ASA做ezvpn的服务器端:

泰克实验室塑造

ASA做ezvpn的服务器端:
8.0及其以后版本,client模式,可以不做reverse-route,自动把地址池的地址填加到自己的路由表中
在ASA上做EZVPN服务器端的时候,如果是客户端模式,可不写reverse-route,拨号成功,ASA自动把下发的地址写进自己路由表,32位的路由.如果对端是网络扩展模式,必须写reverse-route,
写了反向路由注入,则路由表中自动填加上客户端私网的路由,没有NAT的过程.掩码是对端私网的掩码长度.
通过路由器做客户端的时候,从那个inside接口上来的所有PC和下发的地址池是PAT,不同的路由器分不同的地址,它们之间不相干,例如R1分3.3.3.1,R2拨号分3.3.3.2.但是R1上连着多个PC,
所有的PC分一个IP,多个地址对应一个地址池的地址,所以sh ip nat translation可以看到端口转换条目.
server不管是网络扩展模式或是client模式,它动态写进路由表的条目的下一跳都是ASA本身下一跳的地址
而路由器做客户端的时候,去往的目的地址,需要手动填加,否则出不去.但是PC上不需要手动填加去感兴趣流的路由,因为server向下推split tunnel的时候,已经把路由条目推下来了.这一规则仅限于PC上.
适用情况:单向发起访问用CLIENT模式,因为用server地址池的地址,需要client触发.
        双向发起访问用network-extention,因为的拨号成功,自动把client的地址写进路由表了,所以可以server端先发起.两种模式在server的下一跳就是传统上原来应该的下一跳IP.
在ASA server上如果没设置密码保存,则在client路由器上不能预先把用户口令写进去,否则报错:
Mar  1 00:02:32.751: EZVPN(ezvpn1) Server does not allow save password option,
enter your username and password manually
pre share key client初始化认证用积极模式,采用数字证书用主模式
server匹配策略,从policy号最大的开始,找到第一个匹配的则结束,否则一直向下匹配

zhaochunhui

phil

Thanks for your information.