EasyVPN技术及其应用

【 摘 要 】 Easy VPN是Cisco为远程用户和分支办公室提供的一种远程访问VPN解决方案，提供了集中的VPN管理和动态的策略分发，降低了远程访问VPN部署的复杂程度，增加了可扩展性及灵活性。论述了Easy VPN的组件和原理，并在此基础上分析了Easy VPN的特性，针对企业分支机构及移动办公人员访问内部资源所面临的问题，分析了Easy VPN的部署方案。通过部署Easy VPN，企业的分支机构通过Internet可以同总部建立点到点的VPN，移动或在家办公用户可以在接入Internet的任何地方方便、安全地访问内部资源，这有助于提高企业生产力，降低企业的管理和维护成本。

【 关键词 】 Easy VPN；远程访问；策略分发 【 中图法分类号 】 TP393.08

1 引言

IPSec VPN主要提供站点到站点之间的安全通信，用于加密企业网络和分支机构网络之间的流量；若一个企业有大量的移动用户，要保证这些用户能够通过Internet 安全地访问企业网内部资源，通常采用Point-to-Point Tunneling Protocol（PPTP）VPN。

Easy VPN 是一种运行在Cisco 设备之间的IPSec VPN解决方案，它能同时为远程用户和分支机构用户提供VPN服务。Easy VPN适用于中心站点地址固定，分支站点动态获取地址的环境，中心站点用来集中管理策略并把策略动态地推送到客户端，因而降低了分支站点部署的复杂程度。

2 Eazy VPN组件及原理

Easy VPN主要由服务器端和客户端这两部分组件构成，能够同时为在PC上安装的软件客户端和使用Cisco网络设备的硬件客户端提供VPN服务[2]，如图1所示。

2.1 Easy VPN服务器

Easy VPN服务器接收来自客户端的连接请求，认证通过后会把预先定义好的安全策略和配置参数自动推送给客户端，这样可以简化客户端的配置，降低客户端的管理压力。Easy VPN服务器的管理内容：协商隧道参数，如地址、算法和生存时间；使用已配置的参数建立隧道；动态为硬件客户端配置NAT（Network Address Translation，网络地址转换）或者PAT（Port Address Translation，端口地址转换）；使用组/密码、用户/密码认证客户；管理加密和解密密钥；验证、加密和解密隧道数据。

Easy VPN服务器通常使用组名和密码来认证客户，一个组通常代表企业的一个部门，这样做的优势在于，可以把VPN相关的策略与组进行关联。在组名和密码认证的基础上，Easy VPN增加了基于用户名和密码的XAUTH认证（Extended Authentication，扩展认证），以增强通信的安全性。

2.2 Easy VPN客户端

Easy VPN客户端有软件客户端和硬件客户端两种。软件客户端是指安装了Cisco VPN客户软件的PC机，用来实现移动用户的远程接入。硬件客户端是指连接分支机构的Cisco路由器或安全设备，用来同中心站点的服务器建立点到点的VPN连接而不需要复杂的配置。Easy VPN硬件客户端有三种工作模式，分别为客户模式、网络扩展模式和网络扩展加模式。

2.2.1客户模式

在客户模式中，中心站点的VPN服务器会将策略和地址池推送给客户端，客户端PAT内部网络到获取的地址池中的地址，然后使用转换后的地址访问中心站点。由于分支站点的PAT隐藏了身后网络，所以中心站点无法主动发起向分支站点身后网络的访问。

2.2.2网络扩展模式和网络扩展加模式

在网络扩展模式中，中心站点不会向客户端推送地址，客户端使用真实的地址访问中心站点内部的网络。由于分支站点使用真实的地址，因此中心站点也能向分支站点主动发起连接，使双方能互相访问。

网络扩展加模式其实就是在网络扩展模式的基础上，中心站点推送地址池中的地址给客户端，但是这个地址只能用于网络管理的目的，例如中心站点可以使用此地址来网管分支站点。

3 Easy VPN特性

Easy VPN支持分离隧道、保存密码、备用网关及PFS（Perfect Forward Secrecy，完美向前保密）等特性，通过不同的特性实现不同的功能。

3.1 分离隧道

默认情况下，Easy VPN没有启用分离隧道特性。在这种情况下客户端的所有流量都会被加密并且送往中心站点，如图2（a）所示。若客户端需要访问互联网，必须通过中心服务器的转换处理。如果中心服务器没有为VPN流量配置转换策略，那么客户端就只能访问中心站点而不能访问互联网了。

启用了分离隧道特性后，服务器端会推送给一个内部网段给客户端，告诉客户端只有访问这些网段的时候，需要加密流量并且送往中心，除此以外的其他地址，都应该正常地通过明文访问，如图2（b）所示，Easy VPN客户不仅能够加密访问中心站点内部资源，还能直接访问互联网。

3.2 保存密码

由于Easy VPN使用了XAUTH认证，客户端每一次拨号都需要输入用户名和密码。若有些用户希望保存用户名和密码，下次自动拨号时不再被打扰，就需要在服务器端启用保存密码这个特性。开启保存密码特性后，就可以在客户端保存XAUTH认证的用户名和密码，并且在获取互联网连接或者开机后自动拨号。

3.3 备用网关和PFS

Easy VPN能够支持备用网关，以实现高可用性VPN。开启备用网关特性后，能够实现当主用VPN网关失效后，自动切换到备用VPN网关的操作。

PFS特性要求每一次密钥更新，都需要重新产生全新的密钥，和以前使用的密钥不存在任何衍生关系。Easy VPN一旦启用了PFS特性，就会在每一个小时结束的时候，采DH（Diffie-Hellman）算法产生一个全新的密钥用于下一个小时的数据加密。

4 结束语

本文阐述了Cisco Easy VPN的应用环境、组件和工作原理，并在此基础上分析和比较了硬件客户端的工作模式，最后分析了Easy VPN的特性及应用。在部署Easy VPN的过程中，企业应选择适合自身的服务器端、客户端类型及特性，以充分发挥它们的优势，更好地管理和维护Easy VPN网络，使其安全高效地运行。

参考文献

[1] 白俊峰.多核系统下的IPSec VPN网关的研究和实现[J].计算机工程与设计，2010，31（13）2992-2995.

[2] Cisco Easy VPN on Cisco IOS Softwart-Based Routers[OL]，http：///go/easyvpn.

[3] 秦柯.Cisco IPSec VPN[M].北京：人民邮电出版社，2012年5月.

基金项目：

国家自然科学基金（41101412）。

作者简介：

尹淑玲（1978-），女，湖北武汉人，研究生，讲师；现主要从事计算机网络应用与遥感图像处理研究。