IPsec_VPN的详细介绍概要.ppt

  1. 1、本文档共91页,可阅读全部内容。
  2. 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
IPsec_VPN的详细介绍概要

流程2-- Server 找到匹配的Policy Server 把Client 发送来的IKE Policy 与自己的Policy相比较 找到匹配值后成功建立IKE SA Remote PC with Easy Remote VPN Client 3.x IOS router 12.2(8)T Easy VPN Server Policy 1 检查后发现Policy1匹配 流程3-- Server 要Client输入用户/口令 Remote PC with Easy Remote VPN Client 3.x IOS router 12.2(8)T Easy VPN Server Username/password AAA checking Username/password challenge 如果配置了扩展认证Xauth,Server 端将要求Client端 发送用户名/口令进行身份认证 配置Xauth将获得更高的安全性,因此建议server端配置Xauth 流程4--Server向Client推送参数 Remote PC with Easy Remote VPN Client 3.x IOS router 12.2(8)T Easy VPN Server Client 请求配置参数 Server推送配置参数 身份认证通过后,Client将向Server请求其余的配置参数 Server向Client推送的参数至少要包含分配给Client的IP地址 流程5--Server进行反向路由注入 Remote PC with Easy Remote VPN Client 3.x IOS router 12.2(8)T Easy VPN Server 创建RRI静态路由 Server进行反向路由注入(Reverse Route Injeciton,RRI),为刚分配的Client端IP地址产生一条静态路由,以便正确地路由发送给Client端的数据包 流程6--建立IPSec SA Remote PC with Easy Remote VPN Client 3.x IOS router 12.2(8)T Easy VPN Server 建立 IPSec SA VPN tunnel Client收到配置参数,双方建立IPSec SA Easy VPN在Server端的配置步骤 vpngate1 创建IKE策略集,该策略集至少要能与VPN Client的一个内置策略集相匹配,以便在Server和Client之间建立IKE SA 定义要推送给Client的组属性,其中包含分配给Client的地址池、Pre-Share Key等 定义IPSec变换集(只用于Client触发建立IPSec SA时,如果是Server触发建立IPSec SA就不需要使用) 启用DPD死亡对端检测 配置Xauth扩展认证 把Crypto Map应用到路由器端口上 创建IKE策略集 vpngate1(config)# crypto isakmp enable vpngate1(config)# crypto isakmp policy 1 vpngate1(config-isakmp)# authen pre-share vpngate1(config-isakmp)# encryption 3des vpngate1(config-isakmp)# group 2 vpngate1(config-isakmp)# exit Authen: Preshared keys Encryption: 3-DES Diffie-Hellman: Group 2 Other settings: Default Policy 1 vpngate1 Cisco VPN Client内置的部分策略集 DES MD5 DH2 Pre-share 3DES MD5 DH2 Pre-share 3DES SHA DH2 Pre-share vpngate1 定义分配给Client的地址池 Router(config)# ip local pool {default | pool-name low-ip-address [high-ip-address]} vpngate1(config)# ip local pool remote-pool 10.0.1.100 10.0.1.150 vpngate1 Remote client remote-pool 10.0.1.100 to 10.0.1.150 Pool 地址池中的地址将分配给Client端 定义推送给Client的组属性 router(config)# crypto isakmp client configuration grou

您可能关注的文档

文档评论(0)

jiayou10 + 关注
实名认证
内容提供者

该用户很懒,什么也没介绍

版权声明书
用户编号:8133070117000003

1亿VIP精品文档

相关文档