VPN申请需登录统一客户专区进行申请,路径:统一客户专区-网络通信业务申请-金融数据交换平台VPN接入-申请。接入指引手册下载
1、VPN 简介
深证通 FDEP 金融数据交换平台新增了互联网 VPN 链路接入服务,使客户通过互联网 VPN 接入即可开展数据交换业务,数据交换的对端来自专网或者同样来自互联网。为保障 FDEP 业务的可靠性,我司构建了一套跨多数据中心的 VPN 接入系统,一点接入,全网可达,统一认证。图示如下:
图表 1 VPN 功能示意图
我司提供的 SSL VPN 接入具有如下特点:
- 任意一个 SSL VPN 登录 URL 都可以完成登录,登录的账号信息一致,且支持用户名、密码和(可选)动态令牌登录;
- 登录后可开展 FDEP 生产或测试业务,且仅能访问专供 VPN 接入的 FDEP服务器生产网段 172.100.43.0/26 和测试网段 172.100.43.96/27,不能访问专线接入的 FDEP 服务器生产网段和测试网段;
- SSL VPN 登录成功后,可以使用 ICMP 协议,TCP 协议的 7001,7015,7016等端口,以实际安全配置为准。
2、VPN 参数
FDEP 金融数据交换平台业务所有可供客户使用的 VPN 参数如下表。客户在使用前,请“ping 地址”,找出丢包率最低且时延最短的 IP 地址,该 IP 地址所对应的 URL 即是最优的 VPN 登录 URL。经验:一般客户公司互联网出口是哪个运营商就选择哪个运营商 VPN。
表格 1 VPN 服务登录参数表
本手册不是完整版操作手册,仅列示了关键步骤。SSL VPN 通信基于 https协议实现,使用了 tcp 协议 443 端口。请确保您的环境能够访问 PING 互联网并能够访问 tcp 协议 443 端口。FDEP 系统 vpn 用户交流 QQ 群:529379267,欢迎加入,加入请提供客户名和个人姓名。
表格 2 VPN 登录成功后可测试连通性的 FDEP 服务器地址
注:本文目标重点确保客户成功接入 VPN 网络并与 FDEP 服务器网段路由畅通。本文不会列示所有的 FDEP 金融数据交换平台服务器地址,也不会提及 FDEP金融数据交换平台软件使用方法,如需要了解这些信息,请参考其他文档。 绝大部分客户无需阅读后续章节,直接在 WEB 浏览器中输入“最优的 VPN 登 录 URL”即可完成 VPN 登录。WEB 浏览器会自动提示安装必要的插件和客户端软件,首次安装后以后可以直接使用桌面的 EasyConnect 工具登录 VPN。但我们仍然建议您仔细阅读后文,以备紧急情况下您可更快的自助式解决故障。
3、VPN 使用方法-精简版
3.1、(常用)使用 EasyConnect 登录 SSL VPN
首次使用请跳过此节内容,直接从 3.2 节开始阅读;第二次使用仅参考本节。启动 EasyConnect 的桌面图标程序。
图表 2 GUI VPN 工具安装后桌面图标
在启动后窗口中输入“VPN 登录 URL(含前缀 https://)”。
图表 3 GUI VPN 工具登录界面 1
下一页窗口中输入 VPN 的用户名和密码信息。(可选)如果客户有申请与 VPN账号搭配使用的动态令牌,则登录的下一步窗口还会提示输入动态口令。
图表 4 GUI VPN 工具登录界面 2
图表 5 (可选)GUI VPN 工具登录界面 3
VPN 登录成功后,在桌面右下角选择“EasyConnect 图标”,并鼠标右键弹出“连接状态”、“个人设置”。可以在连接状态中可以看到自己获取到了 VPN 私有地址,接下来客户与计算资源的通信都是使用 VPN 私有地址。
图表 6 GUI VPN 工具登录后效果
至此,客户利用 VPN 客户端登录 SSL VPN 成功了。接下来就可以使用支持 RDP、SSH 等协议的工具管理计算资源的操作系统了。首次登录后记得修改 VPN 用户名对应的密码,注意客户不可更改动态口令码。
3.2、(首次)浏览器登录 VPN
先从“VPN 参数”章节获取到 “最优的 VPN 登录 URL”。“用户名”和“密码”,(可选)及动态密码参考我司为客户提供的信息(通过业务单据、邮件、快递等提供)。
图表 7 WEB VPN 工具登录界面 1
注:上图中的“下载 svpntool 工具”链接内有诊断工具,用于检测及修复客户端的不当配置。
图表 8 WEB VPN 工具登录界面 2
上述步骤操作后,VPN 登录操作即完成。
3.3、(首次)浏览器安装控件及 VPN 客户端程序 easyconnect
在操作过程中,系统会提示安装控件及 VPN 客户端程序。首次必须安装。
图表 9 WEB VPN 工具登录界面 3
点击“下载客户端控件”后会下载 EasyConnect 这个 GUI 客户端程序,请安装该程序。推荐客户下载并安装 EasyConnect 这个程序,程序安装完成后会在桌面生成桌面图标。
