Easy VPN是Cisco的私有技术,Easy VPN有两大组件:Cisco Easy VPN Server和Cisco Easy VPN Client,它为远程用户和分支office提供的一种RemoteAccess VPN解决方案,Easy VPN提供了中心的VPN管理,动态的策略下,降低了RemoteAccess VPN部署的复杂性,并降低了扩展和灵活性。Easy VPN不支持AH。
Easy VPN中心管理的参数:
1、隧道协商参数,例如:地址,算法和生存时间。
2、使用已配置的参数建立隧道。
3、动态的创建NAT和PAT。
4、使用组、用户和密码认证用户。
5、管理加密的密钥。
6、验证、加密和解密隧道的数据。
7、备用VPN管理。
Easy VPN认证的三个阶段:
一、Easy VPN IKE第一阶段两种认证方式
1、数字证书认证(rsa-sig)使用数字证书认证的EzVPN,第一阶段使用标准的六个包交换的主模式。
2、预共享密钥(pre-share)
Cisco EzVPN的预共享密钥和传统站点到站点IPSec VPN的配置方式不同,传统IPSec VPN使用一个密码来进行认证,但是Cisco EzVPN的预共享密钥使用一个组名加上一个密码来进行认证,这是Cisco采用的一种特殊处理方式,这样做的好处在于我们可以为一个公司内的不同部门配置不同的组,并且把VPN相关的策略与组进行关联,这样就额可以为不同的部门配置不同的VPN策略。例如:为部门一的用户分配地址池一,部门二的用户分配地址池二。并且还需要注意的问题是,使用预共享密钥认证的EzVPN第一阶段使用三个包交换的主动模式(aggressive mode)。由于预共享密钥认证的EzVPN采用的模式是aggressive mode,此时Cisco EzVPN的客户端无需配置策略,因为客户端(Soft/Hardware Client)已内建了很多策略。这些策略会在IKE Phase 1时全部推送给Server。由Server来选择 适当的策略。注意DH的策略需要预先统一,DH Group必须配置为group 2。
二、Easy VPN IKE第1.5阶段,这个阶段主要由如下两个技术组成。
1、XAUTH(ExtendedAuthentication)扩展认证。
(1)在第一阶段组名加密码认证的基础上,再增加了一次用户名和密钥的认证,弥补了主动模式安全性上的问题。
(2)引入AAA技术,使用RADIUS对用户进行认证。
2、MODE-CFG(ModeConfiguration)模式配置。
为客户推送VPN配置策略(IP地址,DNS服务器地址,域名……)
三、Easy VPN IKE第二阶段(最后阶段)
Easy VPN IKE第二阶段和普通的IPSec VPN一样都为快速模式,客户端依然无须配置任何策略,但是客户端内建了很多策略,并且在快速模式第一个包,全部推送给服务端,服务器从这些策略中选取其中一个,通过第二个包回馈给客户端,所以不管客户端有多少策略,决定权始终掌握在服务器手中。Cisco EzVPN对IKE第二阶段的策略一般没有特殊的要求,只要是ESP封装应该都能通过,注意Cisco Easy VPN不支持AH封装方式。
EzVPN默认策略为tunnel everything,就是所有过网卡的流量都会被加密送到中心站点,如果客户想要上网,EzVPN客户端上网的流量需要通过中心站点VPN网关的转换处理(NAT)才能够访问互联网。当然如果中心没有为VPN流量配置转换策略,那么就只能访问中心站点不能访问互联网了。Cisco默认并没有启用分割隧道技术,用户同时只能访问一个网络资源,要么公司内部,要么互联网。这样可以保障公司内部的最大安全性。当然EzVPN可以通过配置Split Tunneling(隧道分离)技术, 推送策略高速客户什么流量需要加密送往中心,其他流量明文发。这让EzVPN客户不仅能够加密访问中心站点内部资源,还能直接的访问互联网。
