第一篇:VPN的四种安全技术详解
VPN的四种安全技术详解
我们都知道,由于VPN(虚拟专用网络)传输的是私有信息,VPN用户对数据的安全性都比较关心。目前VPN主要采用四项技术来保证安全,下面,517网游加速器芯晴就来给大家一一道来。
1.隧道技术:
隧道技术是VPN的基本技术类似于点对点连接技术,它在公用网建立一条数据通道,让数据包通过这条隧道传输。隧道是由隧道协议形成的,分为第二、三层隧道协议。第二层隧道协议是先把各种网络协议封装到PPP中,再把整个数据包装入隧道协议中。这种双层封装方法形成的数据包靠第二层协议进行传输。第二层隧道协议有L2F、PPTP、L2TP等。L2TP协议是目前IETF的标准,由IETF融合PPTP与L2F而形成。
第三层隧道协议是把各种网络协议直接装入隧道协议中,形成的数据包依靠第三层协议进行传输。第三层隧道协议有VTP、IPSec等。IPSec是由一组RFC文档组成,定义了一个系统来提供安全协议选择、安全算法,确定服务所使用密钥等服务,从而在IP层提供安全保障。
2.加解密技术:
加解密技术是数据通信中一项较成熟的技术,VPN可直接利用现有技术。
3.密钥管理技术:
密钥管理技术的主要任务是如何在公用数据网上安全地传递密钥而不被窃取。现行密钥管理技术又分为SKIP与ISAKMP/OAKLEY两种。SKIP主要是利用Diffie-Hellman的演算法则,在网络上传输密钥;在ISAKMP中,双方都有两把密钥,分别用于公用、私用。
4.使用者与设备身份认证技术:
使用者与设备身份认证技术最常用的是使用者名称与密码或卡片式认证等方式。
第二篇:VPN技术的学习总结
VPN技术的学习总结
在网络安全课程的学习过程中,我对网络安全有了一些了解和认识。特别是它的基础概念,网络安全的具体要求,安全通信模型以及目前广泛使用的安全技术等知识。其中VPN技术是目前安全通信中既能保证一定的安全性又具有经济性的一项技术,因此它目前的市场应用十分广泛。所以在学习完这门课程后,我想对所有学过的知识做一个梳理,然后把我比较感兴趣的VPN技术做深入一些的学习和整理。
1.网络安全的基本概念
网络安全包含网络系统硬件、软件以及网络上存储和传输的信息资源的安全性。而其安全性包括计算机系统的硬件、软件、数据受到保护,不因偶然的或恶意的原因而遭到破坏、更改、泄露,确保系统能连续正常运行,网络服务不中断。
网络安全的威胁包括:计算机病毒,蠕虫,木马,拒绝服务攻击,逻辑炸弹,后门和隐蔽通道等。
在网络信息传输的过程中,信息的安全特性包括:机密性,完整性,可用性,不可否认性,可控性,可审查性,可恢复性。只有在满足了以上特性的信息传输才被认为是安全的。因此相对应于各个安全特性,网络安全服务需要做到的有:认证服务,访问控制服务,数据机密性服务,数据完整性服务,不可否认服务。在认证服务中,需要提供某个实体(人或系统)的身份保证,确保通信实体就是它们所声称的实体。使用口令是一种提供认证的熟知方法,数字证书和签名也可以提供信息发送方的身份认证。认证是对付假冒攻击的有效方法;
访问控制服务中,要能够防止对系统资源(如计算资源、通信资源或信息资源)的非授权访问和非授权使用,确保只有授权的实体才能访问授权的资源。访问控制直接支持机密性、完整性、可用性以及合法使用等安全目标。访问控制系统的关键是制定访问控制策略。它是系统安全防范中应用最普遍和最重要的安全机制,可提供机密性和完整性服务。访问控制采用最小特权原则:即在给用户分配权限时,根据每个用户的任务特点使其获得完成自身任务的最低权限,不给用户赋予其工作范围之外的任何权力。
数据机密性服务,能够保护信息不泄漏或不暴露给那些未授权掌握这一信息的实体(人或组织),确保授权实体才能理解受保护的信息,防止传输的数据遭到窃听、流量分析等被动攻击。机密性服务是通过加密机制来实现的,目前已有多种加密算法来保护数据的安全,可以根据不同的需求在网络结构的不同层次来实现。比如:若需保护全部通信业务流的机密性,可在物理层加密;若希望对端系统到端系统之间的通信进行保护,可在网络层加密。有时也可根据多个需求,在多个层次上提供加密。
数据完整性服务,是用来维护信息的一致性防止对信息的非授权篡改和破坏,使消息的接受者能判断消息是否被修改或被攻击者用假消息替换。数据完整性可以通过安全协议中的认证头AH协议,ESP协议,MAC算法等来保证。
不可否认服务,其目的是保护通信用户免遭来自系统中其他合法用户的威胁,而不是来自未知攻击者的威胁。通过公证机制的数字证书和时间戳可以保证信息发送方对发出的消息不能抵赖。
2.虚拟专用网VPN技术
虚拟专用网VPN(Virtual Private Network)技术是在公共传输网络中采用隧道技术,形成逻辑私有的通讯网络的技术。这样对通信安全要求高的用户就不需要向网络运营商要求单独牵一条专线,可以节省不少成本。VPN可实现数据公网传输的机密性、完整性,对通信双方的身份进行认证,并可解决异构网传输问题等。VPN可工作在很多层次,如工作在链路层的链路密码技术,工作在IP层的IPSEC VPN,GRE封装,工作在传输层的SSL VPN等。2.1.VPN系统的组成
VPN系统由以下七个部分组成,VPN服务器:接受来自VPN客户机的连接请求。VPN客户机:终端计算机或者路由器。隧道:数据传输通道,其中传输的数据必须经过封装。隧道协议:封装数据、管理隧道的通信标准。VPN连接:在VPN连接中,数据必须经过加密。传输数据:经过封装、加密后在隧道上传输的数据。公共网络:如Internet,也可以是其他共享型网络。下图一直观的显示了VPN系统的组成。
图一 VPN系统的组成
2.2.VPN系统通信流程与功能
首先,需要保护的主机发送明文信息到其VPN设备,其VPN设备根据管理员设置的规则,确定是对数据加密还是直接传送。如果是需要加密的数据,VPN 设备将其整个数据包进行加密和签名,加上新的数据报头(包括目的地VPN设备需要的安全信息和初始化参数)重新封装;封装后的数据包通过隧道在公网上传输;然后数据包到达目的VPN设备,收端VPN设备将数据包解封,核对签名后,将数据包解密。
实现的基本功能有五项,分别是身份鉴别:包括验证用户的身份,限制非授权用户的时候访问了什么资源。不同的用户对不同的资源应有不同的访问权限;地址管理:为每个客户分配一个地址,并保证地址对虚拟专用网外的不可见性;数据加密:保证通过公共网络传送的信息即使被他人截获也不会泄密;密钥管理:能够为VPN的客户和服务器生成和更新加密密钥;多协议支持:VPN必需能够处理公共网络常用的各种协议,包括IP、IPX等等; 2.3.VPN系统的分类