图表 10 GUI VPN 工具下载界面 1
EasyConnectInstaller.exe 下载完成后请运行该安装程序。安装完成后会在桌面生产下图图标。
图表 11 GUI VPN 工具安装后桌面图标
上图是安装好的 EasyConnect 生成的桌面图标。至此,客户利用浏览器登录SSL VPN 成功了。接下来就可以使用支持 RDP、SSH 等协议的工具管理计算资源的操作系统了。首次登录后记得修改 VPN 账号密码。
注:首次登录过程中同时安装好了必要插件及 GUI 的 VPN 客户端EasyConnect,EasyConnect 可以供以后登录 VPN 使用,取代浏览器,使用与浏览器一样方便,但更加稳定可靠。EasyConnec 的操作说明参考 3.1 节。3.4、(首次)浏览器从登录页面调转到 easyconnect 下载页面
部分浏览器在首次登录 VPN URL 过程中(用户名密码的登录页面),浏览器会自动跳转到 easyconnect 安装程序的下载页面,请在该页面直接下载easyconnectInstaller.exe 并安装。
图表 12 登录 URL 会跳转到下载安装 EasyConnect 客户端页面
下载 EasyConnect 并安装完成后即可参考 3.1 节进行操作登录操作。
4、 常见问题
4.1.我应该登录哪个 VPN URL?
答:根据您的上网环境不同选择不同的 VPN 登录 URL,可以使用最优的 VPN登录 URL,“VPN 参数”章节有介绍如何选择出最优的 VPN 登录 URL。您也可以参考我们的如下经验:
- 如果您的上网环境为电信,则选择东莞 https://61.142.4.30 或深圳 https://218.17.123.253;
- 如果您的上网环境为联通,则选择东莞 https://58.253.80.174 或深圳 https://58.250.205.253;
- 如果您的上网环境为移动,则选择东莞 https://120.234.56.254。登录操作参考前面章节。
4.2.我应该使用哪个 VPN 帐号?
答:无论登录哪个 VPN 地址,VPN 的用户名、密码和(可选)动态令牌都是同一套。客户先按照商务条款获取到 VPN 帐号,再登录 SSL VPN 接入到 FDEP 网络环境,最后利用FDEP金融数据交换平台软件开展FDEP金融数据交换平台业务。
注意,1 个 VPN 帐号同一个时间点只允许 1 个在线
4.3.如何判断我的 VPN 登录是否成功?
答:非常简单,使用 PING 和 TELNET TCP 端口的方法。具体 PING 或 TELNET表格“VPN 登录后可测试连通性的 FDEP 服务器地址”中的网关或服务器 IP 及端口。举例:
生产环境:ping “表格 2 VPN 登录成功后可测试连通性的 FDEP 服务器地址”,如果收到 reply 则与生产环境路由已通,telnet “表格 2 VPN 登录成功后可测试连通性的 FDEP 服务器地址”中 TCP 端口,如果能够 open 则端口已通,依次类
推。
测试环境:同理。
4.4.为什么 VPN 连接老是断线?
答:断线一般有 3 个原因,分别是:
(1)互联网质量欠佳。您的互联网出口与您所使用的 VPN 登录 URL 的 IP 地址之间的连通性欠佳,这种情况多发生在跨运营商访问时,目前暂无较好手段解决跨运营商的互通问题。但此时应该利用 4.1 的方法找出最优的 VPN 登 录 URL;或者参考“VPN 参数”章节找出最优的 VPN 登录 URL。
例如,ping我们的 VPN 地址(东莞电信)61.142.4.30、(深圳电信)218.17.123.253、 (东莞联通)58.253.80.174、(深圳联通)58.250.205.253、(东莞移动)120.234.56.254,将丢包率最低且时延最短的 IP 作为最优的 VPN 登录 IP。
(2)我司或客户的互联出口故障。一般发生在客户的互联网出口线路割接、我司的互联出口线路割接或其他不稳定因素发生时。如果发生了这种情况,请尝试更换 VPN 节点或 VPN 地址,参数请参考“VPN 服务登录参数表”,我们有电信、联通和移动 VPN 登录 IP。同时将您发现的现象反馈给我们。
(3)某数据中心 VPN 接入服务异常。某些情况下我们的单数据中心 VPN 接入服务可能处于计划内维护状态,或者出现计划外故障现象,此时欢迎及时电话、邮件、QQ 群等方式向我们反馈情况。根据我们的设计和测试,此时您可以尝试登录另一个数据中心的 VPN 登录 URL,首先继续开展业务,然后向我们反馈您遇到的故障。
如果您尝试了上面 3 个方法都未能解决 VPN 老是断线的问题,请及时联系我们,我们会协助客户分析故障原因。
4.5.为什么 VPN 连接正常但 PING 不通 FDEP 服务器或 TELNET 不通FDEP 的应用端口?
