如何应用XAUTH技术部署企业VPN的远程访问(下)

2009-1-13    来源:赛迪网    我要评论
投稿 打印 MSN推荐 博客引用
   | |

导读:XAUTH为需要区分每个用户进行身份验证的应用提供了一种身份认证机制,该机制允许VPN网关使用Radius服务器或者本地数据库记录中的用户信息对用户进行身份认证。

关键词:XAUTH VPN Radius服务器

 
正在加载数据...

2.3 VPN防火墙FVX538的XAUTH配置

(1)设置VPN防火墙的XAUTH模式

在配置VPN的IKE策略的时候,选择要求使用XAUTH验证,则可以启用VPN的XAUTH功能。我们在配置该IKE策略的XAUTH的时候,系统会提供两种模式给用户选择。如下:

  • IPsec Host — 作为客户端,在连接到中心时需要提供用户名和密码
  • Edge Device — 作为服务器端(中心),要求客户端必须进行口令验证。

当VPN防火墙定义为IPsec Host的时候,在建立VPN连接的时候,设备会给服务器端提供用户名和密码信息。

当VPN防火墙定义为Edge device模式的时候,VPN网关则要求客户端必须输入合法的用户名的密码进行验证,网关在接收到来自客户端提供的用户名和密码之后首先在本地数据库校验信息是否合法,如果在本地数据库找不到相对应的用户名,则将信息转发到RADIUS服务器进行校验,如果判断为合法,则继续VPN的协商过程,如果用户不合法,则中断VPN连接。

具体设置如下:

1.进入IKE Policies选项并点击 Edit按钮进入IKE Policies编辑页面

2.在 X AUTHENTICATION 项目下面, 选择Edge Device.

3.在Authentication Type下选择Generic使用PAP协议, 否则选择CHAP以使用CHAP协议. 如果你打算使用RADIUS,则您必须在RADIUS上设置相对应的验证协议。通常PAP 协议简单实用,而CHAP则更为安全。

4.点击应用使配置生效。

XAUTH技术

1.下一步,设置您的VPN防火墙是通过本地数据库验证还是通过扩展的RADIUS 服务器验证。防火墙首在User Database里面定义的本地数据库的用户名和密码信息进行验证,如果找不到匹配的条件,则转交到在RADIUS Clien项目里定义的RADIUS服务器来验证。

(2)配置VPN防火强使用本地数据库进行验证

即使你没有配置RADIUS服务器,你仍然可以使用VPN防火墙自带的用户数据库实现用户验证功能。在使用该功能之前,你必须在User Database项目下面配置用户信息,如下:

1.在User Database项目下面点击 add按钮。

2.在User Name和Password里分别填写相应的信息。

3.点击Apply按钮即可起用本地数据库。

XAUTH技术

(3)配置防火墙使用RADIUS服务器进行验证

在Radius Client项目里面,可以定义一个主的RADIUS服务器和备份的RADIUS服务器。防火墙首先和主的RADIUS服务器联系,如果主的RADIUS服务器没有响应,则转到备份的RADIUS服务器上。

在Primary和Backup Server里面的设置介绍如下:

  • Server Address — RADIUS的IP地址.
  • Auth port — RADIUS服务器的验证端口号,RADIUS客户端会使用该端口和RADIUS服务器通讯,在大部情况下,默认的端口号都不应该修改。
  • Acct port — RADIUS的计费端口号。在大多数情况下默认的端口号不需要修改。
  • Secret Phrase— RADIUS客户端和服务器之间的通讯密钥。该密钥必须在服器端和客户端单独配置,并要求相互一致。
  • NAS Identifier —防火墙充当NAS(网络访问服务)角色,允许合法的外部用户访问网络。在一个RADIUS会话里面,NAS必须递交NAS身份标识到RADIUS服务器,在该例子里NAS的身份标识可以是防火墙的IP地址或有效的用户名,在某些应用场合里,RADIUS服务器有可能要求NAS提供有效的用户名,而我们则可以在该处填写合法的用户名提交到RADIUS服务器进行验证。然而在大多数场合下面,RADIUS服务器并不要求NAS提供用户名。

