目前由于寬帶接入的快速發(fā)展，廣泛的中小商用企業(yè)部署IPSec VPN網(wǎng)絡(luò),構(gòu)建遠(yuǎn)程客戶端對公司中心資源訪問的應(yīng)用已極為普通。在部署此類遠(yuǎn)程訪問的IPSec VPN應(yīng)用時，通常是要設(shè)置多個客戶端連接到VPN中心網(wǎng)絡(luò)，網(wǎng)管人員的通常做法是為每一個用戶設(shè)置不同VPN策略和預(yù)置密碼用以區(qū)分每一個用戶，此工作量是巨大的，管理也不方便。因此現(xiàn)在市場上主流的IPSec VPN網(wǎng)關(guān)設(shè)備提供另外一種解決方案，就是在VPN網(wǎng)關(guān)中只要配置一條VPN的策略，就可允許多個如高達(dá)1000個遠(yuǎn)程客戶端的同時接入，然后只要對遠(yuǎn)程客戶分發(fā)一個相同的策略配置就可以了。這樣一來，由于所有遠(yuǎn)程客戶端的VPN配置策略是相同的，對每個遠(yuǎn)程客戶不再進(jìn)行單獨(dú)地區(qū)別,因此在提高了方便性的同時卻又降低了整個網(wǎng)絡(luò)的安全性。

成都創(chuàng)新互聯(lián)主營株洲網(wǎng)站建設(shè)的網(wǎng)絡(luò)公司,主營網(wǎng)站建設(shè)方案,成都App定制開發(fā),株洲h5重慶小程序開發(fā)搭建,株洲網(wǎng)站營銷推廣歡迎株洲等地區(qū)企業(yè)咨詢

這樣就促使用戶需要這樣一種技術(shù)，就是在VPN網(wǎng)關(guān)設(shè)備中只需要配置一條策略，但要求每個遠(yuǎn)程客戶在接入時需要提供不同的用戶名和口令的身份認(rèn)證，VPN網(wǎng)關(guān)設(shè)備可以集中管理遠(yuǎn)程用戶的合法信息。這樣就大大減少了網(wǎng)絡(luò)管理人員的工作負(fù)擔(dān)和保證遠(yuǎn)程客戶接入的安全性，提高了企業(yè)的整體工作效率。這個技術(shù)就是融合在IPSec VPN里面的XAUTH擴(kuò)展認(rèn)證協(xié)議,XAUTH為這些需要區(qū)分每個用戶進(jìn)行身份驗證的應(yīng)用提供了一種身份認(rèn)證機(jī)制，該機(jī)制允許VPN網(wǎng)關(guān)使用Radius服務(wù)器或者本地數(shù)據(jù)庫記錄中的用戶信息對用戶進(jìn)行身份認(rèn)證。

一.為什么需要在 IPSec VPN網(wǎng)絡(luò)中部署 XAUTH 應(yīng)用

RADIUS (Remote Authentication Dial-In User Service, RFC 2865) 是一個管理網(wǎng)絡(luò)里多個用戶的驗證，授權(quán)，計費(fèi)(AAA)的協(xié)議。RADIUS服務(wù)器在數(shù)據(jù)庫里存儲有效的用戶信息，并能給要求訪問網(wǎng)絡(luò)資源的合法用戶授權(quán)。

下圖是個典型的遠(yuǎn)程客戶到中心VPN網(wǎng)關(guān)的應(yīng)用XAUTH的說明：

圖1：XAUTH和RADIUS使用范例

圖1中當(dāng)遠(yuǎn)程客戶端開始一個VPN連接的請求的時候，VPN網(wǎng)關(guān)通過XAUTH(擴(kuò)展驗證)強(qiáng)行中斷VPN協(xié)商的過程，并要求客戶端必須輸入合法的用戶名的密碼進(jìn)行驗證，網(wǎng)關(guān)在接收到來自客戶端提供的用戶名和密碼之后首先在本地數(shù)據(jù)庫校驗信息是否合法，如果在本地數(shù)據(jù)庫找不到相對應(yīng)的用戶名，則將信息轉(zhuǎn)發(fā)到RADIUS服務(wù)器進(jìn)行校驗，如果判斷為合法，則繼續(xù)VPN的協(xié)商過程并且在連結(jié)成功后為遠(yuǎn)程客戶端分配IP地址，如果用戶不合法，則中斷VPN連接。

由于XAUTH結(jié)合RADIUS給依賴于大量使用VPN技術(shù)的商業(yè)用戶帶來了前所未有的安全性和方便的管理特性，因而國際很多知名的VPN設(shè)備開發(fā)商，比如象Cisco，Checkpoint, Netgear公司等，在他們的產(chǎn)品中都開始支持XAUTH。

