低成本高安全某集团VPN组网案例

dn001 2008-11-23 00:23:59

Easy VPN的配置

本节之前介绍的案例是站点到站点VPN，实现站点到站点的VPN和远距离工作者或工作在外的员工所使用的远程访问类型的VPN不同的是：站点到站点VPN利用连接两端的网关，（Internet上）网关到网关的流量是加密的。

为了向远距离工作者或工作在外的员工所提供的远程访问类型的VPN，是不是也要配置那么多的命令和参数呢？很多用户会提出有没有简单点的VPN配置来完成这样的要求。本节介绍一种简单的VPN配置，即Easy VPN。

Easy VPN概述

从Easy VPN的名字上就知道这应该是个简单的VPN应用技术。Easy VPN分为Easy VPN Server和Easy VPN Remote两种。Easy VPN Server是Remote－Access VPN专业设备，配置复杂，支持Policy Pushing等特性。现在的900、1700、Pix、Vpn 3002和ASA等很多设备都支持。

而Easy VPN Remote就是专门为了小的分支机构所设计的，一般情况下，小分支接口的网络管理员的水平没有那么高，不可能去配置一堆复杂命令来实现Site－to－Site VPN，这时候，只需要通过Easy VPN Remote这个特性配置几条简单的命令，就可以Site－to－Site VPN。所有的配置都在Server端来完成，Client的VPN配置都由Server端采用"推"的方式应用到分支机构的设备上。这种技术极大地避免了分支机构配置VPN失败的问题。但这种VPN不支持路由，不支持组播，只能在IP协议下工作，不支持状态故障切换等技术。所以，需要网络管理员在自己的实际工作中留意这些功能是否需要，再决定是否实施Easy VPN技术。

基于命令行的Easy VPN配置实例

下面介绍一个基于IOS命令行的Easy VPN Server/Remote配置实例，如图2所示。