多厂商VPN系列之十一：Easy VPN完美解决方案 | 网络之路博客（公众号同名）（其他平台网络之路Blog）

【汇总】学习VPN其实很简单

文档帖子汇总学习视频 Book与实验手册学习必备软件博主也只是业余时间写写技术文档，请大家见谅，大家觉得不错的话，可以推荐给朋友哦，博主会努力推出更好的系列文档的。如果大家有任何疑问或者文中有错误跟疏忽的地方，欢迎大家留言指出，博主看到后会第一时间修改，谢谢大家的支持，更多技术文章尽在网络之路博客，http://ccieh3c.com 。

简介

通常EZVPN解决的是一个小型站点连接总部的方案，小型站点就是后面的直连网络能够访问总部的资源，这对于一些特殊需求，就不适应了，在新版的VPN中，Cisco 提供了一些不错的解决方案，就是DVTI的隧道和OSPF不在同一网段建立邻居的特性。

有时候，我们希望分部通过ADSL获取的公网地址，总部是固定IP，希望总部能主动访问分部，而且隧道永久存在。之前介绍过可以通过DVTI的形式来容纳无论多少个分支的建立，那么我们可以把这个特性放入到EZVPN中。其实，如果熟悉DDNS解决方案的话，那么无论总部和分部是否固定IP，都是可以的，只要有动态域名的解析。

这里注意的是，新版VPN特性很少使用crypto map的形式来配置VPN了，更多的是profile的形式，在tunnel口建立，这样的好处是，不受其他业务的影响，比如NAT、分片，并且更加有效的部署QOS、ACL、VRF等许多feature

Center 配置

interface FastEthernet0/0
ip address 12.1.1.1 255.255.255.0

ip route 0.0.0.0 0.0.0.0 12.1.1.2
!
aaa new-model
!
!
aaa authentication login ezvpn local
aaa authorization network ezvpn local

crypto isakmp policy 10
encr 3des
authentication pre-share
group 2
!
crypto isakmp client configuration group ezvpn
key cisco
save-password
crypto isakmp profile profile
match identity group ezvpn
client authentication list ezvpn
isakmp authorization list ezvpn
client configuration address respond
virtual-template 100
!
!
crypto ipsec transform-set trans esp-des esp-md5-hmac
!
crypto ipsec profile profile
set transform-set trans

!
interface Virtual-Template100 type tunnel
ip unnumbered FastEthernet0/0
ip ospf 1 area 0
tunnel mode ipsec ipv4
tunnel protection ipsec profile profile
!
router ospf 1
log-adjacency-changes

注意下Center端的配置，发现profile中并没有关联上isakmp的profile，这是为什么呢，因为它直接用isakmp profile关联了虚拟模板接口，所以直接调用在虚拟模板了，并且这个虚拟模板又与第二阶段的策略调用了。

Branch

crypto ipsec client ezvpn branch
connect auto
group ezvpn key cisco
mode network-extension
peer 12.1.1.1
virtual-interface 1
username admin password cisco
xauth userid mode local

interface Loopback0
ip address 1.1.1.1 255.255.255.255
crypto ipsec client ezvpn branch inside
!
interface FastEthernet0/1
ip address 23.1.1.2 255.255.255.0
crypto ipsec client ezvpn branch
!
interface Virtual-Template1 type tunnel
ip unnumbered FastEthernet0/1
ip ospf 1 area 0

ip route 0.0.0.0 0.0.0.0 23.1.1.1

因为server端下放了保存策略，所以可以直接在client上输入用户密码，设置为自动拨入，这里为扩展模式是为了，总部和分支都能互访。

查看OSPF的邻居状态

有些版本会提示MTU不匹配，所以一般在center端忽略MTU就行了。

虚拟模板只是调用策略，当一个Client建立VPN后，就会自动建立一个虚拟接口，这个虚拟接口的策略自动继承虚拟模板的策略。

如果想针对不同的group设置不同的策略，比如QOS或者ACL，那么就可以启用多个虚拟模板，不同的模板建立不同的策略就行了。

在Center的server上没定义source是可以让多个VPN接口可以拨入，它会自动的以对方的源作为目的，对方的目的作为源地址。

优化

1 、关于DVTI只支持OSPF的形式进行宣告，所以只需要更改hello间隔就行了

2、MTU改为1436，TCP MSS改为1400，防止分片

总结：这个解决方案，其实可以实现Center也是动态IP，只需要一个动态域名解析即可，另外，如果两端是CIsco设备就建议用EZVPN，这样无论是想实现总部访问分支，还是建立多个VPN站点，都只需要一个或多个（不同策略下放），因为虚拟模板会自动建立虚拟接口，而不需要用到多个Tunnel口了。

下载对应文档

百度盘下载博客资源汇总与学习思路如果下载地址失效，请联系博主或者在下面留言，谢谢。下面也有其他您需要的资源推荐哦

关于博客资源下载说明

首先，感谢大家对网络之路博客的支持，本站所有资源都是开放下载，不做任何限制，资源都是上传在百度盘，分为两种类型：
（1）第一种是书籍PDF与视频类，全部放在博客分享，觉得对大家学习有帮助的博主会收集好、然后以博主的经验整理分类后排序好分享出来。
（2）第二种是技术性文章与视频，全部放在公众号（网络之路博客）/B站（网络之路Blog）发布，以博主原创为主，主要分享系列为主，由浅入深的带大家了解工作中常用到的一些网络技术，当然也会分享一些比较经典的案例。
（3）分享资源有涉及到您的利益以及版权问题，请联系博主，24小时候内删除。
想第一时间收到最新更新内容吗，点击获取~~~