Intranet VPN:用于集团的总部和多个分支机构之间;分支机构网络是集团总部网络的可靠延伸;
Extranet VPN:为集团的供货商、重要客户和消费者等商业伙伴提供访问权限;电子商务是Extranet VPN的一种特殊形式;
Access VPN:为移动用户远程访问集团总部网络提供服务; 2.4.关键技术
隧道技术:VPN的核心技术,它在公用网建立一条数据通道(隧道),让数据包通过这条隧道传输。隧道由隧道协议形成,常用的有2、3层隧道协议。
密码技术(由下面三项技术组成)
加解密技术:将认证信息、通信数据等转换为密文的相关技术,其可靠性主要取决于加解密的算法及强度。
密钥管理技术:如何在公用网上安全地传递密钥而不被窃取。身份认证技术:在正式的隧道连接开始之前需要确认用户的身份,以便系统进一步实施资源访问控制或用户授权。2.5.身份认证方法
PAP(Password Authentication Protocol):是一种简单的明文用户名/口令认证方式。
CHAP(Challenge Handshake Authentication Protocol询问握手身份验证协议):是一种挑战响应式协议。它是PPP(MODEM或ADSL拨号)中普遍使用的认证协议。MS-CHAP:是微软针对Windows系统设计的,采用MPPE加密用户密码和数据。
RADIUS(Remote Authentication Dial In User Service,远程用户拨号认证系统):最初是由Livingston公司提出的,原先的目的是为拨号用户进行认证和计费。后来经过多次改进,形成了一项通用的认证计费协议。
2.6.具体通信协议与方法 2.6.1.点对点隧道协议(PPTP)
PPTP(point – to – point Tunneling Protocol)是1996年Microsoft 和Ascend等在PPP协议上开发的支持Client-to-LAN类型的VPN连接。PPTP 使用 PPP 拨号连接,通过对PPP 分组的封装传输,将PPP 链接逻辑地延伸到远程用户与企业总部的PPTP服务器之间,从而借用PPP 协议成熟的机制对用户进行身份鉴别、访问授权以及网络配置,同时,通过PPTP封装传输,也使得使用企业内部地址的分组,能成功地穿越IP 异构网络,到达企业总部,以此达到资源共享。PPTP只能在两端点间建立单一隧道。
PPTP工作模式分为被动和主动两种模式。被动模式中,PPTP会话通过一个一般位于ISP 处的前端处理器发起,客户端不需安装任何PPTP软件,ISP 为用户提供相应的服务,这种方式降低了对客户的要求,但限制了客户对Internet 其他部分的访问。主动模式中,客户与网络另一端的服务器直接建立PPTP隧道,不需ISP 的参与,不需位于ISP 处的前端处理器,ISP 只提供透明的传输通道。这种方式的优点是客户对PPTP有绝对的控制。
PPTP隧道机制的特点有,PPTP不提供数据安全性保证,它必须借助PPP 的加密机制,如MPPE(Window自带),或者与其它安全协议如IPsec)结合使用,才能为隧道通信提供安全保护;由于PPP协议本身支持多协议传输,PPTP因此支持多协议传输; PPTP不支持多隧道复用,但通过呼叫ID 能支持对隧道的会话复用; PPTP通过GRE头中的序列号支持有限的分组排序功能; PPTP协议的系统开销适中;除了有限的流量控制功能,PPTP也基本不能提供QoS 保障。2.6.2.第2层转发L2F(Layer 2 Forward)协议
L2F(Layer 2 Forward)协议由Cisco公司提出,通过对PPP或SLIP分组的封装传输,能使PPP/SLIP分组在多种网络(如ATM、帧中继和IP网络)中传输。其标准于1998年提交IETF,发布在RFC 2341。L2F协议设计了L2F封装头, 形成L2F分组。L2F分组可在任何能提供点到点链接的底层媒体上发送。当L2F分组在IP网络上发送时,L2F分组将作为UDP协议的上层协议数据单元被封装成为UDP报文,经过IP协议发送。
以下是一个典型的L2F协议的实现:
图二 L2F协议的典型实现
远程用户通过ISDN/PSTN 网与NAS建立PPP 连接。VPN客户机通过VPN拨号向NAS服务器发送请求,希望建立与远程HGW的VPN连接。NAS根据用户名称等信息向HGW发送隧道建立连接请求,实现与HGW之间通过IP 网、帧中继或其它网络建立L2F 隧道,总部局域网通过HGW与外界连接。即远程用户与NAS之间建立一条PPP 链接。这条链接被NAS与HGW之间的L2F 隧道逻辑地延伸到HGW。2.6.3.第2层隧道协议(L2TP)
因特网工程任务组(IETF)希望统一虚拟拨号的标准,由此产生了L2TP(Layer 2 Tunneling Protocol)协议。它由微软、Ascend、Cisco、3COM等公司参予制定,结合了PPTP和L2F两种协议的优点,成为IETF标准RFC 2661。L2TP是典型的被动式隧道协议,可让用户从客户机或接入服务器发起VPN连接。L2TP协议设计了L2TP封装头,设计思想类似于L2F头。封装形成的L2TP分组可在任何能提供点到点链接的媒体上发送,如IP网、ATM和帧中继。当L2TP分组在IP网上进行发送时,L2TP分组被封装入UDP报文,再递交给IP协议进行发送。
而L2TP协议的工作流程如下:远程用户通过PSTN或ISDN网,向ISP发起PPP链接请求。在ISP的呈现点 POP处,LAC接受此连接,建立远程用户到LAC的PPP链接。远程用户与LAC互换LCP配置信息,并可能实现如CHAP身份鉴别信息的局部交换;
ISP的LAC依据CHAP应答中的名字信息,确定是否对此远程用户提供虚拟的拨号访问服务。若需要,则由名字信息确定该用户的总部所在地,即目的LNS;
如果LAC与该LNS之间没有建立隧道,或者因为保证QoS服务的需要,由LAC向LNS发起隧道的建立,并为该隧道分配一个隧道号,即Tunnel ID;并在隧道中为该用户呼叫分配一个ID号,称Call ID。LAC随后向LNS发出入站呼叫请求。该请求中可能包括LAC对远程用户收集的鉴别信息以及其它配置信息;如果LNS接受此入站呼叫,则在LNS为此呼叫产生一个“虚拟接口”,该虚拟接口为L2TP隧道的终点,其另一终点是建立于LAC上的一个L2TP虚拟接口;
