虚拟专用网

博文大纲： 一、在路由器上实现Easy 虚拟专用网需要配置什么？ 二、配置实例 前言：由于“Virtual Private Network”（请看首字母，就知道是什么咯）是敏\感词汇，所以在博文中使用它的中文名字“虚拟专用网”来代替。 在之前写过了 Cisco路由器之IPSec 虚拟专用网 ； 在Cisco的ASA防火墙上实现IPSec虚拟专用网 。这两篇博文都是用于实现总公司和分公司之间建立虚拟专用网的，那么还有一种使用很多的情况，就是出差人员想要访问公司内网的资源呢？由于出差人员只是单一的一个客户端，所以和前两篇博文不一样，前两篇博文搭建虚拟专用网，两端设备都是路由器或防火墙，有固定的IP地址，所以呢，并不能实现出差人员访问，这篇博文的目的，就是实现出差人员可以访问公司内网资源的，这个技术被称之为—— Easy 虚拟专用网 。 一、在路由器上实现Easy 虚拟专用网需要配置什么？ 这篇博文将写下如何在路由器上实现Easy 虚拟专用网。 1、XAUTH身份验证 在原有的IPSec协议上，并没有用户验证的功能，所以引入了一个RFC的草案——XAUTH。它是一个虚拟专用网网关的增强特性，提供用户名和密码的方式来验证用户身份。由于这个过程是在两个连接建立之间完成的，所以被戏称为“阶段1.5”（关于两个阶段的介绍，可以参考 Cisco路由器之IPSec 虚拟专用网 ，有详细的介绍）。

博文大纲： 一、在路由器上实现Easy 虚拟专用网需要配置什么？ 二、配置实例 前言：由于“Virtual Private Network”（请看首字母，就知道是什么咯）是敏\感词汇，所以在博文中使用它的中文名字“虚拟专用网”来代替。 在之前写过了 Cisco路由器之IPSec 虚拟专用网 ； 在Cisco的ASA防火墙上实现IPSec虚拟专用网 。这两篇博文都是用于实现总公司和分公司之间建立虚拟专用网的，那么还有一种使用很多的情况，就是出差人员想要访问公司内网的资源呢？由于出差人员只是单一的一个客户端，所以和前两篇博文不一样，前两篇博文搭建虚拟专用网，两端设备都是路由器或防火墙，有固定的IP地址，所以呢，并不能实现出差人员访问，这篇博文的目的，就是实现出差人员可以访问公司内网资源的，这个技术被称之为—— Easy 虚拟专用网 。 一、在路由器上实现Easy 虚拟专用网需要配置什么？ 这篇博文将写下如何在路由器上实现Easy 虚拟专用网。如果网关设备是Cisco ASA防火墙，配置可参考： Cisco ASA防火墙之Easy虚拟专用网 1、XAUTH身份验证 在原有的IPSec协议上，并没有用户验证的功能，所以引入了一个RFC的草案——XAUTH。它是一个虚拟专用网网关的增强特性，提供用户名和密码的方式来验证用户身份。由于这个过程是在两个连接建立之间完成的，所以被戏称为“阶段1.5

博文大纲： 一、虚拟专用网相关概念 二、IPSec 虚拟专用网的基本概念 三、ISAKMP/IKE阶段1及阶段2的建立过程 四、IPSec 虚拟专用网的配置实现 五、总结 前言：由于“Virtual Private Network”（请看首字母，就知道是什么咯）是敏\感词汇，所以在博文中使用它的中文名字“虚拟专用网”来代替。 一、虚拟专用网相关概念。 1、虚拟专用网的定义 虚拟专用网就是在两个网络实体之间建立的一种受保护的连接，这两个实体可以通过点到点的链路直接相连，但通常情况下他们会相隔较远的距离。 对于定义中提到的“受保护”一词，可以从以下几个方面理解： 通过使用加密技术防止数据被窃听。 通过数据完整性验证防止数据被破坏、篡改。 通过认证机制实现通信方身份确认，来防止通信数据被截获和回放。 此外，虚拟专用网技术还定义了以下功能： 何种流量需要被保护。 数据被保护的机制。 数据的封装过程。 实际生产环境中的虚拟专用网解决方案不一定包含上面所有功能，还要由具体的环境需求和实现方式决定，而且很多企业可能采用不止一种的虚拟专用网解决方案。 2、虚拟专用网的连接模式 虚拟专用网的连接模式有两种：传输模式和隧道模式。 （1）传输模式： 在整个虚拟专用网的传输过程中，IP包头并没有被封装进去，这就意味着从源端的数据始终使用原有的IP地址进行通信。而传输的实际数据载荷被封装在虚拟专用网报文中