IPVPN业务操作介绍和功能演示-cpass报告.ppt

VPN业务维护操作介绍与演示-cpass报告,内部资料编号：048,VDN平台的介绍VDN平台的维护和管理IPSECVPN终端的配置SSLVPN和IBC平台的管理维护,培训目录,认识VPN,VPN（VirtualPrivateNetwork），即虚拟专用网。是指将物理上分布在不同地点的网络通过公用骨干网络（如Internet）联接而成逻辑上的虚拟子网。为了确保信息在公网上传输的安全性，VPN技术采用了认证、存取控制、机密性、数据完整性等措施，以保证信息在传输过程中不会被偷看、篡改和复制。理解：1、VPN是通过公网传输数据。公网传输的优点：成本低廉；公网传输的缺点：数据包容易被攫取。2、VPN对有效数据采用了加密、认证等措施。即使数据包被攫取，也无法偷看、篡改和复制。只有目的端才能解密和查看数据，这就是VPN的专用性。所以，VPN既利用了公网的优点，又具备了专网的安全。,了解IPSec,上面说到，VPN对数据进行了加密和认证。那么，这是如何实现的呢？答案就是隧道协议。VPN通过隧道协议对数据进行加密和认证。隧道协议有PPTP、L2TP、IPSec等。PPTP和L2TP是windows支持的协议。目前VPN使用最广泛同时也非常安全的隧道协议就是IPSec协议。,利用IPSec协议建立VPN隧道的过程就是加密和解密策略的“制定”过程。,A,B,这个过程由IPSec协议自动完成，但前提条件是A和B都能够相互找到对方。那A和B如何找到对方呢？1、都是公网固定IP2、A和B的其中一方是动态IP（如ADSL），另一方是固定IP3、都是公网动态IP前两种情况由于具有公网IP，使得A和B通过该IP就可以很容易找到对方；但第三种情况就不容易了，由于IP不固定，而且随时都会变化，不通过第三方，A和B是无法找到对方的。举例：租房和买房谁来充当第三方呢？现在很多企业能够提供动态域名服务（DDNS），如花生壳，把动态IP与静态域名捆绑，并定时更新，使得VPN对等方通过其提供的静态域名就可以找到对方，目前，许多VPN厂商都与DDNS提供商进行了这种捆绑合作。,这样做最主要的好处是大大降低了产品的成本，但同时隐藏着最致命的缺陷：稳定性和可管理性很差。而稳定性和可管理性又都是VPN产品的关键评估要素，尤其是稳定性。正因为如此，我们奥联自主研发并首先推出了稳定性和可管理性极强的全动态IP地址的VPN解决方案VDN架构体系。,VDN平台介绍,VDN（VirtualDomainName），虚拟域名服务。VDN平台为每个独立的“集体”分配一个虚拟域名，然后为该“集体”内的每个APN终端设备分配一个主机名，虚拟域名和主机名共同确立该设备的标识，并且全球唯一。同时，在Internet上，我们自己开发出一种机制来解析这些域名，使得在同一个域之间的主机能够相互按照事先预定的规则快速搜索到同域的其他机器。那么，是不是具备了虚拟域名和主机名就彼此可以通过VDN平台建立隧道了呢？当然不是，因为这样是非常不安全的，虚拟域名和主机名是很容易被外界知道的，所以，VDN平台又建立了许可证机制，分配域名和主机名的同时，也分配一个随机生成的许可证，作为这台主机到VDN平台的身份标识，没有这个许可证就无法通过身份验证，当然就不能与其它APN建立隧道。只有同时具备这三个参数才可以相互之间建立隧道。,A通过主识别号找到VDN，提交许可证到VDN请求认证通过，并要求和B建立通信隧道VDN通知A已经通过认证B上网后也通过主识别号找到VDN提交许可证到VDN，请求VDN认证通过，寻求是否可以和别的点建立通信隧道VDN通知B已经通过认证VDN将B的在线信息告诉AVDN将A的在线信息告诉BA通过获得的B的IP找到B并请求和B建立通信隧道B响应A请求，并和A交流数据,双方最终建立成功隧道,实时维护,通过VDN平台可以实现：1、身份认证2、网络拓扑定义3、快速部署大规模的VPN网络4、集中管理功能5、事件报警功能,VDN平台的介绍VDN平台的维护和管理IPSECVPN终端的配置SSLVPN和IBC平台的管理维护,培训目录,登陆VDN平台,北京VDN地址:09浙江VDN地址:https/1,目前VDN平台的管理帐号已经下发到各省，由各省负责业务的开通和维护。