cisco Ezvpn(隧道分离技术)

1、Ezvpn隧道分离Ezvpn原本是easy vpn的拼读，是从easyvpn简化而来的。它能为企业提供远程VPN安全访问，方便移动的远程用户通过VPN来访问网络安全要求较高的内网。这样既可以通过VPN隧道认证加密数据以进行安全访问，就好像内网用户一样。同时也可以通过推送的隧道分离策略来使必要进入内网访问的数据才经过VPN加密传输，而访问internet的数据就直接走远程的网关经过NAT出去，不必要再经过总部的VPN服务器再转出去，减少中间不必要的网络流量与时延。保证远程用户访问内网与访问internet的双重需求，使网络访问变得更简易灵活。easy虽说是容易，但它的easy看起来只是使客户端的

2、配置变得简省，把一些策略的推送由vpn server动态去处理，所以把些复杂的事情交给了vpn server而已。但客户也并不是没有复杂的配置，其实vpn client软件本来就内置了一些策略，只是用户不可见罢了，所以只要填写一些必要的一些信息如：内部vpn服务器IP，进入内网访问凭据。Top如上：注意：1,在做本实验的时候，请把VPNclient软件放在虚拟机的PC里边，如果是用本机来做remote VPN客户端，很可能只能ping能或说互联到公网，不能ping通内网用户，实验是不能成功。 2,由于本实验两个VPN网关都存在NAT穿越，所以在定义转换集的时候最好不要用AH认证。因为NAT穿越

3、会修改源目地址。配置：ezvpnserver#show runhostname R1aaa new-model/开启AAAaaa authentication login ccie local/AAA登陆本地认证aaa authorization network ccie local/AAA网络接入本地授权ip cefno ip domain lookupusername cisco password 0 cisco/本地认证授权数据库账户crypto isakmp policy 10/定义IKE策略第一阶段encr 3deshash md5/对于软件客户端必须要用MD5authenticat

4、ion pre-sharegroup 2crypto isakmp client configuration group client/配置客户端推送策略key ccnpdns domain pool poolacl 101/隧道分离ACLsave-password/保存密码，客户可以不必每次开启时输入验证信息netmask crypto ipsec transform-set myset esp-3des esp-sha-hmac /定义转换集，IKE1.5阶段crypto dynamic-map map 10/由于远程用户是

5、移动的，所以要定义动态MAPset transform-set mysetreverse-route/开启反向路由注入，指向动态分配客户端网络的地址，下一跳为vpn peer地址crypto map mymap client authentication list ccie/定义加密图，IKE第二阶段crypto map mymap isakmp authorization list cciecrypto map mymap client configuration address respondcrypto map mymap 10 ipsec-isakmp dynamic mapinter

6、face Loopback0ip address ip nat insideinterface Loopback1ip address !interface FastEthernet0/0ip address ip nat outsidecrypto map mymap/接口下应用加密图ip local pool pool 0/定义本地为远程用户自动分配的地址池范围。ip classlessip rout

7、e FastEthernet0/0/总部一条指向公网的默认路由ip nat inside source list 102 interface FastEthernet0/0 overload内网用户PATAccess-list 102 deny 55 55access-list 102 permit ip any any/PAT转换除了vpn之间的两个网段不用NAT转换。internet配置：hostname R2ip cefno ip domain lookupinterface Fa

8、stEthernet0/0ip address interface FastEthernet0/1ip address 客户端网关：R3#show runhostname R3ip cefno ip domain lookupinterface FastEthernet0/0ip address ip nat insideinterface FastEthernet0/1ip address ip nat o

9、utsideip classlessip route FastEthernet0/1ip nat inside source list 1 interface FastEthernet0/1 overloadaccess-list 1 permit 55客户端cisco vpnclient配置：首先把虚拟机里的PC地址设置成远程网络内网地址，然后内网地址要有连通总部出口路由器地址的条件。然后VPN才能建立，安装好vpnclient后，就可以new新建一个VPN连接了，如下：写好group name ,与key。点击确定就可以

10、进行连接了：如果连接到了VPN网关的时候，就可以进行认证了：写好之前AAA定义的本地用户名与密码，保存OK：如果策略都没问题，那么隧道协商成功后就可以建立VPN了，可以看到右下角那把锁合上了：这样VPN连接成功！我们可以看客户端软件统计的协商信息：还可以看到隧道分离本地网络：测试：，是否获取了VPN地址？Ethernet adapter 本地连接 2: Connection-specific DNS Suffix. : Description . . . . . . . . . . . : Cisco Systems VPN Adapter Physical Addre

11、ss. . . . . . . . . : 00-05-9A-3C-78-00 Dhcp Enabled. . . . . . . . . . . : No IP Address. . . . . . . . . . . . : Subnet Mask . . . . . . . . . . . : Default Gateway . . . . . . . . . : DNS Servers . . . . . . . . . . . : C:Documents and SettingsAdministrator，是否能访

12、问内网用户，并且是不是走的VPN：C:Documents and SettingsAdministratortracert Tracing route to over a maximum of 30 hops1 366 ms 505 ms 415 ms/如果内网地址发往客户端的数据也经过NAT，那么下一跳就是VPNpeer地址，不再是主机地址了！Trace complete.C:Documents and SettingsAdministratorC:Documents and SettingsAdministratortra

13、cert Tracing route to over a maximum of 30 hops1 85 ms 77 ms 46 ms2 234 ms 186 ms 249 ms3 373 ms 343 ms 468 msTrace complete.很明显，访问内网时，走的VPN，所以下一跳直接是内网主机地址，而不走VPN的时候，却是要经过NAT转换之后再到达目的地。而且不能访问内网。，是否有加解密数据？R1#show crypto ipsec sa interface: FastEthernet0

14、/0 Crypto map tag: mymap, local addr protected vrf: (none) localident (addr/mask/prot/port): (//0/0) remote ident (addr/mask/prot/port): (/55/0/0) current_peer port 1054 PERMIT, flags= #pkts encaps: 25, #pkts encrypt: 25, #pkts digest: 25 #pk

15、ts decaps: 25, #pkts decrypt: 25, #pkts verify: 25 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 0, #pkts compr. failed: 0 #pkts not decompressed: 0, #pkts decompress failed: 0 #send errors 0, #recv errors 0 local crypto endpt.: , remote crypto endpt.: path mtu

16、1500, ip mtu 1500 current outbound spi: 0x4D308FB9(1295028153) inbound esp sas: spi: 0xCF97304F(3482792015) transform: esp-3des esp-sha-hmac , in use settings =Tunnel UDP-Encaps, conn id: 2001, flow_id: SW:1, crypto map: mymap sa timing: remaining key lifetime (k/sec): (4393775/2742) IV size: 8 bytes replay detection support: Y Status: ACTIVE inbound ah sas: inbound pcp sas: outbound esp sas: spi: 0x4D308FB9(1295028153) transform: esp-3des esp-sha-hmac , in use settings =Tunnel UDP-Encaps, conn id: 2002, flow_id: SW:2, crypto map: mymap sa timing: remainin