目录
背景
传统IPSEC部署存在的难题:
部署难度大:
- IPSEC客户端的配置参数较多,要完成庞大的客户端部署,技术难度高。
管理难度大:
- 通常是要设置多个客户端连接到VPN中心网络,网管人员的通常做法是为每一个用户设置不同VPN策略和预置密码用以区分每一个用户,此工作量是巨大的,管理也不方便
无法进行用户识别:
- 通过域共享密钥或证书认证,也无法识别客户端的使用者,无法基于帐号管理。
IPSEC XAUTH扩展认证:
帐号信息统一管理:
- XAUTH为这些需要区分每个用户进行身份验证的应用提供了一种身份认证机制,该机制允许VPN网关使用Radius服务器或者本地数据库记录中的用户信息对用户进行身份认证
简化ipsec策略部署:
- 客户端方便安装
- 在ipsec服务端只需配置一种策略,通过帐号管理来区分不同用户,同时也确保了一定的安全性。
配合硬件key使用:
- 未安装硬件key的无法接入,保证了合法的准入(IOS客户端除外)同时支持国密办加密算法(且只支持SM1算法)
- 分为2种:Windows系统 :USB key ;Android系统:TF key,其中苹果IOS系统使用苹果自带的IPSEC客户端,无需。
工作原理
1. 安装客户端并插入USBkey
2. 客户端携带关键信息认证
3. VPN网关基于帐号进行AAA或本地认证
4. 认证通过后,局域客户端配置的“群组名称”,匹配对应的策略,下发客户端IP地址及可以被访问的服务端网段等。
5. 认证成功PC机虚拟出一张网卡
6. PC机虚拟网卡装载路由表,被加密的数据网段