LNS为远程用户分配IP地址。LNS分配给远程用户的IP地址由管理员设置,一般使用私有地址,但LAC和LNS需使用公共IP地址。从远程用户发送的PPP帧到达LAC后,LAC上的L2TP虚拟接口将PPP帧封装为L2TP分组之中,在特定的传输媒体上发送。当L2TP分组到达LNS端后,L2TP头被剥去,剩余的PPP或SLIP分组将与正常进入的分组一样被送入相应的接口进行处理。
从LNS发送到远程用户的数据的处理过程与此完全相似。2.6.4.IP安全协议(IPSec)与SSL VPN VPN技术虽然种类众多,但IETF下的IPSec工作组推出的IPSec协议是目前工业界IP VPN标准,安全性明显优于其它隧道协议,以IPSec协议构建虚拟专用网已成为主流。
基于IPSec构建IP VPN是指利用实现IPsec协议的安全网关(Security Gateway)充当边界路由器,完成安全的远程接入和在广域网上内部网络的“虚拟”专线互联等。
IPSec VPN的建立方式包括:Host 对Host,Host 对VPN 网关,VPN 对VPN 网关,Remote User 对VPN 网关,Host 对Host,Host 对VPN 网关,VPN 对VPN 网关,Remote User 对VPN 网关。SSL VPN主要供远程用户访问内部网络资源时使用,包括Web服务、文件服务(包括FTP 服务、Windows网上邻居服务)、可转化为Web方式的应用(如Webmail)以及基于C/S的各类应用等。SSL 应用模式基本分为三类:Web浏览器模式、专门的SSL VPN客户端模式和LAN 到LAN 模式。
在Web浏览器模式中,SSL VPN服务器使用https和socks 协议(实现代理功能,负责转发数据)。SSL VPN客户端与SSL VPN服务器间使用https协议;而SSL VPN服务器与单位内部服务器间使用http 协议。当客户端需要访问内部网络中的C/S应用时,它从SSL VPN服务器下载控件。该控件是一个服务监听程序,用于将客户端的C/S数据包转换为Http 协议支持的连接方法,并通知SSL VPN服务器它所采用的通信协议(TCP/UDP)及访问的目的服务地址和端口。客户端控件与SSL VPN服务器建立安全通道后,在本机接收客户端数据包后,通过SSL 通道转发给SSL VPN服务器。SSL VPN服务器解密数据后转发给内部网络的目的服务器。SSL VPN服务器接收到内部网络的服务器的响应数据包后,通过SSL 通道发给客户端控件。客户端控件解密后转发给客户端应用程序。
3.学习总结
网络安全技术是保证网络通信过程中,传递信息的机密性,完整性,可用性,不可否认性等。硬件层面的设备,线缆等安全性可以通过加强设计和提高生产技术来保证。软件层面的通信安全就需要靠安全通信协议和对明文内容的加密算法来实现。在通信网络的OSI分层中,软件层面的通信安全主要体现在网络层,传输层,会话层,表示层。在每个层中,根据网络通信类型和服务不同,使用的安全协议也有区别。密钥技术,数字证书技术等保证信息机密性,完整性,可用性,不可否认性的技术主要工作在表示层。而VPN技术是从链路层到表示层都有一整套协议和通信方式的技术,在各个层都能够保证信息不被篡改,阅读,抵赖。所以几乎能够相当于在用户之间建立了一条专线进行通信。
第三篇:VPN定义
VPN
开放分类: 互联网、网络、电脑、技术
VPN的英文全称是“Virtual Private Network”,翻译过来就是“虚拟专用网络”。顾名思义,虚拟专用网络我们可以把它理解成是虚拟出来的企业内部专线。它可以通过特殊的加密的通讯协议在连接在Internet上的位于不同地方的两个或多个企业内部网之间建立一条专有的通讯线路,就好比是架设了一条专线一样,但是它并不需要真正的去铺设光缆之类的物理线路。这就好比去电信局申请专线,但是不用给铺设线路的费用,也不用购买路由器等硬件设备。VPN技术原是路由器具有的重要技术之一,目前在交换机,防火墙设备或WINDOWS2000等软件里也都支持VPN功能,一句话,VPN的核心就是在利用公共网络建立虚拟私有网。
虚拟专用网(VPN)被定义为通过一个公用网络(通常是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。虚拟专用网是对企业内部网的扩展。虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。虚拟专用网可用于不断增长的移动用户的全球因特网接入,以实现安全连接;可用于实现企业网站之间安全通信的虚拟专用线路,用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。下面我们结合本站有关思科及微软关于VPN方面的文章为大家介绍这方面的资讯,更多更丰富的相关方面内容我们将在以后日子里进行补充。
针对不同的用户要求,VPN有三种解决方案:远程访问虚拟网(Access VPN)、企业内部虚拟网(Intranet VPN)和企业扩展虚拟网(Extranet VPN),这三种类型的VPN分别与传统的远程访问网络、企业内部的Intranet以及企业网和相关合作伙伴的企业网所构成的Extranet(外部扩展)相对应。
======
虚拟专用网(VPN)被定义为通过一个公用网络(通常是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。虚拟专用网是对企业内部网的扩展。
虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。通过将数据流转移到低成本的压网络上,一个企业的虚拟专用网解决方案将大幅度地减少用户花费在城域网和远程网络连接上的费用。同时,这将简化网络的设计和管理,加速连接新的用户和网站。另外,虚拟专用网还可以保护现有的网络投资。随着用户的商业服务不断发展,企业的虚拟专用网解决方案可以使用户将精力集中到自己的生意上,而不是网络上。虚拟专用网可用于不断增长的移动用户的全球因特网接入,以实现安全连接;可用于实现企业网站之间安全通信的虚拟专用线路,用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。
