搜索
LOGO1VPN业务维护操作介绍与演示-cpass报告内部资料编号:048LOGO2VDN平台的介绍VDN平台的维护和管理IPSECVPN终端的配置SSLVPN和IBC平台的管理维护培训目录LOGO3认识VPNVPN(VirtualPrivateNetwork),即虚拟专用网。是指将物理上分布在不同地点的网络通过公用骨干网络(如Internet)联接而成逻辑上的虚拟子网。为了确保信息在公网上传输的安全性,VPN技术采用了认证、存取控制、机密性、数据完整性等措施,以保证信息在传输过程中不会被偷看、篡改和复制。理解:1、VPN是通过公网传输数据。公网传输的优点:成本低廉;公网传输的缺点:数据包容易被攫取。2、VPN对有效数据采用了加密、认证等措施。即使数据包被攫取,也无法偷看、篡改和复制。只有目的端才能解密和查看数据,这就是VPN的专用性。所以,VPN既利用了公网的优点,又具备了专网的安全。LOGO4了解IPSec上面说到,VPN对数据进行了加密和认证。那么,这是如何实现的呢?答案就是隧道协议。VPN通过隧道协议对数据进行加密和认证。隧道协议有PPTP、L2TP、IPSec等。PPTP和L2TP是windows支持的协议。目前VPN使用最广泛同时也非常安全的隧道协议就是IPSec协议。INTERNETVPN网关VPN网关VPN隧道分公司总部利用IPSec协议建立VPN隧道的过程就是加密和解密策略的“制定”过程。ABLOGO5这个过程由IPSec协议自动完成,但前提条件是A和B都能够相互找到对方。那A和B如何找到对方呢?1、都是公网固定IP2、A和B的其中一方是动态IP(如ADSL),另一方是固定IP3、都是公网动态IP前两种情况由于具有公网IP,使得A和B通过该IP就可以很容易找到对方;但第三种情况就不容易了,由于IP不固定,而且随时都会变化,不通过第三方,A和B是无法找到对方的。举例:租房和买房谁来充当第三方呢?现在很多企业能够提供动态域名服务(DDNS),如花生壳,把动态IP与静态域名捆绑,并定时更新,使得VPN对等方通过其提供的静态域名就可以找到对方,目前,许多VPN厂商都与DDNS提供商进行了这种捆绑合作。LOGO6这样做最主要的好处是大大降低了产品的成本,但同时隐藏着最致命的缺陷:稳定性和可管理性很差。而稳定性和可管理性又都是VPN产品的关键评估要素,尤其是稳定性。正因为如此,我们奥联自主研发并首先推出了稳定性和可管理性极强的全动态IP地址的VPN解决方案--VDN架构体系。域名解析请求返回IP地址DDNS提供商LOGO7VDN平台介绍VDN(VirtualDomainName),虚拟域名服务。VDN平台为每个独立的“集体”分配一个虚拟域名,然后为该“集体”内的每个APN终端设备分配一个主机名,虚拟域名和主机名共同确立该设备的标识,并且全球唯一。同时,在Internet上,我们自己开发出一种机制来解析这些域名,使得在同一个域之间的主机能够相互按照事先预定的规则快速搜索到同域的其他机器。那么,是不是具备了虚拟域名和主机名就彼此可以通过VDN平台建立隧道了呢?当然不是,因为这样是非常不安全的,虚拟域名和主机名是很容易被外界知道的,所以,VDN平台又建立了许可证机制,分配域名和主机名的同时,也分配一个随机生成的许可证,作为这台主机到VDN平台的身份标识,没有这个许可证就无法通过身份验证,当然就不能与其它APN建立隧道。只有同时具备这三个参数才可以相互之间建立隧道。LOGO8APN网络BAPN网络AInternet奥联VDN服务平台固定线路A通过主识别号找到VDN,提交许可证到VDN请求认证通过,并要求和B建立通信隧道VDN通知A已经通过认证B上网后也通过主识别号找到VDN提交许可证到VDN,请求VDN认证通过,寻求是否可以和别的点建立通信隧道VDN通知B已经通过认证VDN将B的在线信息告诉AVDN将A的在线信息告诉BA通过获得的B的IP找到B并请求和B建立通信隧道B响应A请求,并和A交流数据⑨⑨双方最终建立成功隧道实时维护LOGO9通过VDN平台可以实现:1、身份认证2、网络拓扑定义3、快速部署大规模的VPN网络4、集中管理功能5、事件报警功能LOGO10VDN平台的介绍VDN平台的维护和管理IPSECVPN终端的配置SSLVPN和IBC平台的管理维护培训目录LOGO11登陆VDN平台•北京VDN地址:地址:https//222.46.120.11平台所属省利用平台开展业务的其他省分公司北京黑龙江、吉林、辽宁、青海、宁夏、甘肃、江苏、河北、安徽、湖北、上海、贵州、四川、重庆浙江新疆、陕西、山东、河南、山西、内蒙、天津、湖南、江西、福建、广东、广西、海南、云南目前VDN平台的管理帐号已经下发到各省,由各省负责业务的开通和维护。