【TechTarget中国原创】在前面的文章中，我们探讨了如何创建VPN网关，如何使用Cisco路由器作为网关来实现客户端，以及如何实现Cisco软件VPN客户端。现在我们将检查Cisco EzVPN使用Cisco路由器作为VPN网关和Cisco路由器硬件客户端来支持Network-to-Network VPN拓扑。我们将同时使用全加密和半隧道两种体系结构。对于软件客户端解决方案有局限的地方，硬件客户端解决方案则更灵活。我们的两个例子都可用于提供对远程办公连接、租用专线或其他提供备份或二次连接的VPN链路的基本支持。

　　互操作性是基于IPsec标准的产品的优点，但是能使产品更上一个台阶的是在IPsec之上开发的技术。传统的Network-to-Network互操作性指的是两个各自运行着不同供应商的IPsec解决方案的已知IPsec节点能够实现IKE认证、交换密钥、建立SA以及修饰、传输和接收安全流量。这些基本元素并不足以构成企业级VPN解决方案。高可用、路由协议支持、宽认证选项和数据包分片处理等等也是构成企业级VPN解决方案的必要元素。当你在实验室花了一整天时间来设法使两个不同供应商的基于IPsec的VPN可以互操作，你很快就会知道一个特定供应商的解决方案的吸引人之处并不在于它对IPsec标准的支持，而在于供应商在这些标准之上开发的功能。

【TechTarget中国原创】在前面的文章中，我们探讨了如何创建VPN网关，如何使用Cisco路由器作为网关来实现客户端，以及如何实现Cisco软件VPN客户端。现在我们将检查Cisco EzVPN使用Cisco路由器作为VPN网关和Cisco路由器硬件客户端来支持Network-to-Network VPN拓扑。我们将同时使用全加密和半隧道两种体系结构。对于软件客户端解决方案有局限的地方，硬件客户端解决方案则更灵活。我们的两个例子都可用于提供对远程办公连接、租用专线或其他提供备份或二次连接的VPN链路的基本支持。

　　互操作性是基于IPsec标准的产品的优点，但是能使产品更上一个台阶的是在IPsec之上开发的技术。传统的Network-to-Network互操作性指的是两个各自运行着不同供应商的IPsec解决方案的已知IPsec节点能够实现IKE认证、交换密钥、建立SA以及修饰、传输和接收安全流量。这些基本元素并不足以构成企业级VPN解决方案。高可用、路由协议支持、宽认证选项和数据包分片处理等等也是构成企业级VPN解决方案的必要元素。当你在实验室花了一整天时间来设法使两个不同供应商的基于IPsec的VPN可以互操作，你很快就会知道一个特定供应商的解决方案的吸引人之处并不在于它对IPsec标准的支持，而在于供应商在这些标准之上开发的功能。

　　虽然Cisco的ExVPN的出现对于许多IPsec传统用户来说是个噩梦，但EzVPN的确是一个建立在IPsec之上的非常棒的技术，它使IPsec VPN可以满足企业级的需求。使用EzVPN模型的前提是VPN网关或核心设备的功能应该是足够强大的，它们要能够控制节点连接参数，至少是可用的。相反，VPN客户端或边缘设备应该尽量简单，只要有刚好足够的信息去连接核心设备就行。可以说这个模型与传统的IPsec做法是完全相反的，传统的IPsec模型要求所有IPsec节点都是一样的。

　　Cisco使用它的Unity Client Protocol（UCP）来实现这个非传统的IPsec节点配置，以改善网关和客户端之间的通信，并使VPN网关下发隧道参数、SA寿命和认证等等到客户端，从而允许客户端返回安全控制中的网络信息。网关和客户端交互的是配置数据，不包括静态密码图和XAUTH认证信息。

　　EzVPN硬件客户端在Cisco 8xx、176x、18xx、26xx、37xx和38xx平台上都是支持的。而EzVPN网关一般是实现在38xx或72xx平台上。EzVPN硬件客户端支持两种模式：客户端（Client）和网络扩展（Network Extension）。在客户端模式（EZ-CM）中，路由器设置的IP地址是在VPN网关的客户端地址池外的。VPN地址是在路由器上动态配置并绑定到loopback接口上。当VPN连接建立后，所有的流量都使用Port Address Translation (PAT)进行转发。这是Cisco VPN客户端操作的根本。像软件客户端一样，地隧道或全加密安全模型都是支持的。EZ-CM是有限制值的，可能除了家庭办公环境外，因为家庭办公环境中你可以更容易使用软件客户端。

　　网络扩展模式（EZ-NEM）允许远程路由器为直接和间接连接网络建立IPsec窥视和VPN网关，并且支持一个 “路由的” 完全动态的通信模型。VPN网关并不需要IP网络或者远程节点IP地址去建立IPsec策略。硬件客户端使用名称“outside”来表示公共或非安全网络接口，而“inside”表示连接到特定网络的路由器接口，其中特定网络包括安全网络，以及定义好的网络，这些网络不是直接连接的，而是通过连接到一个指派的安全段的网关到达的，它们可以用ACL包含在EZ-NEM策略中。EZ-NEM客户端也支持网关冗余和动态路由。

　　在我们的第一个硬件客户端设计中，一个小型本地办公室需要与公司数据网络和其他远程办公室建立可靠的连接。这个公司使用了VPN，因为它可以提供高性价比的网络连接。由于公司同时要监控Internet使用状况，所以所有外部Internet访问都必须经过公司的防火墙。该办公室已经有一个宽带Internet连接。我们将使用一个全加密策略实现一个冗余VPN网关核心解决方案，以提供对核心服务器LAN分段、远程办公网络和Internet的访问。

　　下面是我们实现的同时支持两个硬件客户端例子（红色是第二个例子）的VPN网关的配置：

　　I．AAA配置：

　　II．ISAKMP阶段I配置：

    III．ISAKMP阶段II配置：

　　IV．密码图安装接口、Internet策略路由和IP路由配置：

    为了实现远程办公室与其他位置的通信，核心路由器必须利用一个动态路由协议来告知他们已经建立对等关系的远程网络。这是通过整合使用动态路由协议、静态路由再分配和Reverse Route Injection（RRI）来实现的。作为密码图策略选项之一的RRI是使用配置命令<reverse-route>激活的。激活RRI后，网关设备会在客户端和网关建立IPsec窥视后，动态将静态路由添加到它的安全网络和相关远程隧道终端路由表中。然后这些静态路由就可以通过一个路由协议，如OSPF或BGP，再分配下去。上面的例子中使用了OSPF来再分配远程网络。

　　现在你已经创建了硬件网关，你将需要继续学习关于客户端的知识。