目前很多单位都面临着这样的挑战:分公司、经销商、合作伙伴、客户和外地出差人员要求随时经过公用网访问公司的资源,这些资源包括:公司的内部资料、办公OA、ERP系统、CRM系统、项目管理系统等。现在很多公司通过使用IPSec VPN来保证公司总部和分支机构以及移动工作人员之间安全连接。
对于很多IPSec VPN用户来说,IPSec VPN的解决方案的高成本和复杂的结构是很头疼的。存在如下事实:在部署和使用软硬件客户端的时候,需要大量的评价、部署、培训、升级和支持,对于用户来说,这些无论是在经济上和技术上都是个很大的负担,将远程解决方案和昂贵的内部应用相集成,对任何IT专业人员来说都是严峻的挑战。由于受到以上IPSec VPN的限制,大量的企业都认为IPSec VPN是一个成本高、复杂程度高,甚至是一个无法实施的方案。为了保持竞争力,消除企业内部信息孤岛,很多公司需要在与企业相关的不同的组织和个人之间传递信息,所以很多公司需要找一种实施简便,不需改变现有网络结构,运营成本低的解决方案。
----从概念上讲,IP-VPN是运营商(即服务提供者)支持企业用户应用的方案。一个通用的方法可以适用于由一个运营商来支持的、涉及其他运营商网络的情况(如运营商的运营商)。
----图1给出了实现IP-VPN的一个通用方案。其中,CE路由器是用于将一个用户站点接入服务提供者网络的用户边缘路由器。而PE路由器则是与用户CE路由器相连的、服务提供者的边缘路由器。
----站点是指这样一组网络或子网,它们是用户网络的一部分,并且通过一条或多条PE/CE链路接至VPN。VPN是指一组共享相同路由信息的站点,一个站点可以同时位于不同的几个VPN之中。
----图2显示了一个服务提供者网络支持多个VPN的情况。如图2所示,一个站点可以同时属于多个VPN。依据一定的策略,属于多个VPN的站点既可以在两个VPN之间提供一定的转发能力,也可以不提供这种能力。当一个站点同时属于多个VPN时,它必须具有一个在所有VPN中唯一的地址空间。
----MPLS为实现IP-VPN提供了一种灵活的、具有可扩展性的技术基础,服务提供者可以根据其内部网络以及用户的特定需求来决定自己的网络如何支持IP-VPN。所以,在MPLS/ATM网络中,有多种支持IP-VPN的方法,本文介绍其中两种方法。
方案一
----本节介绍一种在公共网中使用MPLS提供IPVPN业务的方法。该方法使用LDP的一般操作方式,即拓扑驱动方式来实现基本的LSP建立过程,同时使用两级LSP隧道(标记堆栈)来支持VPN的内部路由。
----图3 给出了在MPLS/ATM核心网络中提供IPVPN业务的一种由LER和LSR构成的网络配置。
----LER(标记边缘路由器)
----LER是MPLS的边缘路由器,它位于MPLS/ATM服务提供者网络的边缘。对于VPN用户的IP业务量,LER将是VPN隧道的出口与入口节点。如果一个LER同时为多个用户所共享,它还应当具有执行虚拟路由的能力。这就是说,它应当为自己服务的各个VPN分别建立一个转发表,这是因为不同VPN的IP地址空间可能是有所重叠的。
----LSR(标记交换路由器)
----MPLS/ATM核心网络是服务提供者的下层网络,它为用户的IP-VPN业务所共享。
----建立IP-VPN区域的操作
----希望提供IP-VPN的网络提供者必须首先对MPLS域进行配置。这里的MPLS域指的就是IPVPN区域。作为一种普通的LDP操作,基本的LSP 建立过程将使用拓扑驱动方法来进行,这一过程被定义为使用基本标记的、基本的或是单级LSP建立。而对于VPN内部路由,则将使用两级LSP隧道(标记堆栈)。
----VPN成员
----每一个LER都有一个任务,即发现在VPN区域中为同一 IPVPN服务的其他所有LER。由于本方案最终目的是要建立第二级MPLS隧道,所以 LER发现对等实体的过程也就是LDP会话初始化的过程。每一个LER沿着能够到达其他 LER的每一条基本网络LSP,向下游发送一个LDP Hello消息。LDP Hello消息中会包含一个基本的MPLS标记,以方便这些消息能够最终到达目的LER。
----LDP Hello消息实际上是一种查询消息,通过这一消息,发送方可以获知在目的LER处是否存在与发送方LSR同属一个VPN的LER(对等实体)。新的Hello消息相邻实体注册完成之后,相关的两个LER之间将开始发起LDP会话。随后,其中一个LER将初始化与对方的TCP连接。当TCP连接建立完成而且必要的初始化消息交互也完成之后,对等LER之间的会话便建立起来了。此后,双方各自为对方到自己的LSP 隧道提供一个标记。如果LSP隧道是嵌套隧道,则该标记将被推入标记栈中,并被置于原有的标记之上。
----VPN成员资格和可到达性信息的传播
----通过路由信息的交换,LER可以学习与之直接相连的、用户站点的IP地址前缀。LER需要找到对等LER,还需要找到在一个VPN中哪些LER 是为同一个VPN服务的。LER将与其所属的VPN区域中其他的LER建立直接的LDP会话。换言之,只有支持相同VPN的LER之间才能成功地建立LDP会话。
----VPN内的可到达性
----最早在嵌套隧道中传送的数据流是LER之间的路由信息。当一个LER被配置成一个IPVPN的一员时,配置信息将包含它在VPN内部要使用的路由协议。在这一过程中,还可能会配置必要的安全保密特性,以便该LER能够成为其他LER的相邻路由器。在VPN内部路由方案中,每一次发现阶段结束之后,每一个LER 都将发布通过它可以到达的、VPN用户的地址前缀。
----IP分组转发
----LER之间的路由信息交互完成之后,各个LER都将建立起一个转发表,该转发表将把VPN用户的特定地址前缀(FEC转发等价类)与下一跳联系起来。当收到的IP分组的下一跳是一个LER时,转发进程将首先把用于该LER的标记(嵌套隧道标记)推入标记栈,随后把能够到达该LER的基本网络LSP上下一跳的基本标记推入标记分组,接着带有两个标记的分组将被转发到基本网络LSP中的下一个LSR;当该分组到达目的LER时,最外层的标记可能已经发生许多次的改变,而嵌套在内部的标记始终保持不变;当标记栈弹出后,继续使用嵌套标记将分组发送至正确的LER。在LER上,每一个VPN使用的嵌套标记空间必须与该LER所支持的其他所有VPN使用的嵌套标记空间不同。
方案二
----本节将对一种在公共网中使用MPLS和多协议边界网关协议来提供IP-VPN业务的方法进行介绍,其技术细节可以参见RFC 2547。
