安全与 VPN : EzVPN

Easy VPN客户机和服务器在同一个接口

2016 年 10 月 24 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 5 月 6 日) | 反馈

简介

本文描述遇到的问题,当Cisco Easy Vpn客户端和Cisco Easy VPN服务器在运行Cisco IOS版本15.2(1)T或以上的同一个接口时使用。

贡献用温张和古斯塔沃Medina, Cisco TAC工程师。 

先决条件

要求

思科建议您有Easy VPN配置知识。

提示:参考Easy VPN配置指南, Cisco IOS版本15M&T关于配置细节。

使用的组件

本文档中的信息根据Cisco IOS版本15.2(1)T和以后。 

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。 

背景信息 

Cisco IOS版本15.2(1)T和更加早期的支持这些功能,最新版本不再支持:

  • Easy VPN Remote和服务器在同一个接口–允许和Easy VPN Server将支持此功能同一个接口Easy VPN Remote,成为它可能对建立一个通道对另一Easy VPN Server并且同时终止Easy VPN客户机在同一个接口。一典型的应用程序介入Easy VPN Remote用于为了连接到一个公司Easy VPN软件服务器并且为了终止本地软件客户端用户的一地理远程位置。

  • Easy VPN Remote和站点到站点在同一个接口– (加密映射)同一个接口支持此功能允许Easy VPN Remote和站点到站点,成为它可能对两建立一个通道对另一Easy VPN Server并且同时有别的站点到站点在同一个接口。一典型的应用程序介入通过站点到站点通道管理一个远程路由器并且使用Easy VPN Remote为了连接远程站点到一公司Easy VPN Server的一个第三方VPN服务提供商。

提示:参考Easy VPN Remote和服务器在Easy VPN配置指南的同一个接口部分, Cisco IOS版本15M&T其他信息。

问题

当您应用加密映射对为IOS Easy VPN已经配置的接口时, crypto map命令没有应用对该接口。

Cisco IOS行为更改

在Cisco IOS版本15.2(1)T中和以后,这不是支持的配置,因为多个安全关联数据库(SADBs)没有为每个接口被添加。

注意:此问题在Cisco Bug ID CSCtx47112被跟踪–加密映射不可能为EzVPN应用对配置的同一个接口

解决方案

为了解决此问题,从传统Easy VPN分离加密映射配置和移动他们中的一个对一虚拟通道基于接口的(基于VTI的)配置:

  • 更改站点到站点加密映射对与通道保护的通用路由封装(GRE) /IPSec或获取VTI (SVTI)。

  • 更改Easy VPN对FlexVPN。


Document ID: 118942