内容发布更新时间 : 2024/5/18 12:57:11星期一 下面是文章的全部内容请认真阅读。

EZVPN

EZVPN的主模式

EZVPN的主模式与前面介绍的ipsec vpn 过程有所不同，具体可以查询下相关文档，因为不愿意粘贴太多书上的东西（觉得对作者来说是一种侵权） ，所以查询下相关文档吧。这里只是简单提一下。

普通的ipsec vpn 主模式（第一阶段）需呀6个数据包来完成。 EZvpn 主模式 只使用了3个数据包 1.3个数据包都是明文传输，没有加密。 2.认证信息进行了散列加密

3.主模式的3个数据包主要完成第一阶段IKE协商、DH交换产生密钥、互相认证。

4.其实EZvpn 在第一个数据包上就已经产生了DH 公共值，因此后面不需要再次协商DH group ，所以在配置的时候双方都要统一预共享密钥认证————即【group 2】

EZVPN IKE 三个阶段

第一阶段

其实cisco 为了提高 EZVPN 的可操作性，在客户端里面就植入了很多策略。所以在这里并不需要再多管什么，值得注意的是，只要你使用 预先共享密钥认证方式，就必须使用 DH就必须使用【group 2】

第1.5阶段 目的

1.扩展认证。

普通的ipsec vpn 只能通过 本地密钥进行认证。在此基础上再增加了一次认证，引入了AAA技术（3A认证）进行授权

2.模式配置

为客户推送VPN策略（IP 地址 ，DNS 等等...）

第二阶段

这个和前面介绍的ipsec vpn 策略一样【如果前面理论了解清楚了。这里就不必管它了】

实验

GRE over EZVPN 完美解决方案

前面介绍了很多VPN ，但是没有一种VPN 能实现 双动态地址，起动态路由协议场合。接下来将提供解决方法！

实验前先检查下是否支持 crypto isakmp client crypto ipsec client

命令。 我使用的IOS是【c3640-ik9o3s-mz.124-25c】

逻辑拓扑【为了方便大家理解所以这里IP全部照抄....】

GNS3 拓扑

R1----R2-----R3

loopback 100 的目的是为了 匹配上感兴趣的流 loopback 0 的 目的是内网的主机

教主这里的实验意思非常之独特

他希望能确定一个感兴趣的流，然后把这个地址在tunnel口中跑起来，这样就可以匹配感兴趣的流了。又可以起动态路由协议。

他的方法就是在tunnel 口上指定源 为loopback 100 的地址【1.1.1.1】，目的是对端loopback 100 的地址【2.2.2.2】

实际上这时 1.1.1.1 去往2.2.2.2 的流量就已经加密了。 那么接下来就跑动态路由协议，把tunnel口 和内网主机 network进去，这样就可以通信了。 配置

【EZvpn 听起来貌似很简单。so Easy 其实真的非常复杂！ 他的简单仅仅体现在客户端上，而服务端特别复杂，所以希望各位养成习惯，在配置VPN的时候，打开记事本，名词 key 都记下来，要不然会非常痛苦的，我这里这个实验排了两次错。。最后一次完全照抄才通的....】

1.配置接口IP

R1 【中心】

E0/0 202.100.1.1 【互联网出接口】

Loopback0 172.16.1.1 【R1背后的内网主机】 Loopback100 1.1.1.1【模拟感兴趣的流】

R2【ISP】

配置好接口IP就行了。再没有其他配置】

R3【客户】

Ethernet0/1 61.128.1.1 【出接口地址】 Loopback0 10.1.1.1 【内网主机】

Loopback100 2.2.2.2【模拟感兴趣的流】

开始配置。。。

先在R1 上配置 EZVPN 的服务器

R1(config)#aaa new-model【开启AAA服务】

R1(config)#aaa authentication login noacs line none

【下线保护策略，防止AAA服务挂掉，后不能登录。认证密码 noacs】（不知道这么理解对不对....）