----图1 给出了在MPLS/ATM核心网络中提供IPVPN业务的、由LER和LSR构成的网络配置,图4则给出了使用RFC 2547的网络模型。
----提供者边缘(PE)路由器
----PE路由器是与用户路由器相连的服务提供者边缘路由器。
----实际上,它就是一个边缘LSR(即MPLS网络与不使用 MPLS的用户或服务提供者之间的接口)。
----用户边缘(CE)路由器
----CE路由器是用于将一个用户站点接至PE路由器的用户边缘路由器。在这一方案中,CE路由器不使用MPLS,它只是一台IP路由器。CE不必支持任何VPN的特定路由协议或信令。
----提供者(P)路由器
----P路由器是指网络中的核心LSR。
----站点(Site)
----站点是指这样一组网络或子网:它们是用户网络的一部分,通过一条或多条PE/CE链路接至VPN。VPN是指一组共享相同路由信息的站点。一个站点可以同时位于不同的几个VPN之中。
----路径区别标志
----服务提供者将为每一个VPN分配一个唯一的标志符,该标志符称为路径区别标志(RD),它对应于服务提供者网络中的每一个Intranet或Extranet 都是不同的。PE路由器中的转发表里将包含一系列唯一的地址,这些地址称为VPNIP 地址,它们是由RD与用户的IP地址连接而成的。VPNIP地址对于服务提供者网络中的每一个端点都是唯一的,对于VPN中的每一个节点(即VPN中的每一个PE路由器),转发表中都将存储有一个条目。
----连接模型
----图4给出了MPLS/BGP VPN的连接模型。
----从图4中可以看出,P路由器位于MPLS网络的核心。PE路由器将使用MPLS与核心MPLS网络通信,同时使用IP路由技术来与CE路由器通信。P与PE路由器将使用IP路由协议(内部网关协议)来建立MPLS核心网络中的路径,并且使用LDP实现路由器之间的标记分发。
----PE路由器使用多协议BGP4来实现彼此之间的通信,完成标记交换和每一个VPN策略。除非使用了路径映射标志(route reflector),否则PE 之间是BGP全网状连接。特别地,图4中的PE处于同一自治域中,它们之间使用内部BGP(iBGP)协议。
----P路由器不使用BGP协议而且对VPN一无所知,它们使用普通的MPLS协议与进程。
----PE路由器可以通过IP路由协议与CE路由器交换IP路径,也可以使用静态路径。在CE与PE路由器之间使用普通的路由进程。CE路由器不必实现MPLS或对VPN有任何特别了解。
----PE路由器通过iBGP将用户路径分发到其他的PE路由器。为了实现路径分发,BGP使用VPN-IP地址(由RD和IPv4地址构成)。这样,不同的VPN可以使用重叠的IPv4地址空间而不会发生VPN-IP地址重复的情况。
----PE路由器将BGP计算得到的路径映射到它们的路由表中,以便把从CE路由器收到的分组转发到正确的LSP上。
----这一方案使用两级标记:内部标记用于PE路由器对于各个VPN的识别,外部标记则为MPLS网络中的LSR所用——它们将使用这些标记把分组转发给正确的PE。
----建立IP-VPN区域的操作
----希望提供IP-VPN业务的网络提供者必须按照连接需求对网络进行设计与配置,这包括:PE必须为其支持的VPN以及与之相连的CE所属的VPN 进行配置;MPLS网络或者是一个路径映射标志中的PE路由器之间必须进行对等关系的配置;为了与CE进行通信,还必须进行普通的路由协议配置;为了与MPLS核心网络进行通信,还必须进行普通的MPLS配置(如LDP、IGP)。另外,P路由器除了要求能够支持MPLS之外,还要能够支持VPN。
>----VPN成员资格和可到达性信息的传播
----PE路由器使用IP路由协议或者是静态路径的配置来交换路由信息,并且通过这一过程获得与之直接相连的用户网站IP地址前缀。
----PE路由器通过与其BGP对等实体交换VPN-IP地址前缀来获得到达目的VPN站点的路径。另外,PE路由器还要通过BGP与其PE路由器对等实体交换标记,以此确定PE路由器间连接所使用的LSP。这些标记用作第二级标记,P 路由器看不到这些标记。
----PE路由器将为其支持的每一个VPN分别建立路由表和转发表,与一个PE路由器相连的CE路由器则根据该连接所使用的接口选择合适的路由表。
----IP分组转发
----PE之间的路由信息交换完成之后,每一个PE都将为每一个VPN建立一个转发表,该转发表将把VPN用户的特定地址前缀与下一跳PE路由器联系起来。
----当收到发自CE路由器的IP分组时,PE路由器将在转发表中查询该分组对应的VPN。
----如果找到匹配的条目,路由器将执行以下操作:
----如果下一跳是一个PE路由器,转发进程将首先把从路由表中得到的、该PE路由器所对应的标记(嵌套隧道标记)推入标记栈;PE路由器把基本的标记推入分组,该标记用于把分组转发到到达目的PE路由器的、基本网络LSP上的第一跳;带有两级标记的分组将被转发到基本网络LSP上的下一个LSR。
----P路由器(LSR)使用顶层标记及其路由表对分组继续进行转发。当该分组到达目的LER时,最外层的标记可能已发生多次改变,而嵌套在内部的标记保持不变。
----当PE收到分组时,它使用内部标记来识别VPN。此后,PE将检查与该VPN相关的路由表,以便决定对分组进行转发所要使用的接口。
----如果在VPN路由表中找不到匹配的条目,PE路由器将检查Internet路由表(如果网络提供者具备这一能力)。如果找不到路由,相应分组将被丢弃。
----VPNIP转发表中包含VPNIP地址所对应的标记,这些标记可以把业务流路由至VPN中的每一个站点。这一过程由于使用的是标记而不是IP 地址,所以在企业网中,用户可以使用自己的地址体系,这些地址在通过服务提供者网络进行业务传输时无需网络地址翻译(NAT)。通过为每一个VPN使用不同的逻辑转发表,不同的VPN业务将可以被分开。使用BGP协议,交换机可以根据入口选择一个特定的转发表,该转发表可以只列出一个VPN有效目的地址。
----为了建立企业的Extranet,服务提供者需要对VPN之间的可到达性进行明确指定(可能还需要进行NAT配置)。
----安全
