CISCO Easy VPN学习笔记

EasyVPN学习笔记【理论部分】EzVPN(Remote Access VPN) 主要是在路由器上来配置一个EzVPN的Server和Client。2大功能：1、简化Client端的配置2、集中的Client端的管理和动态地推送一些策略给Client上面的2大功能如何来实现呢?1、IKE的1.5阶段Mode config来集中化地推送一些策略给Client，由Server端配置2、Client端为什么是简化配置呢?她会有一些预配置的IKE的Policy和IPSec transform sets，所以说呢，我们在Client端是不需要配置第一阶段的Policy和第二阶段的转换集的，这就相对要简单一些，当然她会有一些限制，请看下表：Nonsupported IPSec Protocol Options and Attributes Options Attributes Authentication Types Authentication with public key encryption Digital Signature Standard(DSS) Diffie‐Hellman(D‐H) groups 1 IPSec Protocol Identifier IPSEC_AH IPSec Protocol Mode Transport mode Miscellaneous Manual keys                        Perfect Forward Secrecy(PFS) EzVPN的组件Easy VPN Server:可以在路由器上做，也可以在PIX/ASA做，也可以在防火墙上做，也可以在VPN集中器上做，Easy VPN Remote:可以在路由器上做，也可以在PIX/ASA做，也可以在防火墙上做，也可以在VPN的硬件Client(VPN3002)或者是软件Client上做下面是EzVPN的详细介绍1、The VPN client initiates the IKE Phase 1 process.2、The VPN client establishes an ISAKMP SA.3、The Easy VPN Server accepts the SA proposal.4、The Easy VPN Server initiates a username and password challenge.(XAuth—Extended Authentication)5、The mode configuration process is initiated.6、The RRI process is initiated.7、IPSec quick mode completes the connection.首先，跟普通的VPN一样，也需要先来协商建立一条EzVPN的通道，始发端肯定是Client初始化IKE Phase process，那么，第一阶段和第二阶段还是有的，目的也是一样，第一阶段协商Policy，因为Client端是预配置的一些Policy，全部发到Server端，由Server做一个验证，然后交换Key，做一个Peer的认证(2个Peer是EzVPN的Server端和Client端)，第一阶段协商就建立一个ISAKMP的SA，Server是要接受所有SA的proposal，Client端预配置的这些proposal这些Policy全部发到Server端，Server端要接受其中的一个，还是从序列号最小的开始匹配，然后呢，EzVPN的Server要要求一个用户名和密码的challenge，这就是1.5阶段的XAuth，叫做Extended Authentication，做一个用户名密码的验证，紧接着就是进入了Mode Configuration，Server端是集中化地配置了这些策略推送给Client，这也是1.5阶段，1.5阶段呢，一个是做XAuth，一个是做mode configuration，当然XAuth你可以禁掉，也就是说我不要求你输入用户名和密码，通常为了安全起见，我们是要做这个XAuth，那mode config是要推送一些策略，什么策略呢?最基本的就是要分给你一个IP地址，然后就是反向路由注入(RRI)，这一会我们来看一下她的反向路由注入是如何实现的，又为什么需要反向路由注入，以上就是第一阶段，完成之后第二阶段快速模式跟LAN‐to‐LAN没有任何区别。那么看一下她协商的一个具体的过程：Step 1：The VPN Client Initiates the IKE Phase 1 Process*  Using pre‐shared keys? Initiate aggressive mode. *  Using digital certificates? Initiate main mode. 第一阶段由Client端初始化，你是使用什么Mode，我们在前面介绍的都是Main Mode，对吧！如果EzVPN使用Pre‐shared keys做为验证的话呢，她就使用的是aggressive mode，这个Mode相对简单，只有3个message的交换，在第一个message做Policy的验证的同时呢会把DH产生Key的材料比如说公钥会一同发过去，Server端在接受某一个Policy的同时呢也会把她做DH交换的这些材料比如说公钥发给对端，最后做一个验证。如果使用的是数字证书，她同样也是Main Mode，是一样的。Step 2：The VPN Client Establishes an ISAKMP SA*  The VPN client attempts to establish an SA between peer IP addresses by sending multiple ISAKMP proposals to the Easy VPN Server. *  To reduce manual configuration on the VPN client, these ISAKMP proposals include several combinations of the following: —  Encryption and hash algorithms—  Authentication methods—  Diffie‐Hellman group sizesClient端把她所有的proposals也就是第一阶段的Policy全部发过去，注意，我们不能够使用group 1，只能使用group 2，因为所有的这些proposals与pre‐shared key相关的只有group 2，所以我们在做Server的时候呢Policy一定要是group 2，这些Policy也跟LAN‐to‐LAN的一样，加密，哈希的算法，认证的方法(per‐shared key还是RSA的签名)，DH group(1、2、5)，当然啦，现在的所有的proposals全都是2，基于per‐shared key的。Step 3：The CISCO Easy VPN Server Accepts the SA Proposal*  The Easy VPN Server searches for a match: —  The first proposal to match the server list is accepted(highest‐priority match).—  The most secure proposals are always listed at the top of the Easy VPN Server proposal list(highest priority).*  The ISAKMP SA is successfully established. *  Device authentication ends and user authentication begins. 第三步就是Server端同意使用一个Policy，比如说加密3DES，哈希MD5，包括一些认证的方法，pre‐shared key这些同意其中的一个，建立ISAKMP的SA，也就是第一阶段的协商完成，协商完成之后，她除了Peer的验证还需要一个用户的验证，也就是XAuth。Step 4：The CISCO Easy VPN Server Initiates a Username and Password Challenge*  If the Easy VPN Server is configured for Xauth, the VPN client waits for a username/password challenge: —  The user enters a username/password combination.—  The username/password information is checked against authentication entities using AAA.*  All Easy VPN Servers should be configured to enforce user authentication. 第一阶段协商完成之后，她除了Peer的验证还需要一个用户的验证，也就是XAuth，要求你输入一个用户名和密码，这个用户名和密码可以是在Easy VPN Server本地，也可以是AAA服务器上的，当这个用户名和密码的验证通过之后呢，就进入了Mode Configuration，这还是1.5阶段。Step 5：The Mode Configuration Process Is Initiated*  If the Easy VPN Server indicates successful authentication, the VPN client requests the remaining configuration parameters from the Easy VPN Server: —  Mode configuration starts.—  The remaining system parameters(IP address, DNS, split tunneling information, and so on) are downloaded to the VPN client.*  Remember that the IP address is the only required parameter in a group profile; all other parameters are optional. 这还是1.5阶段，主要就是Server端推送一些参数给Client，Client询问一些参数，那么这里边都有一些什么样的配置呢?最基本的就是IP Address，也只有这个是必须的，其他的参数都是可选(Optional)的，其他参数包括什么呢?DNS服务器的地址，split tunnel，当这个完成之后，就进入第二阶段。Step 6：The RRI Process Is Initiated*  RRI should be used when the following conditions occur: —  More than one VPN server is used—  Per‐client static IP addresses are used with some clients (instead of using per‐VPN‐server IP pools)*  RRI ensures the creation of static routes. *  Redistr