通过博文CIsco路由器实现IPSec 虚拟专用 原理及配置详解可以实现两个局域 之间建立虚拟专用 ，但是在现实环境中，较为常用的还是Easy 虚拟专用 。它主要解决的就是出差员工通过虚拟专用 访问内 的问题。在路由器上实现Easy 虚拟专用 时，会涉及以下的基本概念：XAUTH、组策略、动态Crypto Map等概念！

博文大纲：
一、Easy 虚拟专用 需要解决的问题；
二、在路由器上实现Easy 虚拟专用 需要配置什么br> 1.使用XAUTH做用户验证；
2.组策略；
3.动态 Crypto Map；
三、在Cisco路由器上配置Easy 虚拟专用 案例；

一、Easy 虚拟专用 需要解决的问题

通过CIsco路由器实现IPSec 虚拟专用 原理及配置详解了解到实现IPSec 虚拟专用 时，需要经历两个重要的阶段。

1.阶段1——建立管理连接

• 协商采用何种方式建立管理连接；
• 通过DH算法共享密钥信息；
• 对等体彼此进行身份验证；

2.阶段2-建立数据连接

• 定义对等体间保护何种流量；
• 定义用来保护数据的安全协议；
• 定义传输模式；

按照上述过程建立IPSec 虚拟专用 没有问题，但是如果使用上面的方法建立Easy 虚拟专用 就会出现很多问题。比如：

• 远程访问虚拟专用 一般来说，这时一端为硬件设备，如路由器、防火墙等；另一端则为客户端设备，如笔记本电脑等。这时客户端一侧的安全性就会存在一定的问题。大家试想一下，公司 关级的设备与PC的安全管理级别肯定是不同的，更何况很多员工是通过互联 访问公司的资源，会带来很大的安全隐患。而建立IPSec 虚拟专用 加密的传输的根本就是事先配置在设备上的预共享密钥，一旦密钥泄露，整个IPSec 虚拟专用 就没有任何意义；
• 建立IPSec 虚拟专用 时，双方都有固定的IP地址，这样我们才能配置ACL、对等体。很显然如果按照配置IPSec 虚拟专用 的思路来建立Easy 虚拟专用 是不可能的！

二、在路由器上实现Easy 虚拟专用 需要配置什么/h1>

1.使用XAUTH做用户验证

（1）XAUTH

XAUTH是一个虚拟专用 关的增强特性，提供用户名和密码的方式来验证用户身份。由于这个过程是在两个连接建立之间完成的，所以也被称为“阶段1.5”。

提及用户验证自然就会涉及用户名和密码的存储方式，通常有两种情况：

• 存储在虚拟专用 关设备的内部数据库中；
• 存储在第三方设备上，比如一台AAA服务器；

虽然增加了用户名和密码的验证过程，但如果远程访问虚拟专用 用户的笔记本电脑丢失，一些非法用户也可以通过这台笔记本电脑来获取公司内部的资料。解决这种问题的办法有：

• 用户使用令牌卡，是每次输入用户名/口令都是不同的；
• 虚拟专用 的管理员强制客户端不得在本地存储用户名/口令，用户每次登陆必须手动输入；

实际环境中一般都是采用第二种验证方式！

（2）AAA的定义

AAA是Authentication（验证）、Authorization（授权）和Accounting（统计）的缩写，它提供了在 络设备上配置访问控制的基本框架。

实现AAA服务器只要使用RADIUS协议和TACACS+协议：

• RADIUS协议：是一个全开放的标准协议，任何厂商和用户可以灵活的修改RADIUS；
• TACACS+协议：是Cisco设计的私有协议；

2.组策略

配置Easy 虚拟专用 一个关键的问题就是，由于与虚拟专用 连接的客户端由很多，所以Peer的IP地址就不会固定，Crypto ACL也不会唯一。最好的解决方法就是让虚拟专用 “主动推送”这些策略给客户端。但是很多情况下客户端的这些策略都是相同的，因此在Easy 虚拟专用 中引入组的概念，将具有相同策略的客户端划分到一个组中，在虚拟专用 关上一次性地为一组客户端配置策略，这样在配置过程和管理过程中都将大大节省工作量。

组策略包含以下内容：

（1）地址池

远程访问虚拟专用 的客户端之所以很难与虚拟专用 的 关建立连接，就是因为客户端没有固定的IP地址，在这种“动态”的情况下，最好的办法就是让使虚拟专用 设备像DHCP服务器一样为每个通过验证的客户端“推送”IP地址。这样，由于客户端的IP地址是虚拟专用 关动态分配的，虚拟专用 设备自然也就知道该与哪个IP建立虚拟专用 连接。

示意图如下：

（3）共享密钥

在远程访问虚拟专用 中，虚拟专用 关需要与多组客户端“共享密钥”，因此在配置虚拟专用 时需要为每组客户端设置不同的共享密钥，客户端的密钥并不是虚拟专用 关推送的，而是需要用户通过客户端软件配置在主机上，而这个过程一般是由公司的 络管理员来实现的，那么这个密钥自然是保存在客户端主机本地了，因此才有了**“阶段1.5”**的存在。

示意图如下：

（5）分离DNS

当客户端主机通过远程访问虚拟专用 连接到公司内 ，即使隧道分离后，客户端访问Internet的web服务器时，也需要使用公司内 的DNS解析，但这不是一个合理的过程，如果客户端每次访问百度，都要经过公司内 进行DNS解析，其实是没必要的，太浪费资源了，所以要实现客户端访问公司内 的web服务器时，使用公司内 的DNS解析，若访问百度，则使用外 的DNS，如果要实现不同的域名使用不同的DNS，就需要用到了分离DNS。

示意图如下：

3.动态 Crypto Map

因为我们无法实现在虚拟专用 设备的静态crypto map中指定客户端的地址（客户端的地址由虚拟专用 的DHCP服务分发，不是固定的），所以需要将静态crypto map中需要的参数被动态填充，使用动态crypto map 必须采用ISAKMP/IKE发起协商，而且在实现远程访问虚拟专用 的时候通常在虚拟专用 关上同时配置静态和动态的crypto map，因为只有一台具有静态配置的设备可以发起IPSec的隧道，也正是如此，动态的crypto map很少被用于L2L（局域 to局域 ）会话建立。

在实现远程访问虚拟局域 的时候，一般会先配置transform-set，因为指定传输集与peer的IP地址无关，可以将传输集直接应用到动态crypto map；由于在接口上只能配置一个crypto map，且虚拟专用 关上必须有静态crypto map，所以需将动态crypto map 应用到静态的crypto map中，再将静态crypto map应用到接口上，这就是配置crypto map的一般思路。

示意图如下：

（2）案例需求

（1）客户端通过Easy 虚拟专用 使用域名（www.yinuo.com） 正常访问内部 站；
（2）客户端使用域名（www.xiaojiang.com） 正常访问公 站；
（3）按照拓补图中的IP地址进行配置，R1路由器需要配置一条默认路由到R2、R2只配置IP地址、并自行搭建相关的服务用于测试；
（4）客户端下载虚拟专用 软件 （仅用于Windows 7）；

（3）案例实施

1.内部 关路由器R1的配置：

2.客户端安装虚拟专用 的客户端软件