----在服务提供者网络中,PE所使用的每一个分组都将与一个RD相关联,这样,用户无法将其业务流或者是分组偷偷送入另一个用户的VPN。要注意的是,在用户数据分组中没有携带RD,只有当用户位于正确的物理端口上或拥有PE路由器中已经配置的、适当的RD时,用户才能加入一个Intranet或 Extranet。这一建立过程可以保证非法用户无法进入VPN,从而为用户提供与帧中继、租用线或ATM业务相同的安全等级。
第四篇:VPN研究报告
一、前言
互联网的普及、移动通信技术的进步、信息化程度的提高,使全世界的数字信息高度共
享成为可能。中国高校也越来越重视数字化校园的开发,依托先进的网络技术开展电化教学、电子教学资源的建设。而作为电子教学资源的重点之一,电子图书馆的建设已经成为当今数字化校园建设的新亮点。国内很多高校近几年都从网上购置了大量的电子数据供广大师生开展教学研究。这些资源对于学校学科建设和科学研究工作有很重要的意义,数字图书馆的建设和应用已经成为高校信息化建设和现代教育技术改革工作的一大重点。
二、选题背景
随着教育信息化的深入,很多学校都建立了校园网,为了实现校内资源优化整合,让师
生们更好的进行工作和学习,他们需要在校园网内部或在校外的远程节点上,随时享受校园网内部的各项服务,然而由于互联网黑客对各高校的资源虎视眈眈,在没有经过任何允许的情况下,黑客们很容易就潜入校园网内部进行捣乱,为此,多数校园网都不会将自己的各种应用系统和所有信息资源完全开放,因为这样让整个校园网面临无以估量的破坏性损失,为了网络安全考虑,将vpn技术应用于基于公共互联网构架的校园网,可以较好的解决校园网多校区、远程访问、远程管理等问题。
三、vpn简介
虚拟专用网(vpn)被定义为通过一个公用网络(通常是因特网)建立一个临时的、安
全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。使用这条隧道可以对数据进行几倍加密达到安全使用互联网的目的。虚拟专用网是对企业内部网的扩展。虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。虚拟专用网可用于不断增长的移动用户的全球因特网接入,以实现安全连接;可用于实现企业网站之间安全通信的虚拟专用线路,用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。
四、vpn功能
vpn可以提供的功能: 防火墙功能、认证、加密、隧道化。
vpn可以通过特殊的加密的通讯协议在连接在internet上的位于不同地方的两个或多个
企业内部网之间建立一条专有的通讯线路,就好比是架设了一条专线一样,但是它并不需要真正的去铺设光缆之类的物理线路。这就好比去电信局申请专线,但是不用给铺设线路的费用,也不用购买路由器等硬件设备。vpn技术原是路由器具有的重要技术之一,在交换机,防火墙设备或windows 2000等软件里也都支持vpn功能,一句话,vpn的核心就是在利用公共网络建立虚拟私有网。
五、vpn常用的网络协议
常用的虚拟私人网络协议有:
ipsec : ipsec(缩写ip security)是保护ip协议安全通信的标准,它主要对ip协议分组进行加密和认证。ipsec作为一个协议族(即一系列相互关联的协议)由以下部分组成:(1)保护分组流的协议;(2)用来建立这些安全分组流的密钥交换协议。前者又分成两个部分: vpn加密分组流的封装安全载荷(esp)及较少使用的认证头(ah),认证头提供了对分组流的认证并保证其消息完整性,但不提供保密性。目前为止,ike协议是唯一已经制定的密钥交换协议。
pptp: point to point tunneling protocol--点到点隧道协议。在因特网上建立ip虚拟专用网
(vpn)隧道的协议,主要内容是在因特网上建立多协议安全虚拟专用网的通信方式。l2f: layer 2 forwarding--第二层转发协议
l2tp: layer 2 tunneling protocol--第二层隧道协议 gre:vpn的第三层隧道协议
六、vpn研究问题
? vpn如何解决校园网安全风险
对于校园网而言,它虽然给师生带来了资源共享的便捷,但同时也意味着具有安全风险,比如非授权访问,没有预先经过授权,就使用校园网络或计算机资源;信息泄漏或丢失,重要数据在有意或无意中被泄漏出去或丢失;以非法手段窃得对数据的使用权,删除、修改、插入或重发某些重要信息;不断对网络服务系统进行干扰,改变其正常的作业流程,执行无关程序使系统响应减慢甚至瘫痪;利用网络传播计算机病毒等。那么,校园网利用vpn技术方案,是否能避免校园网的潜在安全隐患,杜绝上述情况的发生呢?
vpn即虚拟私有网络技术,它的安全功能包括:通道协议、身份验证和数据加密,实际工作时,远程外网客户机向校园网内的vpn服务器发出请求,vpn服务器响应请求并向客户机发出身份质询,客户机将加密的响应信息发送到vpn服务端,vpn服务器根据用户数据库检查该响应,如果账户有效,vpn服务器将检查该用户是否具有远程访问的权限,如果该用户拥有远程访问的权限,vpn服务器接受此连接。在身份验证过程中产生的客户机和服务器公有密钥将用来对数据进行加密。简单来说,vpn可以通过对校园网内的数据进行封包和加密传输,在互联网公网上传输私有数据、达到私有网络的安全级别。? 选择ipsec vpn还是ssl vpn 校园网vpn方案可以通过公众ip网络建立了私有数据传输通道,将远程或分校的分支办公室、合作伙伴、移动办公人员等连接起来,减轻了校园网的远程访问费用负担,节省电话费用开支,不过对于端到端的安全数据通讯,还需要根据实际情况采取不同的架构。一般而言,ipsec vpn和ssl vpn是目前校园网vpn方案采用最为广泛的安全技术,但它们之间有很大的区别,总体来说,ipsec vpn是提供站点与站点之间的连接,比较适合校园网内分校与分校的连接;而ssl vpn则提供远程接入校园网服务,比如适合校园网与外网的连接。
从vpn技术架构来看,ipsec vpn是比较理想的校园网接入方案,由于它工作在网络层,可以对终端站点间所有传输数据进行保护,可以实现internet多专用网安全连接,而不管是哪类网络应用,它将远程客户端置于校园内部网,使远程客户端拥有内部网用户一样的权限和操作功能。ipsec vpn还要求在远程接入客户端适当安装和配置ipsec客户端软件和接入设备,这大大提高了安全级别,因为访问受到特定的接入设备、软件客户端、用户认证机制和预定义安全规则的限制。而且这些ipsec客户端软件能实现自动安装,不需要用户参与,因而无论对网管还是终端用户,都可以减轻安装和维护上的负担。? vpn为校园网带来哪些应用
