在IOS 路由器上采用隧道分离技术以 NEM 模式.PDFVIP

在IOS 路由器上采用隧道分离技术以 NEM 模式.PDF

  1. 1、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。。
  2. 2、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  3. 3、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
  4. 4、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
  5. 5、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们
  6. 6、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
  7. 7、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多
在IOS 路由器上采用隧道分离技术以 NEM 模式.PDF

在 IOS 路由器上采用隧道分离技术以 NEM 模式 下配置 EzVPN 的配置示例 目录 简介 先决条件 要求 使用的组件 规则 配置 网络图 配置 VPN 客户端配置 验证与故障排除 相关信息 简介 此配置详细说明了 Cisco IOS® 软件版本 12.3(11)T 中的新功能,通过该功能可以在同一个接口上 将一个路由器配置为 EzVPN 客户端和服务器。数据流可以从 VPN 客户端被路由到 EzVPN 服务器 ,然后退出到另一个远程 EzVPN 服务器。 请参阅配置 IPsec 路由器动态 LAN 到 LAN 对等体和 VPN 客户端以了解有关以下方案的详细信息 :在一个星型环境中的两个路由器之间存在 LAN 到 LAN 配置,其中 Cisco VPN 客户端也连接到中 心,并使用了扩展验证 (XAUTH)。 有关 Cisco 871 路由器和 Cisco 7200 VXR 路由器之间 NEM 模式的 EzVPN 的示例配置,请参阅 7200 Easy VPN 服务器到 871 Easy VPN 远端客户端配置示例。 先决条件 要求 本文档没有任何特定的要求。 使用的组件 本文档中的信息基于以下软件和硬件版本: EzVPN 客户端和服务器路由器上的 Cisco IOS 软件版本 12.3(11)T。 远程 EzVPN 服务器路由器上的 Cisco IOS 软件版本 12.3(6)(这可以是支持 EzVPN 服务器功 能的任何加密版本)。 Cisco VPN Client 版本 4.x 注意: 本文档文已经过 Cisco 3640 路由器和 Cisco IOS 软件版本 12.4(8) 再认证。 本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原 始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。 规则 有关文档规则的详细信息,请参阅 Cisco 技术提示规则。 配置 本部分提供有关如何配置本文档所述功能的信息。 注意: 使用命令查找工具 (仅限注册用户 )可获取有关本部分所使用命令的详细信息。 网络图 在此网络图中,RouterA 被同时配置为 EzVPN 客户端和服务器。这允许它接受来自 VPN 客户端的 连接并允许它在连接到 RouterB 时充当 EzVPN 客户端。来自 VPN 客户端的数据流可被路由到 RouterA 和 RouterB 后的网络。 配置 必须使用 IPsec 配置文件配置 RouterA 才能进行 VPN 客户端连接。在此路由器上使用标准 EzVPN 服务器配置和 EzVPN 客户端配置无法工作。路由器在第 1 阶段协商期间发生故障。 在此示例配置中,RouterB 向 RouterA 发送一个 /8 分割隧道列表。使用此配置,VPN 客户 端池不能是 10.x.x.x 超网中的任何部分。什么发生是路由器A构件SA对流量的路由器B从 /24到/8。为例,假设您让一VPN客户端连接和使IP地址脱离的本地池。 RouterA 为从 /24 到 /32 的数据流成功构建另一个 SA。但是,当来自 VPN 客户端 的数据包被回复然后到达 RouterA 时,RouterA 将通过隧道将它们发送到 RouterB。这是因为它们 匹配其 SA /24 到 /8,而不是更精确的匹配 /32。 您必须同时在 RouterB 上配置分割隧道。否则,VPN 客户端数据流无法工作。如果未定义分割隧道 (在本示例中为 RouterB 上的 acl 150),RouterA 将为从 /24 到 /0 的数据流(所 有数据流)构建一个 SA。当 VPN 客户端连接并收到任何池中的任何 IP 地址时,将始终通过隧道 将返回它的数据流发送到 RouterB。这是因为首先匹配的是 RouterB。由于此 SA 定义了“所有数据 流”,因此不管您的 VPN 客户端地址池如何,数据流都不会返回到它。 总之,您必须使用分割隧道,并且您的 VPN 地址池必须是不同于分割隧道列表中任何网络的超网 。 本文档使用以下配置: 路由器A 路由器B 路由器A version 12.4 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname RouterA ! boot-start-marker bo

文档评论(0)

tangtianbao1 + 关注
实名认证
文档贡献者

该用户很懒,什么也没介绍

1亿VIP精品文档

相关文档