点击 Apply保存配置

注意:在试验中我们采用WINDOWS 的IAS作为RADIUS服务器,NAS身份标识不需要在IAS里面配置,同时在IKE策略里的Authentication Type 应该选择Generic (PAP)的方式。

2.4 IPSec VPN 客户端软件XAUTH的配置

在此之前,你必须在不需要XAUTH的情况下,配置好VPN客户端。测试到VPN防火墙的连接通过后,在配置里面添加相应的XAUTH选项即可:

1.点击Authentication选择Proposal 1. 选择和在VPN防火墙的IKE策略里匹配的各项参数。

2.在Authentication Method, 选择Pre-Shared Key; Extended Authentication.

3.点击 floppy disk图标以保存配置

XAUTH技术

2.5测试连接

1.在WINDOWS工具栏里右键点击VPN client图标选择My Connections \.

XAUTH技术

1.几秒钟后将出现登陆页面。

2.输入正确的用户名和密码信息后,客户端软件会显示 "Successfully connected to My Connections\"的信息

3.从安装客户端软件的PC上PING对方局域网内的主机,可以PING通

4.遇到故障的时候,可以参考VPN客户端软件里的VPN日志以排除故障。


如何应用XAUTH技术部署企业VPN的远程访问
 如何应用XAUTH技术部署企业VPN的远程访问(上)
 如何应用XAUTH技术部署企业VPN的远程访问(下)

 
 
相关阅读
 
云计算的网络规划——混合云
 
某市民中心虚拟园区网建设方案与实践
 
Aruba Networks完成对阿德利亚科技公司的收购
 
云应用为何更受SMB青睐?
 
云计算的网络规划——公共云
 
新网络构建三要素:网络 存储 虚拟化
 
网络化企业能源管理系统的实现
 
构建企业能源管理系统从何处着手
 
 
投稿 打印 MSN推荐 博客引用
 
 
热门文章排行

本周

本月

热门技术手册排行

 
IP网络设计

网络设计会影响公司IP网络的运行。TechTarget专家Cormac Long推出的这个系列讲座将给您提供IP网络设计的综合方案,从最基本的原则到复杂的技术都会向您做详细的讲解。

 
使用脚本管理Windows网络(更新版)

“授人以鱼,不如授人以渔。”的确如此。而在忙碌的IT世界里,这也适用于脚本化管理:“给人一个有用的脚本,不如教他自己写脚本。”

 
Wi-Fi知识详解手册

虽然“无线局域网”和“Wi - Fi”常常交换使用。但是无线局域网(WLAN)和Wi – Fi之间是有区别的,基本上在这里Wi - Fi是无线局域网类型中的一种。无线局域网是指移动用户可以通过无线(电台)连接的任何局域网(LAN);而Wi - Fi(简称“无线保真”)是无线局域网中的一种类型的术语,它使用于规范的802.11无线协议家庭。

 
网络访问控制(NAC)详解手册

在本手册中,我们讲述了服务器虚拟化与nac安全, 整合nac与网络安全工具,以及将nac措施扩展到网络安全设备等用户最为关心的技术,希望本手册能对您有所帮助。

 
网络升级宝典

网络在不断地进步。除了处理电子邮件、文件传输和重要的业务交易,网络同时也在进行着语音传递、视频会议和视频监控等相关业务处理,帮助企事业单位减少开支并提高效率。但这都不是凭空产生的。所有这些新网络应用都需要一定的基础架构支持。如果要实现最完美的通话,数据包丢失、延迟和抖动都是必须严格禁止的。而随着应用负载加大和用户要求增加,这样的需求会变得越来越苛刻。

查看更多
 

热门软件下载排行

 
Falconet网络管理软件 2.3
 
网络人(Netman) 4.24 企业版
 
NortonGhost 2003 ISO简体中文版
 
VNC远程控制计算机工具
 

登录TechTarget中国

关闭
本服务仅向TechTarget中国的会员开放,请登录或立即免费注册
登录Email
请输入您的登录Email
密码
下次自动登录
忘记密码?    立即免费注册