在校园网中,通过vpn给校外住户、分校区用户、出差远程办公用户、远程工作者等提供一种直接连接到校园局域网的服务。那么,vpn能为校园网带来哪些具体应用优势呢?首先就是办公自动化,比如校园办公楼共有40个信息点,此时可以通过校园网连至internet用户,实现100m甚至1000m到桌面的带宽,并对财务科、人事科等科室进行单独子网管理。还可以利用vpn在校园网内建立考试监控系统、综合多媒体教室等,比如学校具有两个多媒体教室,每个教室60台pc,通过校园网上连至internet,实现远程多媒体教学的目的。也可以将学生、教职工宿舍区的pc通过校园网上连至internet,而不进行任何布置。
校园网采用vpn技术可以降低使用费,远程用户可以通过向当地的isp申请账户登录到internet,以internet作为通道与企业内部专用网络相连,通信费用大幅度降低;学校可以节省购买和维护通信设备的费用。现在很多大学都有多个分校,各个分校和培训场所网络整合使学校的信息化管理成本必然的增加,比如学校的数据存储,许多学校都采用了分布式存储方式,其具有较低的投资花费和软件部署的灵活性,然而其管理难度高,后期维护成本高,如果采取vpn服务器,可以对各分校进行web通讯控制,同时又可以实现分校访问互通。为了让师生共享图书资源,与国外高校合作交换图书馆数据,以及向国外商业图书馆交纳版权费,获得更多电子文献资料的浏览权,很多高校都建立了数字图书馆,但在应用上也会产生相应的约束性,比如说为了保证数据信息的知识产权,浏览者必须是已缴纳版权费的本校内网地址,或则被校方授权过的内部合法师生,此时采用vpn加密技术,数据在internet中传输时,internet上的用户只看到公共的ip地址,看不到数据包内包含的专用网络地址。不仅可以实现将校园网的连续性扩展到校外;在校外可以访问校内未向互联网开放的资源。同时又确保了校园数字图书馆的易用性和安全性。? vpn支持哪种校园网接入方式
在教育机构的校园网,由于不同地区、不同学校的条件不同,它们选择的网络接入方式也有差异,比如条件不大好的中小学校,可能还在采取模拟电话、isdn、adsl拨号上网,而对于条件好的高校,则采取了光纤或ddn、帧中继等专线连接,那么,vpn方案到底支持哪种接入方式呢?实际上,vpn可以支持最常用的网络协议,因为在internet上组建vpn,用户计算机或网络需要建立到isp连接,与用户上网接入方式相似,比如基于ip、ipx和netbui协议的网络中的客户机都能使用vpn方案。
七、vpn在校园图书馆系统中的调查分析
数字图书馆的版权问题不容忽视,不管什么类型的图书,都要遵循数字版权保护(digital rights management,drm)的规定,通过安全和加密技术控制数字内容及其分发途径,从而防止对数字产品非授权使用。
正是在这样一种保护知识产权的背景下,高校图书馆所购买的电子资源大部分都有限制访问的ip地址范围。即:
1、采购的这些数据库不是存放在图书馆服务器上,而是存储在提供商的服务器上,图书馆支付费用以后,数据库服务商是根据访问者的ip地址来判断是否是经过授权的用户。
2、只要是从校园网出去的ip地址都是认可的,因为校园网出口ip和部分公网ip地址是属于这个有限范围的,所以校园网上的所有上网计算机都可以使用。
3、如果教师、学生在家里上网或者一个老师到外地出差需要访问这些电子资源,无论采用pstn拨号、adsl、小区宽带,使用的都是社会网络运营商提供的ip地址,不是校园网的ip地址范围,因此数据库服务商认为是非授权用户,拒绝访问。当然,我们也可以要求服务商进一步开放更多的ip地址为合法用户,但是这要求访问者的ip地址是固定的、静态的,而实际上,绝大多数校外用户使用的都是动态ip地址,是不确定的,所以数据库服务商无法确定访问者的合法身份,因而自动屏蔽。
因此,就需要一套可管理、可认证、安全的远程访问电子图书馆的解决方案,将校园网当作校外用户的中转站,使校外用户通过鉴权后拥有校内地址再访问资源数据库。到底有没有这样一种方案呢?虚拟专用网即vpn技术,给了我们很好的答案。vpn是虚拟专用网的简称,虚拟专用网不是真的专用网络,但却能够实现专用网络的功能。虚拟专用网指的是依靠isp(internet service provider 服务提供商)和其它nsp(networkservice provider网络服务提供商),在公用网络中建立专用的数据通信网络的技术。在虚拟专用网中,任意两个节点之间的连接并没有传统专网所需的端到端的物理链路,而是利用某种公众网的物理链路资源动态组成的。
实际上,目前国内已经有不少高校采用了或者正常尝试使用vpn技术来解决这个问题,而且大多是采用的ipsec vpn技术。利用ipsec技术,校外用户在本机安装一个vpn客户端软件后经过配置连入图书馆网络,ipsec vpn中心端会给每个远程用户分配一个校园网ip地址,从而实现远程用户以校园网用户身份访问电子资源。
虽说ipsec vpn是目前vpn的主流技术之一,但ipsec协议最初是为了解决site to site的安全问题而制定的,因此在此基础上建立的远程接入方案在面临越来越多的end to site应用情况下已经力不从心。
首先是客户端配置问题:在每个远程接入的终端都需要安装相应的ipsec客户端,并且需要做复杂的配置,随着这种远程接入客户端安装数量的增多将给网络管理员带来巨大的挑战。虽然一些领先的公司已经解决了ipsec 客户端难以配置和维护的问题,但是还是无法避免在每个终端上安装客户端的麻烦,而且即使这些客户端很少出问题,但随着用户数量的增多,每天需要维护的客户端绝对数量也不少。
其次是ipsec vpn自身安全问题:往往传统的ipsec 解决方案都没有很好的解决移动用户接入到私有网络的安全控制问题,这样就为病毒传播和黑客入侵提供了很多可能的途径,并且在如何针对不同用户身份设定对不同资源的访问权限上也存在不少缺陷(随着技术的发展,新兴的vpn厂商已经着手改进这些问题并取得了相应的成绩)。
然后是对网络的支持问题:传统的ipsec vpn在网络适应性上都存在一些问题,虽然一些领导厂商已经或正在解决网络兼容性问题,但由于ipsec vpn对防火墙的安全策略的配置较为复杂(往往要开放一些非常用端口),因此客户端的网络适应性还是不能做到百分之百完美。
