| |
一.为什么需要在 IPSec VPN网络中部署 XAUTH 应用
目前由于宽带接入的快速发展,广泛的中小商用企业部署IPSec VPN网络,构建远程客户端对公司中心资源访问的应用已极为普通。在部署此类远程访问的IPSec VPN应用时,通常是要设置多个客户端连接到VPN中心网络,网管人员的通常做法是为每一个用户设置不同VPN策略和预置密码用以区分每一个用户,此工作量是巨大的,管理也不方便。因此现在市场上主流的IPSec VPN网关设备提供另外一种解决方案,就是在VPN网关中只要配置一条VPN的策略,就可允许多个如高达1000个远程客户端的同时接入,然后只要对远程客户分发一个相同的策略配置就可以了。这样一来,由于所有远程客户端的VPN配置策略是相同的,对每个远程客户不再进行单独地区别,因此在提高了方便性的同时却又降低了整个网络的安全性。
这样就促使用户需要这样一种技术,就是在VPN网关设备中只需要配置一条策略,但要求每个远程客户在接入时需要提供不同的用户名和口令的身份认证,VPN网关设备可以集中管理远程用户的合法信息。这样就大大减少了网络管理人员的工作负担和保证远程客户接入的安全性,提高了企业的整体工作效率。这个技术就是融合在IPSec VPN里面的XAUTH扩展认证协议,XAUTH为这些需要区分每个用户进行身份验证的应用提供了一种身份认证机制,该机制允许VPN网关使用Radius服务器或者本地数据库记录中的用户信息对用户进行身份认证。
RADIUS (Remote Authentication Dial-In User Service, RFC 2865) 是一个管理网络里多个用户的验证,授权,计费(AAA)的协议。RADIUS服务器在数据库里存储有效的用户信息,并能给要求访问网络资源的合法用户授权。
下图是个典型的远程客户到中心VPN网关的应用XAUTH的说明:
图1:XAUTH和RADIUS使用范例
图1中当远程客户端开始一个VPN连接的请求的时候,VPN网关通过XAUTH(扩展验证)强行中断VPN协商的过程,并要求客户端必须输入合法的用户名的密码进行验证,网关在接收到来自客户端提供的用户名和密码之后首先在本地数据库校验信息是否合法,如果在本地数据库找不到相对应的用户名,则将信息转发到RADIUS服务器进行校验,如果判断为合法,则继续VPN的协商过程并且在连结成功后为远程客户端分配IP地址,如果用户不合法,则中断VPN连接。
由于XAUTH结合RADIUS给依赖于大量使用VPN技术的商业用户带来了前所未有的安全性和方便的管理特性,因而国际很多知名的VPN设备开发商,比如象Cisco,Checkpoint, Netgear公司等,在他们的产品中都开始支持XAUTH。
|
| 【收藏】【打印】【进入论坛】 |
|
|
|
|
| |
|
|
|
