注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

乾颐堂_安德(Ender)的博客

学无前后达者为先,此博客是一个有态度网络技术共享平台,共享给大家更多知识和经验

 
 
 

日志

 
 
关于我

Ender“老湿”:双CCIE(R&S CCIE、ISP CCIE),思科认证讲师#34XXX,HCIE v2.0第一人。毕业于东北大学电子商务专业。在原公司及其他企业参与的重点项目和培训有: R&S CCIE专题课 SP CCIE专题课 思科支蜀援川项目 索尼中国(无锡)NP课程 能在这里找到我:QQ群106111081 我的微博:weibo.com/enderjoe

网易考拉推荐

思科easy VPN(EZ VPN)  

2014-03-10 16:22:04|  分类: 默认分类 |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |

思科easy VPNEZ VPN

 

Easy vpn overview

*easy vpn 也叫做EZVPN,cisco为远程用于和分支机构提供的一种remote access解决方案。

*EZVPN提供了中间的VPN管理,动态的策略分发,降低了remote access VPN部署的复杂性,并且提高了扩展性和灵活性

Easy vpn特点:

*easy vpn cisco私有技术,只能在cisco设备之间运用

*easy vpn适用于中间站点固定地址,客户端动态地址的环境(如小超市,服装专卖店,或者彩票点,最好身后的网络简单)

*easy vpn 在中心站点配置安全策略,并且当客户连接的时候推送给客户,降低了分支站点的管理负担

 

Easy VPN中间管理参数:

1negotiating tunnel parameters,such as addresses ,algorithms and life time

(协商隧道的参数,例如地址,算法和生存的时间)

2Establishing tunnels according to the parameters that were set

(根据这些被设定的参数来建立隧道)

3automatically creating the NAT or port address translation(PAT) and associated access lists that are needed ,if any

(动态建立NATPAT,关联需要用到的访问控制列表,,这里面说的就是如果客户来连接,会被中间NAT或者PAT出去)

4authenticating users ,that is ,ensuring that users are who they say they are by way of usernames,group names,and passwords

(使用组,用户名和密钥来认证用户,确认他们是谁)相当预共享密钥

5managing security keys for encryption and decryption

(管理加解密的安全密钥)

6authenticating ,encrypting and decrypting data through tunnel

(验证,加密和解密通过隧道的数据)

 

 

Easy vpn的部署:

通常情况下分服务器端和客户端,而客户端又分为软件客户端,通常服务器可以包括路由器,pix,ASA VPN.硬件的客户端也有很多

*cisco easy vpn server

*cisco easy vpn client

asoftware client

bhardware client

 

Easy vpn的三种操作模式:

*client mode (also known as pat mode

(客户端获取地址,并且转换身后的网络到这个地址访问中心端,只能客户访问中心,中心无法访问服务器)

*network extension mode

(客户不获取地址,客户使用真实的网络访问中间的站点,客户和中心网络都能能够互相访问)

*network extension plus+ mode

(类似于network extension mode,只是客户会获取一个用于网管的IP地址)

 

Easy VPN IKE phase 1介绍:

1pre-shared key (AM)——唯一(3个包)

(使用思科的私有group+key认证方式,提供设备级的认证)

2digital certificate(MM) (6个包)

注意:只有在EZVPN的时候,采用了预共享密钥认证的第一阶段才会是主动模式。

AM模式介绍:

注意:这里面AM的三个包都是明文的,因此才会有后面的1.5阶段

第一个包就是复杂协商IKE的策略,包括DH密钥交换,和认证的信息

注意:由于一个包就完成了DH的密钥交换,因此客户端在推策略的时候,服务器已经没有选择,默认的就必须DH group2.

 

第二个包主要用来接收策略,认证信息和公共值

 

第三个包用来hash做最后一次认证。

 

Easy VPN IKE phase 1策略问题:

——客户端无需配置策略,因为内建了很多的策略,这些策略会在IKE phase 1的阶段全部推给服务器,由服务器进行选择

注意:EZVPNAM模式,所以DH策略需要预先统一,ciscoEZVPN如果采用预共享密钥认证,DH group 必须配置为group 2

Easy VPN IKE phase 1.5介绍:

1XAUTHextended authentication

a、用户认证(增强AM的安全性)

b、引入了AAA技术——推策略

2MODE——CFG(mode configuration

为客户推送配置信息(IP地址,DNS服务器,域名)

将策略推给用户

 

Easy VPN IKE phase 2介绍:

——easy vpn IKE phase 2 QM模式,客户端无需任何配置,在客户端内建,一般采用esp-3des esp-md5-hmac 或者esp-des esp-md5-hmac的策略都没有问题,不支持AH

  评论这张
 
阅读(612)| 评论(0)
推荐 转载

历史上的今天

在LOFTER的更多文章

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2017