最后是移动设备支持问题:随着未来通讯技术的发展,移动终端的种类将会越来越多,ipsec 客户端需要有更多的版本来适应这些终端,但随着终端种类的爆炸性增长,这几乎是不可能的。
因此,ssl vpn技术应运而生。ssl vpn的突出优势在于web安全和移动接入,它可以提供远程的安全接入,而无需安装或设定客户端软件。ssl在web的易用性和安全性方面架起了一座桥梁。目前,对ssl vpn公认的三大好处是:首先来自于它的简单性,它不需要配置,可以立即安装、立即生效;第二个好处是客户端不需要安装,直接利用浏览器中内嵌的ssl协议就行;第三个好处是兼容性好,可以适用于任何的终端及操作系统。所有的校外用户只需要打开ie浏览器访问图书馆的internet ip即可成功接入图书馆,ssl vpn技术采用了一种类似代理性质的技术,所有的访问都是以ssl vpn设备的lan口的名义发起的,所以只要ssl vpn设备的lan口ip是一个合法的校园网ip,所有成功接入ssl的校外用户都可以成功访问这个ssl vpn设备lan口所能访问的资源。
但ssl vpn并不能取代ipsec vpn。因为,这两种技术目前应用在不同的领域。ssl vpn考虑的是应用软件的安全性,更多应用在web的远程安全接入方面;而ipsec vpn是在两个局域网之间通过internet建立的安全连接,保护的是点对点之间的通信,并且,ipsec工作于网络层,不局限于web应用。它构建了局域网之间的虚拟专用网络,对终端站点间所有传输数据进行保护,而不管是哪类网络应用,安全和应用的扩展性更强。从高校应用来看,由于ssl接入方式下所有用户的访问请求都是从ssl vpn设备的lan口发起的,对于那些对单个用户流量有严格限制的资源商来说,这些ssl用户的访问会被当成一个用户对待,很快就会因为达到资源商的流量限制而造成该ip被禁用,也就导致所有ssl用户无法继续访问图书馆资源。
那么,高校图书馆应该选择何种vpn技术以解决目前校外用户合理访问图书馆各类资源的需求呢?从目前图书馆使用的情况来看,比较合理的应用方式应该是ipsec和ssl共同使用。
正如我们前面所分析的,上游资源商对于资源的应用是有限制的,除了限制发起请求的ip地址外,还会限制单个ip地址所产生的流量,因此在图书馆大量的校外用户群中,我们将用户分为两个类型,一类是使用图书馆资源较为频繁、访问数据量较大的用户(以教师为主,数量较少),另一类则是使用次数较少、访问数据不多的用户(以学生为主,数量较多),通过用户划分,我们给访问量大但数量少的教师用户分配ipsec接入方式,这样就可以把大量的用户流量分配到不同的ip地址上,避免单个ip流量过大造成的问题,而那些数量众多但访问量小的学生用户分配ssl接入方式,利用ssl vpn无需部署客户端的特性大大降低客户端的维护工作量,从而实现vpn在图书馆应用的快速部署。经过长时间的测试,华师图书馆选择使用国内专业vpn厂商深信服科技推出了ipsec/ssl 一体化vpn平台:sinfor m5100-s。该产品在一台网关上同时集成了ipsec和ssl vpn功能,利用两种技术的集成很好解决了图书馆应用的需求,同时一体化的设计能够大幅度的降低整个vpn产品的投入,满足教育行业低成本高效率it建设的需求。
八、结论
vpn技术代表了当今网络发展的最新趋势,它综合了传统数据网络性能的优点(安全和qos)和共享数据网络结构的优点(简单和低成本),能够提供远程访问,外部网和内部网的安全连接,建设与维护费用比专线网络要低得多.而且,vpn在降低成本的同时满足了对网络带宽,接入和服务不断增加的需求.根据调查数据表明,用vpn替代租用线路来连接远程站点可节约20%~47%的开支,这么一种经济,安全和灵活的技术,在国外图书馆已经逐步普及.在国内,一些高校图书馆也开始应用vpn技术实现多校区图书馆互联和开展一些远程文献信息服务.vpn技术在高校图书馆的应用,必将提高图书馆利用效率,为图书馆的远程文献信息服务打开新局面,尤其为多校区图书馆之间资源的共享提供安全,高效,经济的网络传输和数据访问途径.随着vpn技术的日益成熟,它将在图书馆得到更为广泛的应用。
第五篇:VPN说明书.
VPN 使用说明书 申请/重置账号密码:http://self.cczu.edu.cn/index/addvpnwlan(无账号或忘记密码时,进行申请或重置密码)用户自助修改密码:http://219.230.159.60:8080/selfservice(有密码时,进行修改)中国移动、中国电信、联通、和教育网用户请分别点击上面的图标进行访问; 在您首次使用的时候,系统将自动下载安装插件至所在计算机,请您留意页面提示并安装; 当插件安装完毕之后,正常进入登录窗口,使用用户名和密码进行登录; 6 登录成功后,即进入用户使用页面,此时即可访问校内和校外指定资源。7 访问校内资源时请不要关闭本页;访问结束后请及时退出。vista系统使用需进行以下操作:通过把“控制面板”--“用户帐户”--“打开或关闭„用户帐户控制‟”中的选项去掉即可,即不要选中“使用用户帐户控制(UAC)帮助保护您的计算机”,点“确定”,从新启动计算机。9 使用GHOST安装操作系统的用户,可能会无法使用sslvpn。
注意事项:
一、若成功登录后,不能正常下载及浏览文件,请首先确认您的计算机上是否已经安装相应的文件浏览器或阅读器;
二、若不能正常安装请查看以下说明:
1、浏览器安全级别太高,请到中或默认级别,或调整以下设置: A、浏览器禁止下载ActiveX控件,设设置允许下载控件;
B、浏览器禁止运行ActiveX控件,设设置允许运行控件;
C、浏览器禁止ActiveX控件执行脚本,设设置允许执行脚本;
2、浏览器插件拦截控件下载,如上网安全助手等,请设置允许下载
3、可浏览器安全中将本页为信任站点
4、浏览器要求使用IE5以上版本
5、本系统支持windows98/windowsXP/windows2000/windows2003/Windows VISTA/Windows7系统
四、因带宽不足,为提高速度,提高访问效率,请不要在校内使用;不使用时请及时退出系统;10分钟内如不使用本系统,系统将自动断线。
五、如果长时间不能建立隧道,或者不能获取ip地址,请将防火墙和杀毒软件先行关闭或者卸载,成功连接后,再次把防火墙和杀毒软件打开或安装。
六、如有疑问请拨打:86330350
点击咨询 