通过博文思科路由器实现IPSec虚拟专用网原理及配置详解可以实现两个局域网之间建立虚拟专用网,但是在现实环境中,较为常用的还是容易虚拟专用网。它主要解决的就是出差员工通过虚拟专用网访问内网的问题。在路由器上实现容易虚拟专用网时,会涉及以下的基本概念:XAUTH,组策略,动态加密地图等概念!
博文大纲:
一、容易虚拟专用网需要解决的问题。
二,在路由器上实现容易虚拟专用网需要配置什么?
1。使用XAUTH做用户验证;
2。组策略,
3。动态加密地图;
三,在思科路由器上配置容易虚拟专用网案例;一、容易虚拟专用网需要解决的问题
通过思科路由器实现IPSec虚拟专用网原理及配置详解了解到实现IPSec虚拟专用网时,需要经历两个重要的阶段。
1。阶段1——建立管理连接
<李>协商采用何种方式建立管理连接;李 <李>通过DH算法共享密钥信息;李 <李>对等体彼此进行身份验证;李
2。阶段2 -建立数据连接
<李>定义对等体间保护何种流量;李 <李>定义用来保护数据的安全协议,李 <李>定义传输模式,李
按照上述过程建立IPSec虚拟专用网没有问题,但是如果使用上面的方法建立容易虚拟专用网就会出现很多问题。比如:
<李>远程访问虚拟专用网一般来说,这时一端为硬件设备,如路由器,防火墙等;另一端则为客户端设备,如笔记本电脑等。这时客户端一侧的安全性就会存在一定的问题。大家试想一下,公司网关级的设备与PC的安全管理级别肯定是不同的,更何况很多员工是通过互联网访问公司的资源,会带来很大的安全隐患。而建立IPSec虚拟专用网加密的传输的根本就是事先配置在设备上的预共享密钥,一旦密钥泄露,整个IPSec虚拟专用网就没有任何意义。 <李>建立IPSec虚拟专用网时,双方都有固定的IP地址,这样我们才能配置ACL,对等体。很显然如果按照配置IPSec虚拟专用网的思路来建立容易虚拟专用网是不可能的!李
二,在路由器上实现容易虚拟专用网需要配置什么?
1。使用XAUTH做用户验证
(1) XAUTH
XAUTH是一个虚拟专用网网关的增强特性,提供用户名和密码的方式来验证用户身份。由于这个过程是在两个连接建立之间完成的,所以也被称为“<强>阶段1.5”。
提及用户验证自然就会涉及用户名和密码的存储方式,通常有两种情况:
<李>存储在虚拟专用网网关设备的内部数据库中,李 <李>存储在第三方设备上,比如一台AAA服务器;李
虽然增加了用户名和密码的验证过程,但如果远程访问虚拟专用网用户的笔记本电脑丢失,一些非法用户也可以通过这台笔记本电脑来获取公司内部的资料。解决这种问题的办法有:
<李>用户使用令牌卡,是每次输入用户名/口令都是不同的; <李>虚拟专用网的管理员强制客户端不得在本地存储用户名/口令,用户每次登陆必须手动输入;李
实际环境中一般都是采用第二种验证方式!
(2) AAA的定义
AAA是身份验证(验证),授权(授权)和会计(统计)的缩写,它提供了在网络设备上配置访问控制的基本框架。
实现AAA服务器只要使用半径协议和TACACS +协议:
<李>半径协议:是一个全开放的标准协议,任何厂商和用户可以灵活的修改半径;李 <李> TACACS +协议:是思科设计的私有协议,李
2。组策略
配置容易虚拟专用网一个关键的问题就是,由于与虚拟专用网连接的客户端由很多,所以对等的IP地址就不会固定,加密ACL也不会唯一。最好的解决方法就是让虚拟专用网”主动推送”这些策略给客户端。但是很多情况下客户端的这些策略都是相同的,因此在容易虚拟专用网中引入组的概念,将具有相同策略的客户端划分到一个组中,在虚拟专用网网关上一次性地为一组客户端配置策略,这样在配置过程和管理过程中都将大大节省工作量。
<强>组策略包含以下内容:
(1)地址池
远程访问虚拟专用网的客户端之所以很难与虚拟专用网的网关建立连接,就是因为客户端没有固定的IP地址,在这种“动态”的情况下,最好的办法就是让使虚拟专用网设备像DHCP服务器一样为每个通过验证的客户端“推”送IP地址。这样,由于客户端的IP地址是虚拟专用网网关动态分配的,虚拟专用网设备自然也就知道该与哪个IP建立虚拟专用网连接。
思科路由器实现远程访问虚拟专用网——容易虚拟专用网
