Michael J. Martin作为网络和Unix信息管理员已经在信息技术领域工作了17多年。他早期在研究和ISP方面进行的设计、实现和支持MIS基础架构的经历,为他当前在大型因特网和安全架构的工作上提供了独特的视角。作为一个网络架构师,他已经为多家公司设计过高速、高可用的LAN/WAN网络,如ANS/AOL、Philips和Edgix Corporation等,它也给许多业务和区域ISP提供网络顾问服务。Michael也撰写了很多关于网络和安全问题的文章。
上一篇文章,我们学习到如何通过建立Cisco EzVPN网关来支持Network-to-network IPsec VPN拓扑。现在我们接着学习在Cisco EzVPN网关上支持全加密节点关系的硬件客户配置。
本文中我们将检查Cisco EzVPN使用Cisco路由器作为VPN网关和Cisco路由器硬件客户端来支持Network-to-Network VPN拓扑。
我在之前的文章中提到过有两种不同的部署Cisco软件客户端的方法。第二种创建VPN客户端网关的方法是全加密的,或者我们称为“新式”拓扑。
我们回顾了转换集和密码图,我们可以继续“建立IOS基于路由器的VPN网关”来支持Cisco IPsec软件和硬件客户端了。
在IOS路由器上实现IPsec VPN涉及到许多不同的配置元素。除了ISAKMP/IKE配置和转换集定义外,密码图也是配置支持Cisco软件VPN客户端连接网关的组成部分。
前一篇文章中我们提到了ISAKMP和IKE配置,转换集(Transform Set)定义和密码图(Crypto Maps)也是配置支持Cisco软件VPN客户端连接网关的一部分。
前一篇文章中讨论了IPsec协议、VPN连接模型式以及使用IKE实现ISAKMP政策以保证VPN配置安全。IKE和ISAKMP配置的最后一步是认证密钥配置。
前一篇文章中讨论了IPsec协议和基本的IPsec VPN连接模型。现在我们将学习如何使用IKE实现ISAKMP协议来保证安全的VPN配置。
IOS支持多种的IPsec实现,因而基本上所有的IPsec VPN都选用以下两种基本形式的其中一种来实现:Site-to-site 和 Client-to-site。
Cisco的IPsec(Internet Protocol Security)套件的IOS实现是一个基于开放标准的框架,它提供给管理员各种安全IP网络通信的工具。
