IPsec_VPN的详细介绍概要.ppt

流程2-- Server 找到匹配的Policy Server 把Client 发送来的IKE Policy 与自己的Policy相比较 找到匹配值后成功建立IKE SA Remote PC with Easy Remote VPN Client 3.x IOS router 12.2(8)TEasy VPN Server Policy 1 检查后发现Policy1匹配 流程3-- Server 要Client输入用户/口令 Remote PC with Easy Remote VPN Client 3.x IOS router 12.2(8)TEasy VPN Server Username/password AAA checking Username/password challenge 如果配置了扩展认证Xauth，Server 端将要求Client端 发送用户名/口令进行身份认证 配置Xauth将获得更高的安全性，因此建议server端配置Xauth 流程4--Server向Client推送参数 Remote PC with Easy Remote VPN Client 3.x IOS router 12.2(8)TEasy VPN Server Client 请求配置参数 Server推送配置参数 身份认证通过后，Client将向Server请求其余的配置参数 Server向Client推送的参数至少要包含分配给Client的IP地址 流程5--Server进行反向路由注入 Remote PC with Easy Remote VPN Client 3.x IOS router 12.2(8)TEasy VPN Server 创建RRI静态路由 Server进行反向路由注入(Reverse Route Injeciton，RRI)，为刚分配的Client端IP地址产生一条静态路由，以便正确地路由发送给Client端的数据包 流程6--建立IPSec SA Remote PC with Easy Remote VPN Client 3.x IOS router 12.2(8)TEasy VPN Server 建立 IPSec SA VPN tunnel Client收到配置参数，双方建立IPSec SA Easy VPN在Server端的配置步骤 vpngate1 创建IKE策略集，该策略集至少要能与VPN Client的一个内置策略集相匹配，以便在Server和Client之间建立IKE SA 定义要推送给Client的组属性，其中包含分配给Client的地址池、Pre-Share Key等 定义IPSec变换集(只用于Client触发建立IPSec SA时，如果是Server触发建立IPSec SA就不需要使用) 启用DPD死亡对端检测 配置Xauth扩展认证 把Crypto Map应用到路由器端口上 创建IKE策略集 vpngate1(config)# crypto isakmp enable vpngate1(config)# crypto isakmp policy 1 vpngate1(config-isakmp)# authen pre-share vpngate1(config-isakmp)# encryption 3des vpngate1(config-isakmp)# group 2 vpngate1(config-isakmp)# exit Authen: Preshared keys Encryption: 3-DES Diffie-Hellman: Group 2 Other settings: Default Policy 1 vpngate1 Cisco VPN Client内置的部分策略集 DES MD5 DH2 Pre-share 3DES MD5 DH2 Pre-share 3DES SHA DH2 Pre-share vpngate1 定义分配给Client的地址池 Router(config)# ip local pool {default | pool-namelow-ip-address [high-ip-address]} vpngate1(config)# ip local pool remote-pool 10.0.1.100 10.0.1.150 vpngate1 Remote client remote-pool 10.0.1.100 to 10.0.1.150 Pool 地址池中的地址将分配给Client端 定义推送给Client的组属性 router(config)# crypto isakmp client configuration grou