Cisco Easy VPN (EZVPN) — обзор

Отличительной особенностью данной технологии является то, что большинство параметров VPN-подключения настраивается на сервере Easy VPN (в качестве которого выступает маршрутизатор Cisco ISR или Cisco ASA), поэтому на VPN-клиенте настроек, касающихся VPN-подключения, совсем немного. При подключении клиентской стороны к Easy VPN-серверу, сервер передаёт клиенту политики (настройки) IPSec и создаёт соответствующий VPN-туннель. Cisco Easy VPN может использоваться как для построения Site-to-Site, так и для Remote access туннелей, а сервер Easy VPN выступает в роли шлюза VPN.

С помощью Internet Key Exchange (IKE) Cisco Easy VPN-сервер передаёт IP-адрес и другие сетевые настройки клиенту во время согласования IKE. Эти сетевые настройки клиент будет использовать в IPSec-туннеле.

Внешний IP-адрес, с которого клиент подключается к Easy VPN-серверу может быть динамическим. Политики IPSec на Easy VPN-сервере могут быть разными для разных клиентов, и применяются после того, как клиент аутентифицируется на Easy VPN-сервере.

В Cisco Easy VPN между сервером и клиентом происходит автоматическое управление и согласование:

  • Параметрами туннеля, такими как IP-адресация, алгоритмы, «срок жизни» туннеля
  • Построение туннеля на основании параметров, которые были установлены
  • Автоматическое создание NAT или PAT конфигураций и соответствующих ACL
  • Аутентификация пользователей по username’у, имени группы и паролю
  • Управление ключами для шифрования и дешифрования
  • Аутентификация, шифрование, дешифрование данных в туннеле

В Remote access реализации Easy VPN обычно используется двухсторонняя аутентификация, при которой клиент аутентифицирует сервер (ISR) посредством пароля группы, а сервер (ISR) аутентифицирует клиента на основании пароля группы и, опционально, по username’у и паролю в дополнении к групповому паролю.
После успешной аутентификации сервер применяет набор правил авторизации и аккаунтинга к пользовательской VPN-сессии. Клиент оправляет трафик в созданный VPN-туннель через виртуальный сетевой интерфейс, созданный на клиентской стороне программой Cisco VPN client.

Для обеспечения дополнительной аутентификации VPN-клиента на Easy VPN сервере существует такая технология, как Extended Authentication (XAUTH). Суть её в том, что помимо аутентификации VPN-клиента на Easy VPN сервере посредством пароля группы, дополнительно производится аутентификация VPN-клиента по username’у и паролю. Extended Authentication (XAUTH) отрабатывает между IKE phase 1 и IKE phase 2, т.е. «логин» и пароль пользователя передаются в шифрованном виде через IKE Phase 1 туннель.

Для создания шифрованного туннеля сервер может использовать либо крипто карты (crypto maps), либо виртуальный туннельный интерфейс (Virtual Tunnel Interfaces (VTI)).

Базовая настройка Cisco Easy VPN на маршрутизаторе Cisco ISR состоит из следующих шагов:

  1. Настройка основных функций (политик и профилей) на сервере. На этом шаге настраиваются группы, которые содержат настройки для клиентов. К таким настройкам относятся профили ISAKMP, сетевые настройки (IP-адресация, DNS-сервера, WINS-сервера, имя домена) для различных групп пользователей удалённого доступа
  2. (Опционально) Настройка использования PKI между сервером и клиентами для аутентификации с использованием сертификатов, вместо pre-shared ключей (PSK)
  3. Установка Cisco VPN клиента на клиентское устройство и его настройка на подключение к серверу Easy VPN
  4. (Опционально) Настройка маршрутизатора Cisco ISR на работу в качестве Easy VPN клиента

Easy VPN между Cisco ISR и Cisco VPN Client (Remote access Easy VPN)

Добавить комментарий