站内搜索：

网络入门

网络基础

OSI模型

网管

网络文档

网络维护

Windows网管

路由器与交换机

网络硬件

路由器与交换机管理

IP寻址

网线

网络安全

网络准入控制(NAC)

网络安全最佳方案

无线网络安全

网络安全产品

网络安全监控

网络设计

网络架构与拓扑

网络ROI

网络灾难恢复

网络协议与标准

TCP/IP

网络路由协议

IPv6

以太网

网络管理

网络性能

网络监控

网络管理软件

网络配置管理

应用管理

VPN

VPN设计

VPN产品与服务

远程接入VPN

VPN疑难诊断

WAN

WAN技术

WAN优化与加速

无线网络

无线LAN设备

无线网络实施

无线网络管理

无线标准

无线网络安全

无线WAN

TechTarget中国网站推荐

与编辑联系

info#techtarget.com.cn

techtargetchina#hotmail.com

您现在的位置：TT网络 > VPN疑难诊断 > 如何应用XAUTH技术部署企业VPN的远程访问（上）

如何应用XAUTH技术部署企业VPN的远程访问（上）

2009-1-13 大 | 中 | 小

导读：XAUTH为需要区分每个用户进行身份验证的应用提供了一种身份认证机制，该机制允许VPN网关使用Radius服务器或者本地数据库记录中的用户信息对用户进行身份认证。

关键词：XAUTH VPN Radius服务器

正在加载数据...

一．为什么需要在IPSec VPN网络中部署XAUTH应用

目前由于宽带接入的快速发展，广泛的中小商用企业部署IPSec VPN网络，构建远程客户端对公司中心资源访问的应用已极为普通。在部署此类远程访问的IPSec VPN应用时，通常是要设置多个客户端连接到VPN中心网络，网管人员的通常做法是为每一个用户设置不同VPN策略和预置密码用以区分每一个用户，此工作量是巨大的，管理也不方便。因此现在市场上主流的IPSec VPN网关设备提供另外一种解决方案，就是在VPN网关中只要配置一条VPN的策略，就可允许多个如高达1000个远程客户端的同时接入，然后只要对远程客户分发一个相同的策略配置就可以了。这样一来，由于所有远程客户端的VPN配置策略是相同的，对每个远程客户不再进行单独地区别，因此在提高了方便性的同时却又降低了整个网络的安全性。

这样就促使用户需要这样一种技术，就是在VPN网关设备中只需要配置一条策略，但要求每个远程客户在接入时需要提供不同的用户名和口令的身份认证，VPN网关设备可以集中管理远程用户的合法信息。这样就大大减少了网络管理人员的工作负担和保证远程客户接入的安全性，提高了企业的整体工作效率。这个技术就是融合在IPSec VPN里面的XAUTH扩展认证协议，XAUTH为这些需要区分每个用户进行身份验证的应用提供了一种身份认证机制，该机制允许VPN网关使用Radius服务器或者本地数据库记录中的用户信息对用户进行身份认证。

RADIUS (Remote Authentication Dial-In User Service， RFC 2865) 是一个管理网络里多个用户的验证，授权，计费（AAA）的协议。RADIUS服务器在数据库里存储有效的用户信息，并能给要求访问网络资源的合法用户授权。

下图是个典型的远程客户到中心VPN网关的应用XAUTH的说明：

图1：XAUTH和RADIUS使用范例

图1中当远程客户端开始一个VPN连接的请求的时候，VPN网关通过XAUTH（扩展验证）强行中断VPN协商的过程，并要求客户端必须输入合法的用户名的密码进行验证，网关在接收到来自客户端提供的用户名和密码之后首先在本地数据库校验信息是否合法，如果在本地数据库找不到相对应的用户名，则将信息转发到RADIUS服务器进行校验，如果判断为合法，则继续VPN的协商过程并且在连结成功后为远程客户端分配IP地址，如果用户不合法，则中断VPN连接。

由于XAUTH结合RADIUS给依赖于大量使用VPN技术的商业用户带来了前所未有的安全性和方便的管理特性，因而国际很多知名的VPN设备开发商，比如象Cisco，Checkpoint， Netgear公司等，在他们的产品中都开始支持XAUTH。

二．企业实际应用配置举例

我司因实际应用需要，采购了美国网件NETGEAR公司的Prosafe VPN Firewall FVX538和FVS338以购建公司内部的VPN网络，全网以广州的FVX538为中心，申请固定的IP地址和10M的专线，分支机构分布在上海和北京，采用中国网通的ADSL接入，无需固定的IP地址。在总部和分支获得稳定的VPN连接的基础上，还需要增加大概100个用户左右的客户端VPN通道，以方便移动客户访问公司内部的数据库。由于管理的用户众多，而且用户的流通性非常大，常常需要更新用户资料，而采用传统的VPN客户管理方式，老用户的资料既不能轻易修改，同时每当有新用户加入时都要单独在VPN设备里配置新的VPN策略，从而给系统的维护带来了极大的困难。经过再三的论证以后，最后决定采用支持XAUTH技术的高性价比的FVX538来解决该问题。系统建成后，全网稳定运行半年多，由于其稳定的性能和出色的维护办法因而深受公司使用者的好评。现以我司的VPN接入方案为例子，介绍在美国网件公司（Netgear）的Prosafe VPN Firewall FVX538 上如何实现采用XAUTH验证技术的远程客户端的接入和管理。

2.1 产品软件版本

为了获得稳定的XAUTH支持，建议先把FVS538的软件版本升级到1.6.38以上。我司的FVX538目前稳定运行在该版本上，本文章的相关参数设置都以该软件版本为基础。而客户端软件则选用FVX538光盘上配套的Prosafe VPN客户端软件(客户端软件版本10.5.1 (Build 8))。

2.2 选择合适的Radius服务

NETGEAR ProSafe VPN Firewall FVX538支持多数标准的免费/商业发布的RADIUS服务程序，比如：