学习使用EASYVPN8.pptVIP

学习使用EASY VPN Easy VPN的组成 Easy VPN由两部分构成: Easy VPN 服务器—可以是CISCO2600以上型号的路由器、PIX防火墙、专用的VPN3000集中器——负责接受客户端VPN连接请求的建立，从而对客户实施认证，如果客户身份认证通过，就可以建立VPN连接，否则不建立；一般情况下，服务器端不发起VPN连接请求，都是由客户端发起。 Easy VPN 客户端—可以是CISCO1700以上的路由器、PIX防火墙、专用的VPN3002硬件客户端，也可以是专门的客户端软件，本项目使用的就是CISCO的专用Easy VPN WINDOWS版本的客户端软件。它负责发起VPN连接，只要认证通过就可以建立VPN连接。 Easy VPN(远程VPN）连接图例 Easy VPN是如何工作的 步骤 1—VPN客户端发起IKE第一阶段 客户发起连接，两端协商是用主动模式还是主模式；如果使用pre-share方式时，协商为主动模式；如果是数字证书认证，则协商为主模式。主动模式具有更高的连接效率，交换的信息比较少，非常适合远程VPN。而主模式一般用在site-to-site的连接方式。 步骤 2—两端协商建立IKE SA 为了建立IKE SA ，客户端软件需要发送提议进行两端的协商，在最新的客户端软件中已经内置了一些提议，不需要我们手工地输入，所以非常方便用户的使用。 在提议中包含下列协商的内容，跟site-to-site VPN类似；内容包括： --加密和HASH算法（MD5还是SHA） 认证方法（预共享还是签名，本项目使用的是预共享） DH方法（在最新的版本中不再支持DH1方式，所以本项目要求必须使用DH2方式）。 步骤 3—服务器接受提议 Easy VPN 服务器在本地查找匹配的提议： 优先级最高的提议首先比较，如果不匹配再找次级的，依次类推。 尽可能把最严格的提议的优先级作为最高。 IKE SA成功建立。 设备认证结束，用户身份认证开始。 步骤 4—Easy VPN服务器初始化一个 Username/Password 挑战 如果Easy VPN服务器配置了XAUTH(扩展用户认证), 那么远程用户需要等待User/Password的挑战信息的到来.由于远程用户众多,我们无法知道到底是谁在使用PC,而pre-share认证只能认证建立VPN连接的设备而无法认证使用者,所以使用XAUTH技术是必要的: 一旦挑战信息被收到,远程用户需要输入用户名和密码. 服务器收到回应之后,与本地数据库或AAA数据库进行比较,从而判定使用者是否为合法用户.要求合法用户绝对不能随意把密码告诉给其他不相关的人. 推荐:所有的Easy VPN服务器都应当配置XAUTH认证. 步骤 5—模式配置开始启动 如果用户认证成功,VPN客户端从VPN服务器请求其他的配置参数: 模式配置开始. 其他的配置参数(隧道的IP地址, DNS, 隧传分离信息等,只有IP地址是必要的,其他都是可选的)被下载到用户端PC中. 需要说明的是,如果不使用隧传分离,则用户所有的流量都走VPN,而不能上网冲浪了,所以隧传分离的目的是告诉远程PC什么流量走VPN,什么流量不需要走VPN. 步骤6—RRI(反向路由注入) 处理开始启动 在VPN服务器给VPN客户分配完地址之后, VPN服务器必须知道它自己应该通过众多隧道中的哪条隧道才能到达终端用户: 如果启动了RRI功能,那么在分配完地址之后,VPN服务器会自动建立一条到达用户隧道的静态路由;一旦VPN连接结束,这条静态路由也随之消失. 我们后面将介绍它的使用命令. 如果你起用了GRE(通用路由封装)隧道,并且在里面运行了路由选择协议,那么就不需要使用RRI技术了. 步骤7—完成IKE第二阶段(快速模式)的建立 在必需的参数分配完毕之后,协商IKE第二阶段SA,也就是IPSEC SA或者快速模式SA的建立. 在IPSEC SA建立成功之后,VPN连接也就完成了. 如何配置Easy VPN服务器 任务1—创建IP地址池 创建本地IP地址池,也可以使用外部的DHCP服务器,本项目使用本地地址池进行地址的分派. 任务2—配置组策略查找 任务3—为远程VPN客户创建ISAKMP策略 任务4—为模式配置定义组策略 任务4 包含下列步骤: 步骤1—进入组策略配置模式. Step 2—配置IKE pre-shared密钥. Step 3—指定DNS服务器的IP地址. Step 4—指定WINS服务器的IP地址. Step 5—指定远程用户的DNS域. Step 6—确定本地IP地址池. 任务4-步骤1—进入组策略配置模式 任务4-步骤3—指定DNS服务器(可选) 任务4-步骤4—指定WINS服务器(可选) 任务4-步骤5