« Back
in 安全 VPN 思科 read.

VPN实验杂记二

remote vpn,ezvpn 他们的类型是一样的,server端的配置也是一样的。

crypto isakmp policy
 

remote vpn和ezpvn的client都有默认内建策略。

用户根据拨的组不同,得到的配置也不同。

 

使用证书的Remote vpn 第一阶段为main mode

使用pre-share-key的Remote vpn 第一阶段为aggressive mode

 

客户端配置:

crypto ipsec client ezvpn cisco

connect auto/manual

group 组名 key

mode 使用什么样的模式 client只能client发起连接,会得到ip地址、network client可以发起到server,server也能发起到client,不会得到ip地址

peer 定义server是谁?

 

调用

接口下面(要调用两次)

外部接口:crypto ipsec client ezvpn cisco

内部接口:crypto ipsec client ezvpn cisco inside

 

发起连接

crypto ipsec client ezvpn connect

crypto ipsec client ezvpn xauth

提示输入用户名和密码

 

测试的时候,要注意是从入接口入,从出接口出。

注意 所有从入接口入,从出接口出的流量都会被加密。tunnel everything。

遇到这种情况,可以在server端的crypto isakmp client config group里面调用acl(split tunnel list,允许你去哪儿加密,去哪儿不加密)。

 

问题:(4ping到1会有问题?)

|---1----2----------------3----4---|

 

防火墙上的remote vpn
 

redundance vpn

需要用到的技术是hsrp、动态路由协议、反向路由注入

 

dmvpn(多点GRE NHRP IPSEC的结合)

配置步骤

物理口配置

tunnel口配置

nhrp配置

动态路由配置

vpn配置

 

tunnel口mtu根据底层链路来决定。