简介

    通常EZ***解决的是一个小型站点连接总部的方案，小型站点就是后面的直连网络能够访问总部的资源，这对于一些特殊需求，就不适应了，在新版的***中，Cisco 提供了一些不错的解决方案，就是DVTI的隧道和OSPF不在同一网段建立邻居的特性。

有时候，我们希望分部通过ADSL获取的公网地址，总部是固定IP，希望总部能主动访问分部，而且隧道永久存在。之前介绍过可以通过DVTI的形式来容纳无论多少个分支的建立，那么我们可以把这个特性放入到EZ***中。 其实，如果熟悉DDNS解决方案的话，那么无论总部和分部是否固定IP，都是可以的，只要有动态域名的解析。

这里注意的是，新版***特性 很少使用crypto map的形式来配置***了，更多的是profile的形式，在tunnel口建立，这样的好处是，不受其他业务的影响，比如NAT、分片，并且更加有效的部署QOS、ACL、VRF等许多feature

Center 配置

interface FastEthernet0/0
ip address 12.1.1.1 255.255.255.0

ip route 0.0.0.0 0.0.0.0 12.1.1.2
!
aaa new-model
!
!
aaa authentication login ez*** local
aaa authorization network ez*** local

crypto isakmp policy 10
encr 3des
authentication pre-share
group 2
!
crypto isakmp client configuration group ez***
key cisco
save-password
crypto isakmp profile profile
match identity group ez***
client authentication list ez***
isakmp authorization list ez***
client configuration address respond
virtual-template 100
!
!
crypto ipsec transform-set trans esp-des esp-md5-hmac
!
crypto ipsec profile profile
set transform-set trans

!
interface Virtual-Template100 type tunnel
ip unnumbered FastEthernet0/0
ip ospf 1 area 0
tunnel mode ipsec ipv4
tunnel protection ipsec profile profile
!
router ospf 1
log-adjacency-changes

注意下Center端的配置，发现profile中并没有关联上isakmp的profile，这是为什么呢，因为它直接用isakmp profile关联了虚拟模板接口，所以直接调用在虚拟模板了，并且这个虚拟模板又与第二阶段的策略调用了。

Branch

crypto ipsec client ez*** branch
connect auto
group ez*** key cisco
mode network-extension
peer 12.1.1.1
virtual-interface 1
username admin password cisco
xauth userid mode local

interface Loopback0
ip address 1.1.1.1 255.255.255.255
crypto ipsec client ez*** branch inside
!
interface FastEthernet0/1
ip address 23.1.1.2 255.255.255.0
crypto ipsec client ez*** branch
!
interface Virtual-Template1 type tunnel
ip unnumbered FastEthernet0/1
ip ospf 1 area 0

ip route 0.0.0.0 0.0.0.0 23.1.1.1

因为server端下放了保存策略，所以可以直接在client上输入用户密码，设置为自动拨入，这里为扩展模式是为了，总部和分支都能互访。

查看OSPF的邻居状态

有些版本会提示MTU不匹配，所以一般在center端忽略MTU就行了。

虚拟模板只是调用策略，当一个Client建立***后，就会自动建立一个虚拟接口，这个虚拟接口的策略自动继承虚拟模板的策略。

如果想针对不同的group设置不同的策略，比如QOS或者ACL，那么就可以启用多个虚拟模板，不同的模板建立不同的策略就行了。

在Center的server上没定义source是可以让多个***接口可以拨入，它会自动的以对方的源作为目的，对方的目的作为源地址。

优化

1 、关于DVTI只支持OSPF的形式进行宣告，所以只需要更改hello间隔就行了

2、MTU改为1436，TCP MSS改为1400，防止分片

总结：这个解决方案，其实可以实现Center也是动态IP，只需要一个动态域名解析即可，另外，如果两端是CIsco设备就建议用EZ***，这样无论是想实现总部访问分支，还是建立多个***站点，都只需要一个或多个（不同策略下放），因为虚拟模板会自动建立虚拟接口，而不需要用到多个Tunnel口了。

本文转载于公众号：网络之路博客