Sun Ray Client 可以为远程用户提供 VPN 解决方案。Sun Ray Client 固件中的 IPsec 功能允许 Sun Ray Client 用作 VPN 端点设备。支持最常用的加密、验证和密钥交换机制以及 Cisco 扩展,利用此扩展,Sun Ray Client 可与支持 Cisco EzVPN 协议的 Cisco 网关进行交互操作。目前 Sun Ray Client 支持 Cisco 和 NetScreen (Juniper) 的 IPSec VPN 集线器。
安全模式与 Cisco 软件 VPN 客户端的安全模式完全相同。利用初始 IKE 阶段一验证交换的通用组名和密钥,客户端可使用 Cisco Xauth 协议,通过显示闪存中存储的固定用户名和密码,或要求输入用户名及令牌卡生成的一次性密码,来对用户逐个进行验证。
VPN 支持依赖于配置 GUI,并支持以下实施:
Cisco 混合验证
使用 OpenSSL 的证书
用于混合验证的 Cisco PSK 散列
源自第一次连接的 Cisco 网关负载平衡重定向
允许或不允许存储密码的网关设置
Cisco 配置文件 (.pcf) 文件,包括对加密的组密码进行解密
可以在网络上加载证书和 .pcf 文件
完全正向保密 (Perfect Forward Secrecy, PFS) 的网关设置
验证模式(预共享、混合或 XAUTH)配置
大型协商包的 IKE 分段
为了保护对已存储验证信息的使用,VPN 配置中包含一个 PIN 项。此功能可在 Sun Ray at Home VPN 部署中实现双重验证。
您还可以使用远程配置文件中的文件复制条目将 VPN 配置和证书文件复制到固件。有关详细信息,请参见表 14.3 “远程配置文件键值”。
本过程介绍修改配置 GUI 以便使用 Cisco 混合验证的步骤。
本过程假设 Sun Ray Client 可以访问能够提供必需的配置文件的合适服务器。
按 Stop-M 组合键或 Ctrl-Pause-M 组合键打开配置 GUI。
选择 Certificates(证书)> Load Certificate File(加载证书文件)。
输入包含 PEM 格式根证书的文件的网址,该文件用于对网关证书签名。
退出菜单。
选择 VPN Profiles(VPN 配置文件)> Load Profile File(加载配置文件)。
加载所有合适的 Cisco .pcf 文件。
退出菜单。
选择 VPN Setup(VPN 设置)> Import VPN profile(导入 VPN 配置文件)。
通过按 Enter 键重复循环查看现有的 .pcf 文件,直至选中所需的配置文件。该文件中的值会填充到子菜单项中,但只有对这些值执行保存操作才能将其存储起来。循环返回初始项但未选择任何 .pcf 文件将恢复初始值。
在 "VPN-Setup"(VPN-设置)菜单中设置其他值。
将 "Enable"(启用)设置为打开。
设置所需的其他所有 VPN 值,例如 "Username"(用户名)。
保存 VPN 设置。
(可选)选择 Advanced(高级)> Download Configuration(下载配置),以下载 VPN 设置
配置文件中的 "vpn.authmethod" 已指定了新验证方法,有效值包括 "xauth"、"preshared" 和 "hybrid"(不区分大小写)。
在主菜单中按 ESC 键,然后保存配置 GUI 设置。
Sun Ray Client 会重新引导并尝试连接 VPN。