Easy VPN应用：实现移动办公远程接入1

Easy VPN应用：实现移动办公远程接入1

为了向远距离工作者或工作在外的员工所提供的远程访问类型的VPN，是不是也要配置那么多的命令和参数呢？很多用户会提出有没有简单点的VPN配置来完成这样的要求。本节介绍一种简单的VPN配置，即Easy VPN。

　　移动VPN技术：Easy VPN

　　从Easy VPN的名字上就知道这应该是个简单的VPN应用技术。Easy VPN分为Easy VPN Server和Easy VPN Remote两种。Easy VPN Server是Remote－Access VPN专业设备，配置复杂，支持Policy Pushing等特性。现在的900、1700、Pix、Vpn 3002和ASA等很多设备都支持。

　　而Easy VPN Remote就是专门为了小的分支机构所设计的，一般情况下，小分支接口的网络管理员的水平没有那么高，不可能去配置一堆复杂命令来实现Site－to－Site VPN，这时候，只需要通过Easy VPN Remote这个特性配置几条简单的命令，就可以Site－to－Site VPN。所有的配置都在Server端来完成，Client的VPN配置都由Server端采用“推”的方式应用到分支机构的设备上。这种技术极大地避免了分支机构配置VPN失败的问题。但这种VPN不支持路由，不支持组播，只能在IP协议下工作，不支持状态故障切换等技术。所以，需要网络管理员在自己的实际工作中留意这些功能是否需要，再决定是否实施Easy VPN技术。

　　基于命令行的Easy VPN配置实例

　　下面介绍一个基于IOS命令行的Easy VPN Server/Remote配置实例，如图所示。　

　　图Easy VPN接入

　　RouterServer的配置如下。

crypto　isakmp　policy　1　

encryption　3des　

authentication　pre-share　

group　2　

crypto　isakmp　client　configuration　address-pool　local　pool192　

ip　local　pool　pool192　192.168.1.1　192.168.1.254

crypto　isakmp　client　configuration　group　vclient-group　

key　vclient-key　

domain　test.com　

pool　pool192　

crypto　IPsec　transform-set　vclient-tfs　esp-3des　esp-sha-hmac　

crypto　dynamic-map　template-map　1　

set　transform-set　vclient-tfs　

crypto　map　vpnmap　isakmp　authorization　list　vclient-group　

crypto　map　vpnmap　client　configuration　address　respond　

crypto　map　vpnmap　1　IPsec-isakmp　dynamic　template-map　

interface　Loopback0　

ip　address　172.16.1.1　255.255.255.240　

interface　FastEthernet0　

ip　address　10.130.23.246　255.255.255.240　

crypto　map　vpnmap　

ip　route　192.168.1.0　255.255.255.0　FastEthernet0　

show　cry　isakmp　sa　

show　cry　IPsec　sa　

clear　cry　sa　

clear　cry　isakmp　

debug　cry　isakmp　

debug　cry　IPsec