二.企業(yè)實際應(yīng)用配置舉例

我司因?qū)嶋H應(yīng)用需要，采購了美國網(wǎng)件NETGEAR公司的Prosafe VPN Firewall FVX538和FVS338以購建公司內(nèi)部的VPN網(wǎng)絡(luò)，全網(wǎng)以廣州的FVX538為中心，申請固定的IP地址和10M的專線，分支機(jī)構(gòu)分布在上海和北京，采用中國網(wǎng)通的ADSL接入，無需固定的IP地址。在總部和分支獲得穩(wěn)定的VPN連接的基礎(chǔ)上，還需要增加大概100個用戶左右的客戶端VPN通道，以方便移動客戶訪問公司內(nèi)部的數(shù)據(jù)庫。由于管理的用戶眾多，而且用戶的流通性非常大，常常需要更新用戶資料，而采用傳統(tǒng)的VPN客戶管理方式，老用戶的資料既不能輕易修改，同時每當(dāng)有新用戶加入時都要單獨(dú)在VPN設(shè)備里配置新的VPN策略，從而給系統(tǒng)的維護(hù)帶來了極大的困難。經(jīng)過再三的論證以后，最后決定采用支持XAUTH技術(shù)的高性價比的FVX538來解決該問題。系統(tǒng)建成后，全網(wǎng)穩(wěn)定運(yùn)行半年多，由于其穩(wěn)定的性能和出色的維護(hù)辦法因而深受公司使用者的好評?，F(xiàn)以我司的VPN接入方案為例子，介紹在美國網(wǎng)件公司(Netgear)的Prosafe VPN Firewall FVX538 上如何實現(xiàn)采用XAUTH驗證技術(shù)的遠(yuǎn)程客戶端的接入和管理。

2.1 產(chǎn)品軟件版本

為了獲得穩(wěn)定的XAUTH支持，建議先把FVS538的軟件版本升級到1.6.38以上。我司的FVX538目前穩(wěn)定運(yùn)行在該版本上，本文章的相關(guān)參數(shù)設(shè)置都以該軟件版本為基礎(chǔ)。而客戶端軟件則選用FVX538光盤上配套的Prosafe VPN客戶端軟件(客戶端軟件版本10.5.1 (Build 8))。

2.2 選擇合適的Radius服務(wù)

NETGEAR ProSafe VPN Firewall FVX538支持多數(shù)標(biāo)準(zhǔn)的免費(fèi)/商業(yè)發(fā)布的RADIUS服務(wù)程序，比如：

FreeRADIUS, 一個開放的LINUX原代碼程序

Microsoft Windows IAS

Funk Software Steel-Belted RADIUS

所有的RADIUS Server的配置信息均可以參考廠家提供的標(biāo)準(zhǔn)配置文檔，本文不再詳細(xì)介紹每一種RADIUS的配置辦法，。

2.3 VPN防火墻FVX538的XAUTH配置

(1)設(shè)置VPN防火墻的XAUTH模式

在配置VPN的IKE策略的時候，選擇要求使用XAUTH驗證，則可以啟用VPN的XAUTH功能。我們在配置該IKE策略的XAUTH的時候，系統(tǒng)會提供兩種模式給用戶選擇。如下:

IPsec Host — 作為客戶端，在連接到中心時需要提供用戶名和密碼

Edge Device — 作為服務(wù)器端(中心)，要求客戶端必須進(jìn)行口令驗證。

當(dāng)VPN防火墻定義為IPsec Host的時候，在建立VPN連接的時候，設(shè)備會給服務(wù)器端提供用戶名和密碼信息。

當(dāng)VPN防火墻定義為Edge device模式的時候，VPN網(wǎng)關(guān)則要求客戶端必須輸入合法的用戶名的密碼進(jìn)行驗證，網(wǎng)關(guān)在接收到來自客戶端提供的用戶名和密碼之后首先在本地數(shù)據(jù)庫校驗信息是否合法，如果在本地數(shù)據(jù)庫找不到相對應(yīng)的用戶名，則將信息轉(zhuǎn)發(fā)到RADIUS服務(wù)器進(jìn)行校驗，如果判斷為合法，則繼續(xù)VPN的協(xié)商過程，如果用戶不合法，則中斷VPN連接。

具體設(shè)置如下：

1.進(jìn)入IKE Policies選項并點(diǎn)擊 Edit按鈕進(jìn)入IKE Policies編輯頁面

2.在 X AUTHENTICATION 項目下面, 選擇Edge Device.

