简介
通常EZ***解决的是一个小型站点连接总部的方案,小型站点就是后面的直连网络能够访问总部的资源,这对于一些特殊需求,就不适应了,在新版的***中,Cisco 提供了一些不错的解决方案,就是DVTI的隧道和OSPF不在同一网段建立邻居的特性。
有时候,我们希望分部通过ADSL获取的公网地址,总部是固定IP,希望总部能主动访问分部,而且隧道永久存在。之前介绍过可以通过DVTI的形式来容纳无论多少个分支的建立,那么我们可以把这个特性放入到EZ***中。 其实,如果熟悉DDNS解决方案的话,那么无论总部和分部是否固定IP,都是可以的,只要有动态域名的解析。
这里注意的是,新版***特性 很少使用crypto map的形式来配置***了,更多的是profile的形式,在tunnel口建立,这样的好处是,不受其他业务的影响,比如NAT、分片,并且更加有效的部署QOS、ACL、VRF等许多feature
Center 配置
interface FastEthernet0/0
ip address 12.1.1.1 255.255.255.0
ip route 0.0.0.0 0.0.0.0 12.1.1.2
!
aaa new-model
!
!
aaa authentication login ez*** local
aaa authorization network ez*** local
crypto isakmp policy 10
encr 3des
authentication pre-share
group 2
!
crypto isakmp client configuration group ez***
key cisco
save-password
crypto isakmp profile profile
match identity group ez***
client authentication list ez***
isakmp authorization list ez***
client configuration address respond
virtual-template 100
!
!
crypto ipsec transform-set trans esp-des esp-md5-hmac
!
crypto ipsec profile profile
set transform-set trans
!
interface Virtual-Template100 type tunnel
ip unnumbered FastEthernet0/0
ip ospf 1 area 0
tunnel mode ipsec ipv4
tunnel protection ipsec profile profile
!
router ospf 1
log-adjacency-changes
注意下Center端的配置,发现profile中并没有关联上isakmp的profile,这是为什么呢,因为它直接用isakmp profile关联了虚拟模板接口,所以直接调用在虚拟模板了,并且这个虚拟模板又与第二阶段的策略调用了。
Branch
crypto ipsec client ez*** branch
connect auto
group ez*** key cisco
mode network-extension
peer 12.1.1.1
virtual-interface 1
username admin password cisco
xauth userid mode local
interface Loopback0
ip address 1.1.1.1 255.255.255.255
crypto ipsec client ez*** branch inside
!
interface FastEthernet0/1
ip address 23.1.1.2 255.255.255.0
crypto ipsec client ez*** branch
!
interface Virtual-Template1 type tunnel
ip unnumbered FastEthernet0/1
ip ospf 1 area 0
ip route 0.0.0.0 0.0.0.0 23.1.1.1
因为server端下放了保存策略,所以可以直接在client上输入用户密码,设置为自动拨入,这里为扩展模式是为了,总部和分支都能互访。
查看OSPF的邻居状态
有些版本会提示MTU不匹配,所以一般在center端忽略MTU就行了。
虚拟模板只是调用策略,当一个Client建立***后,就会自动建立一个虚拟接口,这个虚拟接口的策略自动继承虚拟模板的策略。
如果想针对不同的group设置不同的策略,比如QOS或者ACL,那么就可以启用多个虚拟模板,不同的模板建立不同的策略就行了。
在Center的server上没定义source是可以让多个***接口可以拨入,它会自动的以对方的源作为目的,对方的目的作为源地址。
优化
1 、关于DVTI只支持OSPF的形式进行宣告,所以只需要更改hello间隔就行了
2、MTU改为1436,TCP MSS改为1400,防止分片
总结:这个解决方案,其实可以实现Center也是动态IP,只需要一个动态域名解析即可,另外,如果两端是CIsco设备就建议用EZ***,这样无论是想实现总部访问分支,还是建立多个***站点,都只需要一个或多个(不同策略下放),因为虚拟模板会自动建立虚拟接口,而不需要用到多个Tunnel口了。
本文转载于公众号:网络之路博客