多廠商***系列之十一：Easy ***完美解決方案

簡介

    一般EZ***解決的是一個小型站點鏈接總部的方案，小型站點就是後面的直連網絡可以訪問總部的資源，這對於一些特殊需求，就不適應了，在新版的***中，Cisco 提供了一些不錯的解決方案，就是DVTI的隧道和OSPF不在同一網段創建鄰居的特性。

有時候，咱們但願分部經過ADSL獲取的公網地址，總部是固定IP，但願總部能主動訪問分部，並且隧道永久存在。以前介紹過能夠經過DVTI的形式來容納不管多少個分支的創建，那麼咱們能夠把這個特性放入到EZ***中。 其實，若是熟悉DDNS解決方案的話，那麼不管總部和分部是否固定IP，都是能夠的，只要有動態域名的解析。

這裏注意的是，新版***特性 不多使用crypto map的形式來配置***了，更多的是profile的形式，在tunnel口創建，這樣的好處是，不受其餘業務的影響，好比NAT、分片，而且更加有效的部署QOS、ACL、VRF等許多feature

Center 配置

interface FastEthernet0/0
ip address 12.1.1.1 255.255.255.0

ip route 0.0.0.0 0.0.0.0 12.1.1.2
!
aaa new-model
!
!
aaa authentication login ez*** local
aaa authorization network ez*** local

crypto isakmp policy 10
encr 3des
authentication pre-share
group 2
!
crypto isakmp client configuration group ez***
key cisco
save-password
crypto isakmp profile profile
match identity group ez***
client authentication list ez***
isakmp authorization list ez***
client configuration address respond
virtual-template 100
!
!
crypto ipsec transform-set trans esp-des esp-md5-hmac
!
crypto ipsec profile profile
set transform-set trans

!
interface Virtual-Template100 type tunnel
ip unnumbered FastEthernet0/0
ip ospf 1 area 0
tunnel mode ipsec ipv4
tunnel protection ipsec profile profile
!
router ospf 1
log-adjacency-changes

注意下Center端的配置，發現profile中並無關聯上isakmp的profile，這是爲何呢，由於它直接用isakmp profile關聯了虛擬模板接口，因此直接調用在虛擬模板了，而且這個虛擬模板又與第二階段的策略調用了。

Branch

crypto ipsec client ez*** branch
connect auto
group ez*** key cisco
mode network-extension
peer 12.1.1.1
virtual-interface 1
username admin password cisco
xauth userid mode local

interface Loopback0
ip address 1.1.1.1 255.255.255.255
crypto ipsec client ez*** branch inside
!
interface FastEthernet0/1
ip address 23.1.1.2 255.255.255.0
crypto ipsec client ez*** branch
!
interface Virtual-Template1 type tunnel
ip unnumbered FastEthernet0/1
ip ospf 1 area 0

ip route 0.0.0.0 0.0.0.0 23.1.1.1

由於server端下放了保存策略，因此能夠直接在client上輸入用戶密碼，設置爲自動撥入，這裏爲擴展模式是爲了，總部和分支都能互訪。

查看OSPF的鄰居狀態

有些版本會提示MTU不匹配，因此通常在center端忽略MTU就好了。

虛擬模板只是調用策略，當一個Client創建***後，就會自動創建一個虛擬接口，這個虛擬接口的策略自動繼承虛擬模板的策略。

若是想針對不一樣的group設置不一樣的策略，好比QOS或者ACL，那麼就能夠啓用多個虛擬模板，不一樣的模板創建不一樣的策略就好了。

在Center的server上沒定義source是可讓多個***接口能夠撥入，它會自動的以對方的源做爲目的，對方的目的做爲源地址。

優化

1 、關於DVTI只支持OSPF的形式進行宣告，因此只須要更改hello間隔就好了

二、MTU改成1436，TCP MSS改成1400，防止分片

總結：這個解決方案，其實能夠實現Center也是動態IP，只須要一個動態域名解析便可，另外，若是兩端是CIsco設備就建議用EZ***，這樣不管是想實現總部訪問分支，仍是創建多個***站點，都只須要一個或多個（不一樣策略下放），由於虛擬模板會自動創建虛擬接口，而不須要用到多個Tunnel口了。

本文轉載於公衆號：網絡之路博客