IPsec vpn，用IKEv1，建立主机到网关的vpn，可行吗？

easthomeRT

Vpn技术，对于我们来说，都不会太陌生，我们在工作和生活中几乎都会用到，IPsec VPN大家更是比较熟悉，但是一提到IPSec vpn，我们都会第一时间想到网关到网关的组网场景，这也正是IPsec一直专注的组网类型。但如果要使PC用户通过远程接入企业总部，PC和总部之间通信通过IPSec隧道进行安全传输，此时，我们也只会想到用IKEv2版本来实现，利用windows自带的IKEv2客户端，结合EAP协议进行认证，即可实现主机到网关vpn的协商。

我们今天就要讨论IKEv1版本能不能做到这一点。在IKEv2协议中，EAP协议可以实现对用户的认证，当用户进行vpn拨号认证通过后，防火墙会为其自动分配IP地址。那么IKEv1版本并不支持EAP，即无法对用户进行认证。

IKEv1虽然不支持EAP，但支持XAUTH（IKEv1的扩展认证），此方案即可完美解决用户认证的问题，在防火墙侧可以结合Radius服务器，对用户进行认证，并为其分配IP地址。

在IKE协商时，第一阶段IKE SA协商完成后，防火墙会对PC用户发起IKEv1扩展认证来验证用户的用户名和密码，如果扩展认证通过，则继续进行第二阶段IPSec SA的协商；如果扩展认证失败，则停止IKE协商，建立IPSec隧道失败。

下面借个图，为大家展示认证协商的过程：

                               
登录/注册后可看大图

Xauth认证支持两种认证方式，上图是Chap认证，建立使用此认证，安全性比较高。

说了这么多，那么在用户侧，该如何配置呢？好，这里给大家推荐一款好用的vpn软件，shrewsoft vpn，通过此软件可以轻松进行配置，并完成vpn协商。（如果你还是不会配置，请@我）。

在防火墙侧配置时，还要注意一个问题是，在配置感兴趣流时，一定要注意，源最好配置为any，目的配置为防火墙为用户所分配的ip地址段。如果感兴趣流有问题，那么在完成第一阶段协商后，无法协商第二阶段，造成用户数据无法加密，虽然已经获取了IP地址，但仍无法访问公司总部的问题。（前车之鉴！）。

附上一个拨号成功的图片。

                               
登录/注册后可看大图

接下来就可以愉快的进行网络访问了。

东方瑞通成立于1998年，总部在北京，分别在上海、广州、天津、武汉、济南、深圳、成都、重庆、杭州和西安建立了直营分部，全国拥有超过40间专业培训教室、40多位专职讲师及180多位签约讲师；作为国内企业级IT高级技术&管理培训的领军机构，为数千家企业客户提供员工外派（公开课）和团体定制培训服务，累计培训专业人才数十万名。