EASY_VPN课程讲解归纳.ppt

配置Easy VPN 远程用户( Cisco VPN Client 4.x软件) 任务1—安装Cisco VPN Client 4.x软件 VPN Client程序菜单 任务2—创建一个新的连接条目 任务3—配置连接属性 对端路由器连接外网的端口地址 必须与路由器上的组名一致,包括大小写 必须与路由器上的预共享密钥一致 点击保存 步骤 1—VPN客户端发起IKE第一阶段 客户发起连接，两端协商是用主动模式还是主模式；如果使用pre-share方式时，协商为主动模式；如果是数字证书认证，则协商为主模式。主动模式具有更高的连接效率，交换的信息比较少，非常适合远程VPN。而主模式一般用在site-to-site的连接方式。 装有VPN Client 4.x版本的远端PC 装有高版本的Easy VPN Server 步骤 2—两端协商建立IKE SA 为了建立IKE SA ，客户端软件需要发送提议进行两端的协商，在必威体育精装版的客户端软件中已经内置了一些提议，不需要我们手工地输入，所以非常方便用户的使用。 在提议中包含下列协商的内容，跟site-to-site VPN类似；内容包括： --加密和HASH算法（MD5还是SHA） 认证方法（预共享还是签名，本项目使用的是预共享） DH方法（在必威体育精装版的版本中不再支持DH1方式，所以本项目要求必须使用DH2方式）。 装有VPN Client 4.x版本的远端PC 提议1, 提议2, 提议3 装有高版本的Easy VPN Server 步骤 3—服务器接受提议 Easy VPN 服务器在本地查找匹配的提议： 优先级最高的提议首先比较，如果不匹配再找次级的，依次类推。 尽可能把最严格的提议的优先级作为最高。 IKE SA成功建立。 设备认证结束，用户身份认证开始。 装有VPN Client 4.x版本的远端PC 装有高版本的Easy VPN Server 提议 1 提议检查发现提议1匹配 步骤 4—Easy VPN服务器初始化一个 Username/Password 挑战 如果Easy VPN服务器配置了XAUTH(扩展用户认证), 那么远程用户需要等待User/Password的挑战信息的到来.由于远程用户众多,我们无法知道到底是谁在使用PC,而pre-share认证只能认证建立VPN连接的设备而无法认证使用者,所以使用XAUTH技术是必要的: 一旦挑战信息被收到,远程用户需要输入用户名和密码. 服务器收到回应之后,与本地数据库或AAA数据库进行比较,从而判定使用者是否为合法用户.要求合法用户绝对不能随意把密码告诉给其他不相关的人. 推荐:所有的Easy VPN服务器都应当配置XAUTH认证. 装有VPN Client 4.x版本的远端PC 装有高版本的Easy VPN Server Username/password AAA 检查 Username/password 挑战 步骤 5—模式配置开始启动 如果用户认证成功,VPN客户端从VPN服务器请求其他的配置参数: 模式配置开始. 其他的配置参数(隧道的IP地址, DNS, 隧传分离信息等,只有IP地址是必要的,其他都是可选的)被下载到用户端PC中. 需要说明的是,如果不使用隧传分离,则用户所有的流量都走VPN,而不能上网冲浪了,所以隧传分离的目的是告诉远程PC什么流量走VPN,什么流量不需要走VPN. 装有VPN Client 4.x版本的远端PC 装有高版本的Easy VPN Server 远程用户请求配置参数 服务器使用(模式配置)把系统参数提供给用户 步骤6—RRI(反向路由注入) 处理开始启动 在VPN服务器给VPN客户分配完地址之后, VPN服务器必须知道它自己应该通过众多隧道中的哪条隧道才能到达终端用户: 如果启动了RRI功能,那么在分配完地址之后,VPN服务器会自动建立一条到达用户隧道的静态路由;一旦VPN连接结束,这条静态路由也随之消失. 我们后面将介绍它的使用命令. 如果你起用了GRE(通用路由封装)隧道,并且在里面运行了路由选择协议,那么就不需要使用RRI技术了. 装有VPN Client 4.x版本的远端PC 装有高版本的Easy VPN Server 创建RRI静态路由 VPN Tunnel 步骤7—完成IKE第二阶段(快速模式)的建立 在必需的参数分配完毕之后,协商IKE第二阶段SA,也就是IPSEC SA或者快速模式SA的建立. 在IPSEC SA建立成功之后,VPN连接也就完成了. 装有VPN Client 4.x版本的远端PC 装有高版本的Easy VPN Server 快速模式 IPSec SA 建立 VPN tunnel 如何配置Easy VPN服务器 任务1