答:出现这种情况一般原因是客户操作系统版本不兼容、缺少必要插件或 VPN客户端软件安装配置异常。客户可以重点从以下 3 个方面入手:
(1) 换一台能够访问互联网 https(TCP 协议 443 端口)的主机,按照本文步骤登录 VPN,登录后检查是否能够 PING 通 FDEP 服务器或TELNET 通 FDEP 服务器的 TCP 应用端口;
(2) 通过 WINDOWS 右下角 easyconnect 程序/连接状态,查看是否获取到虚拟 IP,主机登录 VPN 成功后获到的虚拟 IP 地址规律为192.168.216.0/22(登录东莞 VPN URLL)或者 192.168.252.0/24(登录深圳 VPN URL)。获取到虚拟 IP,则表示 SSL VPN 登录成功。如果您未能获取到虚拟 IP,则应该首先检查“设备管理器”/“网 络适配器”/“Sangfor SSL VPN CS Support System VNIC”是否被禁用(有粗体箭头图标),如被禁用,则请启用该虚拟网卡(启用后就没有粗体箭头图标了);
图表 13 VPN 虚拟网卡被禁用效果
图表 14 VPN 虚拟网卡启用后效果
(3) 其次检查你的操作系统是否有安装 360 等杀毒软件或者防火墙,可以先禁用这些杀毒软件或防火墙,重新登录 VPN,并验证能否获取到 IP,如果证明杀毒软件或防火墙造成 VPN 异常,则请信easyconnect 相关程序。
(4) 通过 WINDOWS 右下角 easyconnect 程序/显示资源,在弹出的 WEB 窗口中查看是否获取到“资源列表”,一般应该有资源列表条目,如果没有看到资源列表则可能我司的配置有误,请联系我司。
图表 15 显示资源
完成上述 4 个检查后,仍然没有解决问题,则请联系我司。
4.6.为什么 VPN 连接正常但是 FDEP 金融数据交换平台老是断线?
答:此时故障原因具有一定隐蔽性,因为可能 FDEP 金融数据交换平台和 VPN连接都异常了。假如 VPN 连接本身确实正常,而 FDEP 金融数据交换平台应用程序断线,一般有 2 个原因,分别是:
(1) 单数据中心互联网入口异常。某些情况下我们的单数据中心互联网入口可能出现计划外故障,此时您可以尝试登录另一个数据中心的 VPN登录 URL,首先继续开展业务,然后向我们反馈您遇到的故障。
(2) FDEP 金融数据交换平台客户端软件版本过低。如客户未及时按照我司通知升级您的 FDEP 金融数据交换平台客户端软件,当我司服务端发生软件版本升级后可能会有客户端中断的现象发生。请您按照我们的通知和手册升级软件版本。
如果您尝试了上面 2 个方法都未能解决老是断线问题,请及时通知深证通FDEP 金融数据交换平台运维组,我们会协助客户分析故障原因。
4.7.我登录 VPN 后 FDEP 金融数据交换业务的带宽是多少?
答:对应 FDEP 金融数据交换平台文件传输服务,客户可能比较关心文件上传下载的带宽。有 3 个可能的带宽瓶颈环节,图示如下:
图表 16 带宽瓶颈环节示意
其中:
- 瓶颈 1:取决于客户互联网出口带宽值,客户需要留意自己的互联网出口是否是上传下载对称型链路;
- 瓶颈 2:SSL VPN 入口带宽限制,目前,每个 vpn 帐号 30Mbps 带宽限流,上传下载速度一致;
- 瓶颈 3:FDEP 金融数据交换平台为客户配置的业务带宽或者其他技术参数,该参数按照客户商务合同配置,一般 64Kbps-2Mbps。
4.8.系统提示我的帐号被锁定了,怎么解锁?
答:请联系我司,我们会帮助您解锁。
4.9.我的动态令牌损坏了,如何更换?
答:动态令牌损坏(例如没电、动态码更换频度超过正常值等),请联系我司,并将损坏的动态令牌邮寄回我司,我们为您更换。
4.10. 我的动态令牌丢失了,如何补办?
答:动态令牌丢失后,您的 VPN 帐号将无法正常登录,可能对您的业务造成影响,请联系我司进行紧急授权,允许你短期内仅使用用户名和密码进行登录,待动态令牌补办到位后再启用动态令牌。
