.  
  1245.  
  1246.  
  1247.  
  1248.  
  1249.  
  1250.  
  1251.  
  1252.  
  1253.  
  1254.  
  1255.  
  1256.  
  1257.  
  1258.  
  1259.  
  1260.  
  1261.  
  1262.  
  1263.  
  1264.  
  1265.   12  The IBM Remote LAN Access Capability
  1266.  
  1267.  
  1268.  
  1269.