在IOS 路由器上采用隧道分离技术以 NEM 模式.PDFVIP

在 IOS 路由器上采用隧道分离技术以 NEM 模式 下配置 EzVPN 的配置示例 目录 简介 先决条件 要求 使用的组件 规则 配置 网络图 配置 VPN 客户端配置 验证与故障排除 相关信息 简介 此配置详细说明了 Cisco IOS® 软件版本 12.3(11)T 中的新功能，通过该功能可以在同一个接口上 将一个路由器配置为 EzVPN 客户端和服务器。数据流可以从 VPN 客户端被路由到 EzVPN 服务器 ，然后退出到另一个远程 EzVPN 服务器。 请参阅配置 IPsec 路由器动态 LAN 到 LAN 对等体和 VPN 客户端以了解有关以下方案的详细信息 ：在一个星型环境中的两个路由器之间存在 LAN 到 LAN 配置，其中 Cisco VPN 客户端也连接到中 心，并使用了扩展验证 (XAUTH)。 有关 Cisco 871 路由器和 Cisco 7200 VXR 路由器之间 NEM 模式的 EzVPN 的示例配置，请参阅 7200 Easy VPN 服务器到 871 Easy VPN 远端客户端配置示例。 先决条件 要求 本文档没有任何特定的要求。 使用的组件 本文档中的信息基于以下软件和硬件版本： EzVPN 客户端和服务器路由器上的 Cisco IOS 软件版本 12.3(11)T。 远程 EzVPN 服务器路由器上的 Cisco IOS 软件版本 12.3(6)（这可以是支持 EzVPN 服务器功 能的任何加密版本）。 Cisco VPN Client 版本 4.x 注意： 本文档文已经过 Cisco 3640 路由器和 Cisco IOS 软件版本 12.4(8) 再认证。 本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原 始（默认）配置。如果您使用的是真实网络，请确保您已经了解所有命令的潜在影响。 规则 有关文档规则的详细信息，请参阅 Cisco 技术提示规则。 配置 本部分提供有关如何配置本文档所述功能的信息。 注意： 使用命令查找工具 （仅限注册用户 ）可获取有关本部分所使用命令的详细信息。 网络图 在此网络图中，RouterA 被同时配置为 EzVPN 客户端和服务器。这允许它接受来自 VPN 客户端的 连接并允许它在连接到 RouterB 时充当 EzVPN 客户端。来自 VPN 客户端的数据流可被路由到 RouterA 和 RouterB 后的网络。 配置 必须使用 IPsec 配置文件配置 RouterA 才能进行 VPN 客户端连接。在此路由器上使用标准 EzVPN 服务器配置和 EzVPN 客户端配置无法工作。路由器在第 1 阶段协商期间发生故障。 在此示例配置中，RouterB 向 RouterA 发送一个 /8 分割隧道列表。使用此配置，VPN 客户 端池不能是 10.x.x.x 超网中的任何部分。什么发生是路由器A构件SA对流量的路由器B从 /24到/8。为例，假设您让一VPN客户端连接和使IP地址脱离的本地池。 RouterA 为从 /24 到 /32 的数据流成功构建另一个 SA。但是，当来自 VPN 客户端 的数据包被回复然后到达 RouterA 时，RouterA 将通过隧道将它们发送到 RouterB。这是因为它们 匹配其 SA /24 到 /8，而不是更精确的匹配 /32。 您必须同时在 RouterB 上配置分割隧道。否则，VPN 客户端数据流无法工作。如果未定义分割隧道 （在本示例中为 RouterB 上的 acl 150），RouterA 将为从 /24 到 /0 的数据流（所 有数据流）构建一个 SA。当 VPN 客户端连接并收到任何池中的任何 IP 地址时，将始终通过隧道 将返回它的数据流发送到 RouterB。这是因为首先匹配的是 RouterB。由于此 SA 定义了“所有数据 流”，因此不管您的 VPN 客户端地址池如何，数据流都不会返回到它。 总之，您必须使用分割隧道，并且您的 VPN 地址池必须是不同于分割隧道列表中任何网络的超网 。 本文档使用以下配置： 路由器A 路由器B 路由器A version 12.4 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname RouterA ! boot-start-marker bo