,新建立用户,添加新节点,添加新节点,查询在线节点,查询在线节点,查询在线节点,定义网络拓扑关系,VDN平台的介绍VDN平台的维护和管理IPSECVPN终端的配置SSLVPN和IBC平台的管理维护,培训目录,APN的安装,由于VDN平台的强大功能，使得APN终端设备建立VPN隧道变得非常安全和快速，也使得安装变得相当简单。在已经配置上网线路的情况下，只需要配置由VDN平台分配的虚拟域名、主机名和许可证号三个参数就可以让APN设备之间快速建立VPN隧道。把复杂的参数配置过程就这样简单化了。所以APN的安装过程就是配置上网线路和这三个参数的过程，其中配置上网线路跟普通路由器几乎没有区别。,1、安装前说明安装前请准备一定长的交叉网线安装前请安说明书检查设备附件LAN口缺省IP：00APN缺省登陆帐号信息帐号：root密码：gw1admin确认已有APN许可证信息，如果没有请联系负责人或厂商技术支持建议修改缺省IP并使用规划合理的IP网段建议修改帐号的缺省密码配置完成请及时做好系统备份，具体操作请参考使用说明书安装完成请妥善保管所有附件及系统有用信息,APN安装：硬件连线指导,APN安装：配置调试步骤,正确将APN联入网络后，正常使用APN需要进行以下信息配置第一步：APNLAN口IP配置修改本地配置电脑IP及网关配置使用缺省IP登陆APNweb管理界面为APN配置新的LANIP地址第二步：APNWAN口上网方式配置第三步：APN许可证信息配置,VDN平台的介绍VDN平台的维护和管理IPSECVPN终端的配置SSLVPN和IBC平台的管理维护,培训目录,SSLVPN的发展,SSL协议SSLVPN即指采用SSL（SecuritySocketLayer）协议来实现远程接入的一种新型VPN技术。SSL协议是网景公司提出的基于WEB应用的安全协议，它包括：服务器认证、客户认证（可选）、SSL链路上的数据完整性和SSL链路上的数据保密性。对于内、外部应用来说，使用SSL可保证信息的真实性、完整性和保密性。目前SSL协议被广泛应用于各种浏览器应用。正因为SSL协议被内置于IE等浏览器中，使用SSL协议进行认证和数据加密的SSLVPN就可以免于安装客户端。相对于传统的IPSECVPN而言，SSLVPN具有部署简单，无客户端，维护成本低，网络适应强等特点,IPSECVPN和SSLVPN的比较,IT环境IPSecVPNSSLVPN连接类型固定连接短暂连接设备类型可控的公司设备经常变动的设备接入类型Site-to-site远程员工，合作伙伴访问控制防火墙控制允许增强的接入管理策略,IBC平台介绍,奥联IBC运营平台,是基于IBC认证加密体系进行客户端身份认证的运营管理平台。针对铁通SSLVPN具体业务,该平台可以为每个申请SSL业务的客户端用户生成带有邮件”标识”的唯一私钥,并结合奥联的IBC-USBKey,共同为企业的SSLVPN应用提供安全可靠的接入认证体系。同时,基于该平台,铁通公司可以实现该业务的运营。,身份认证机制,运营服务,月服务费用,登陆平台方式,选择企业管理,省分业务界面,选择“下级企业”输入业务帐号和密码后进行业务管理操作登陆。如：北京分公司输入：cttbj密码默认88888888,功能：1、按地市生成分组；2、生成、管理业务用户信息和帐号；3、发送邀请邮件给客户，客户自行生成私钥；4、管理用户私钥和标识；5、业务查询和管理；,登陆,业务操作说明,在用户管理窗口下可新增用户，并输入相关用户信息，同时将用户分到相应的分组中。注意：一定要填写客户有效的邮件地址作为私钥标识。,业务操作说明,省分业务管理员在IBC平台成功录入了用户的基本信息后，IBC平台会自动向用户的指定邮箱发送私钥生成的邀请链接！注意：在此为了保证客户的安全，私钥的生成一定需要客户自行打开邮箱，点击该链接，才能生成私钥，即使是铁通IBC管理员，也不可能生成客户的私钥。,用户私钥下载,用户点击了邀请链接后，用户自动登陆的到私钥生成界面，插入USBKey到电脑，输入默认服务密码，初始为88888888,同时进行服务密码的修改！并勾选“是否将私钥写入USBKEY”，