简介
本文描述在运行Cisco IOS® 15.2(1)T版或更高版本的同一接口上使用Cisco Easy VPN客户端和Cisco Easy VPN服务器时遇到的问题。
先决条件
要求
思科建议您了解Easy VPN配置。
提示:有关配置详细信息,请参阅《Easy VPN配置指南,Cisco IOS版本15M&T》。
使用的组件
本文档中的信息基于Cisco IOS版本15.2(1)T及更高版本。
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。
背景信息
Cisco IOS版本15.2(1)T及更低版本支持以下功能,这些功能在更高版本中不再受支持:
- Easy VPN Remote和同一接口上的服务器 — 此功能允许在同一接口上支持Easy VPN Remote和Easy VPN Server,这使得可以同时建立到另一个Easy VPN服务器的隧道并终止同一接口上的Easy VPN客户端。典型应用涉及一个地理位置较远的位置,使用Easy VPN Remote来连接到公司Easy VPN软件服务器,并终止本地软件客户端用户。
- Easy VPN远程和同一接口上的站点到站点 — 此功能允许在同一接口上支持Easy VPN远程和站点到站点(加密映射),这使得可以同时建立到另一个Easy VPN服务器的隧道和在同一接口上同时拥有另一个站点到站点。典型的应用包括第三方VPN服务提供商,该服务提供商通过站点到站点隧道管理远程路由器并使用Easy VPN Remote将远程站点连接到公司Easy VPN服务器。
提示:有关其他信息,请参阅Cisco IOS 15M&T版本的Easy VPN配置指南的“Easy VPN Remote and Server on the Same Interface”部分。
问题
将加密映射应用到已为IOS Easy VPN配置的接口时,crypto map命令不会应用到该接口。
Cisco IOS行为更改
在Cisco IOS版本15.2(1)T及更高版本中,这不是受支持的配置,因为每个接口未添加多个安全关联数据库(SADB)。
注意:此问题在Cisco Bug ID CSCtx47112中跟踪- Crypto map cannot be applied to the same interface configured for ezvpn。
解决方案
要解决此问题,请将加密映射配置与传统Easy VPN分离,并将其中一个配置移至基于虚拟隧道接口(基于VTI)的配置:
- 将站点到站点加密映射更改为具有隧道保护或安全VTI(SVTI)的通用路由封装(GRE)/IPSec。
- 将Easy VPN更改为FlexVPN。
反馈