一、EzVPN 简介
1. Easy VPN 又名 EzVPN,Easy VPN 属于远程接入 VPN,其中“easy”表现在客户端连接VPN时配置简单
2. Easy VPN 和 SSL VPN 属于远程接入 VPN,IPSec VPN 和 DVPN 都属于站点到站点 VPN
3. Easy VPN 是 Cisco 私有技术,只能运用在 Cisco 设备之间
4. Easy VPN 适合远程接入 VPN 部署, EzVPN 提供了中心的 VPN 管理,动态的策略分发,降低了远程客户端访问VPN的复杂程度,并且增加了扩展和灵活性
5. 在配置中,当用 RSA-SING 认证时,通过主模式发起协商;当用 PSK 认证时,通过野蛮模式发起协商
二、EzVPN 实现阶段
1. Easy VPN IKE 第一阶段介绍
Easy VPN IKE 第一阶段同 IPSec VPN IKE 第一阶段一致。Cisco Easy VPN 为了提高客户的易用性,客户端无须配置 IKE 策略。无须配置策略不等于客户端没有策略,而是客户端(软件/硬件)已经内建了很多策略。这些策略会在 IKE 第一阶段全部推送给服务器端,由服务器来选择适当的策略。所以策略的最终决定权在于 EzVPN 服务器。
注意: 如果使用数字签名来进行认证,那么第一阶段模式为主模式(Main),一共会发送6个报文;如果使用预共享密钥来进行认证的话,那么第一阶段模式为激进模式(Aggressive),发送3个报文。并且在使用预共享密钥进行认证时,DH 算法的强度必需为 Group 2
第一阶段推荐配置:
1. pre-share + DH group2 + MD5 + DES
2. pre-share + DH group2 + SHA + 3DES
2. Easy VPN IKE 第1.5阶段介绍
Cisco Easy VPN 在第一阶段结束后,第二阶段开始之前,插入了一个全新的1.5阶段。这个阶段主要由如下两个部分组成:1.XAUTH(Extended Authentication)扩展认证:在第一阶段组名加密码认证的基础之上,再增加了一次用户名和密钥的认证,弥补了主动模式安全性上的问题;引入 AAA 技术,使用 RADIUS 对用户进行认证。2.MODE-CFG(Mode Configuration)模式配置:为了简化 client 的配置,server 将各种参数直接推送给 client,包含 ip、dns、ACL 等。过程:client 先告诉 server 自己是什么模式,server 根据client的模式推送相应参数.
有三种模式可供选择:
client(客户端)模式:server 会推送 ip 地址给 client,但不能访问 client 内部网络
network(网络)模式:server 不会推送 ip 地址给 client,但可以访问 client 内部网络
network plus(网络增强)模式:server 既推送 ip 地址给 client 又能访问 client 内部网络
3. Easy VPN IKE 第二阶段介绍
Easy VPN IKE 第二阶段和普通的 IPSec VPN 一样都为快速模式,客户端依然无须配置任何策略,但是客户端内建了很多策略,并且在快速模式第一个包,全部推送给服务器端,服务器从这些策略中选取其中一个,通过第二个包回馈给客户端,所以不管客户端有多少策略,决定权始终掌握在服务器手中。Cisco Easy VPN 对 IKE 第二阶段的策略一般没有特殊要求,只要是ESP封装应该都能通过,注意 Cisco Easy VPN 不支持 AH 封装方式
第二阶段推荐策略:
1. esp-des esp-md5--hmac
2. esp-3des esp-md5-hamc