1.客户端发起连接,如果客户端使用preshared key来确定自己的身份,则客户端发起的是aggressive mode的IKE第一阶段协商。如果使用的是数字整数的话,则发起的是main mode模式协商。
如果客户端客户端通过preshared key确定自己身份,则与这个KEY相关联的组名可以用来确定发送哪个组属性给客户端,如果使用的是证书,那么著名NAME种的组织单元字段被用来确定组属性配置。
2。确定身份后,客户端试图在客户端公开IP和VPN-server公开IP之间建立IKE-SA,客户端会提交各种组合,使用第一个匹配上的组合。
3。设备验证完毕后,开始用户验证过程。
4。如果配置了扩展验证Xauthen,则开始Xauthen过程,客户端会等待用户输入用户名和密码,然后和VPN-SERVER之间进行挑战,扩展验证会配合使用AAA,在扩展验证成功后,可以实现基于每用户的策略属性配置,即根据不同用户push不同配置属性。
5。客户端获得地址后,VPNSERVER使用反向路由注入(reverse route injection)来为每个客户产生一条静态路由。确保路由畅通。(分为动态加密映射和静态加密映射,动态加密映射下自动为对被保护的等体主机或子网产生静态路由,静态加密映射下为ACL所指定的规则网络产生一个静态路由)
6。在所有参数都PUSH给客户端后,IKE快速协商模式开始,并建立IPSEC SA。
7。IPSEC SA完成后,整个过程完成。
VPN支持的功能特性:
•
Mode Configuration Version 6 Support
• IKE DPD
• Session Monitoring for VPN Group Access
• Easy VPN Virtual Interface Support on a Server
• Virtual Tunnel Interface Per-User Attribute Support
• Banner, Auto-Update, and Browser Proxy
• Configuration Management Enhancements
• Per User AAA Policy Download with PKI
• Network Admission Control Support for Easy VPN
• Central Policy Push Firewall Policy Push
• cTCP
Related Documents
|
Related Topic
|
Document Title
|
|---|---|
|
Configuring a router as a VPN client |
Easy VPN Remote Enhancements, Cisco IOS Release 12.4(4)T feature module |
|
General information on IPsec and VPN |
Refer to the following information in the product literature and in IP technical tips sections on Cisco.com: • • • • • • |
|
IPsec Protocol options and attributes |
" Configuring Internet Key Exchange Security Protocol" chapter in the Cisco IOS Security Configuration Guide |
|
IPsec virtual tunnels |
IPSec Virtual Tunnel Interface, Cisco IOS Release 12.3(14)T feature module |
|
Network Admission Control |
Network Admission Control, Cisco IOS Release 12.3(8)T |
|
RRI |
IPSec VPN High Availability Enhancements, Cisco IOS |
|
Split DNS |
文章评论