3.在Authentication Type下選擇Generic使用PAP協(xié)議, 否則選擇CHAP以使用CHAP協(xié)議. 如果你打算使用RADIUS,則您必須在RADIUS上設(shè)置相對應(yīng)的驗證協(xié)議。通常PAP 協(xié)議簡單實用，而CHAP則更為安全。

4.點(diǎn)擊應(yīng)用使配置生效。

1.下一步，設(shè)置您的VPN防火墻是通過本地數(shù)據(jù)庫驗證還是通過擴(kuò)展的RADIUS 服務(wù)器驗證。防火墻首在User Database里面定義的本地數(shù)據(jù)庫的用戶名和密碼信息進(jìn)行驗證，如果找不到匹配的條件，則轉(zhuǎn)交到在RADIUS Clien項目里定義的RADIUS服務(wù)器來驗證。

(2)配置VPN防火強(qiáng)使用本地數(shù)據(jù)庫進(jìn)行驗證

即使你沒有配置RADIUS服務(wù)器，你仍然可以使用VPN防火墻自帶的用戶數(shù)據(jù)庫實現(xiàn)用戶驗證功能。在使用該功能之前，你必須在User Database項目下面配置用戶信息，如下：

1.在User Database項目下面點(diǎn)擊 add按鈕。

2.在User Name和Password里分別填寫相應(yīng)的信息。

3.點(diǎn)擊Apply按鈕即可起用本地數(shù)據(jù)庫。

(3)配置防火墻使用RADIUS服務(wù)器進(jìn)行驗證

在Radius Client項目里面，可以定義一個主的RADIUS服務(wù)器和備份的RADIUS服務(wù)器。防火墻首先和主的RADIUS服務(wù)器聯(lián)系，如果主的RADIUS服務(wù)器沒有響應(yīng)，則轉(zhuǎn)到備份的RADIUS服務(wù)器上。

在Primary和Backup Server里面的設(shè)置介紹如下:

Server Address — RADIUS的IP地址.

Auth port — RADIUS服務(wù)器的驗證端口號，RADIUS客戶端會使用該端口和RADIUS服務(wù)器通訊，在大部情況下，默認(rèn)的端口號都不應(yīng)該修改。

Acct port — RADIUS的計費(fèi)端口號。在大多數(shù)情況下默認(rèn)的端口號不需要修改。

Secret Phrase— RADIUS客戶端和服務(wù)器之間的通訊密鑰。該密鑰必須在服器端和客戶端單獨(dú)配置，并要求相互一致。

NAS Identifier —防火墻充當(dāng)NAS(網(wǎng)絡(luò)訪問服務(wù))角色，允許合法的外部用戶訪問網(wǎng)絡(luò)。在一個RADIUS會話里面，NAS必須遞交NAS身份標(biāo)識到RADIUS服務(wù)器，在該例子里NAS的身份標(biāo)識可以是防火墻的IP地址或有效的用戶名，在某些應(yīng)用場合里，RADIUS服務(wù)器有可能要求NAS提供有效的用戶名，而我們則可以在該處填寫合法的用戶名提交到RADIUS服務(wù)器進(jìn)行驗證。然而在大多數(shù)場合下面，RADIUS服務(wù)器并不要求NAS提供用戶名。

點(diǎn)擊 Apply保存配置

注意：在試驗中我們采用WINDOWS 的IAS作為RADIUS服務(wù)器，NAS身份標(biāo)識不需要在IAS里面配置，同時在IKE策略里的Authentication Type 應(yīng)該選擇Generic (PAP)的方式。

2.4 IPSec VPN 客戶端軟件XAUTH的配置

在此之前，你必須在不需要XAUTH的情況下，配置好VPN客戶端。測試到VPN防火墻的連接通過后，在配置里面添加相應(yīng)的XAUTH選項即可:

1.點(diǎn)擊Authentication選擇Proposal 1. 選擇和在VPN防火墻的IKE策略里匹配的各項參數(shù)。

2.在Authentication Method, 選擇Pre-Shared Key; Extended Authentication.

3.點(diǎn)擊 floppy disk圖標(biāo)以保存配置

2.5測試連接

1.在WINDOWS工具欄里右鍵點(diǎn)擊VPN client圖標(biāo)選擇My Connections \.

1.幾秒鐘后將出現(xiàn)登陸頁面。

2.輸入正確的用戶名和密碼信息后，客戶端軟件會顯示 "Successfully connected to My Connections\"的信息

3.從安裝客戶端軟件的PC上PING對方局域網(wǎng)內(nèi)的主機(jī)，可以PING通

4.遇到故障的時候，可以參考VPN客戶端軟件里的VPN日志以排除故障。

本文標(biāo)題：應(yīng)用XAUTH技術(shù)部署企業(yè)VPN遠(yuǎn)程訪問
URL網(wǎng)址：http://uogjgqi.cn/article/djdoeis.html