LOGO12新建立用户LOGO13添加新节点LOGO14添加新节点LOGO15查询在线节点LOGO16查询在线节点LOGO17查询在线节点LOGO18定义网络拓扑关系LOGO19VDN平台的介绍VDN平台的维护和管理IPSECVPN终端的配置SSLVPN和IBC平台的管理维护培训目录LOGO20APN的安装由于VDN平台的强大功能,使得APN终端设备建立VPN隧道变得非常安全和快速,也使得安装变得相当简单。在已经配置上网线路的情况下,只需要配置由VDN平台分配的虚拟域名、主机名和许可证号三个参数就可以让APN设备之间快速建立VPN隧道。把复杂的参数配置过程就这样简单化了。所以APN的安装过程就是配置上网线路和这三个参数的过程,其中配置上网线路跟普通路由器几乎没有区别。LOGO211、安装前说明•安装前请准备一定长的交叉网线•安装前请安说明书检查设备附件•LAN口缺省IP:192.168.32.200•APN缺省登陆帐号信息帐号:root密码:gw1admin•确认已有APN许可证信息,如果没有请联系负责人或厂商技术支持•建议修改缺省IP并使用规划合理的IP网段•建议修改帐号的缺省密码•配置完成请及时做好系统备份,具体操作请参考使用说明书•安装完成请妥善保管所有附件及系统有用信息LOGO22APN安装:硬件连线指导LOGO23APN安装:配置调试步骤•正确将APN联入网络后,正常使用APN需要进行以下信息配置第一步:APNLAN口IP配置①修改本地配置电脑IP及网关配置②使用缺省IP登陆APNweb管理界面③为APN配置新的LANIP地址第二步:APNWAN口上网方式配置第三步:APN许可证信息配置LOGO24VDN平台的介绍VDN平台的维护和管理IPSECVPN终端的配置SSLVPN和IBC平台的管理维护培训目录LOGO25SSLVPN的发展•SSL协议SSLVPN即指采用SSL(SecuritySocketLayer)协议来实现远程接入的一种新型VPN技术。SSL协议是网景公司提出的基于WEB应用的安全协议,它包括:服务器认证、客户认证(可选)、SSL链路上的数据完整性和SSL链路上的数据保密性。对于内、外部应用来说,使用SSL可保证信息的真实性、完整性和保密性。目前SSL协议被广泛应用于各种浏览器应用。正因为SSL协议被内置于IE等浏览器中,使用SSL协议进行认证和数据加密的SSLVPN就可以免于安装客户端。相对于传统的IPSECVPN而言,SSLVPN具有部署简单,无客户端,维护成本低,网络适应强等特点LOGO26IPSECVPN和SSLVPN的比较•IT环境IPSecVPNSSLVPN•连接类型固定连接短暂连接•设备类型可控的公司设备经常变动的设备•接入类型Site-to-site远程员工,合作伙伴•访问控制防火墙控制允许增强的接入管理策略LOGO27IBC平台介绍奥联IBC运营平台,是基于IBC认证加密体系进行客户端身份认证的运营管理平台。针对铁通SSLVPN具体业务,该平台可以为每个申请SSL业务的客户端用户生成带有邮件”标识”的唯一私钥,并结合奥联的IBC-USBKey,共同为企业的SSLVPN应用提供安全可靠的接入认证体系。同时,基于该平台,铁通公司可以实现该业务的运营。身份认证机制运营服务月服务费用LOGO28登陆平台方式•选择企业管理LOGO29省分业务界面选择“下级企业”输入业务帐号和密码后进行业务管理操作登陆。如:北京分公司输入:cttbj密码默认88888888功能:1、按地市生成分组;2、生成、管理业务用户信息和帐号;3、发送邀请邮件给客户,客户自行生成私钥;4、管理用户私钥和标识;5、业务查询和管理;登陆LOGO30业务操作说明在用户管理窗口下可新增用户,并输入相关用户信息,同时将用户分到相应的分组中。注意:一定要填写客户有效的邮件地址作为私钥标识。LOGO31业务操作说明省分业务管理员在IBC平台成功录入了用户的基本信息后,IBC平台会自动向用户的指定邮箱发送私钥生成的邀请链接!注意:在此为了保证客户的安全,私钥的生成一定需要客户自行打开邮箱,点击该链接,才能生成私钥,即使是铁通IBC管理员,也不可能生成客户的私钥。LOGO32用户私钥下载用户点击了邀请链接后,用户自动登陆的到私钥生成界面,插入USBKey到电脑,输入默认服务密码,初始为88888888,同时进行服务密码的修改!并勾选“是否将私钥写入USBKEY”,然后提交。注意:为了安全请客户修改服务密码,并记住新的密码!LOGO33用户私钥下载输入服务密码(以后登陆IBC平台的密码)和USBKey的Pin密码(USBKey的保护密码)将私钥下载到USBKey中去。注意:为了保证用户的安全,用户必须保证这两个密码的安全,如有问题请即使联系管理人员,做出相应的处理。LOGO34过程演示•使用IBCKEY从外网接入APN,访问各服务器的演示LOGO35