EzVPN技术简介和在packet tracer上模拟实验

EzVPN是cisco独有的远程接入VPN技术，是在IPsec建立的两个阶段（IKE 阶段和IPSEC阶段）多了一个2.5阶段（用户认证阶段）。

以IPsec为基础来实现VPN功能，EzVPN能够自动去分析和完成VPN的配置和连接。以保证IPsec VPN的正常连接。

其中主要的设备：

分为EzVPN server 、EzVPN remote、 EzVPN client 本文主要将EzVPN和EzVPN client之间的技术原理和实现方法。 原理：

EzVPN server 配置好各种策略，然后直接告诉EzVPN该使用什么样的IPsec策略。因为client使用的EzVPN软件已经预先集成了几乎所有的IPsec策略，当EzVPNclient收到server 推送的IPsec策略之后，就从自己预先定义好的策略库中选出完全匹配的策略来应用，最终在与EzVPN server双方IPsec保持一致之后建立IPsecVPN。

成功连接到EzVPN server之后的EzVPN client都会从EzVPN server获得一个靠DHCP自动分发的IP地址。默认掩码是/32，并且EzVPN server为了区分分配出去的IP地址分别对应着哪个EzVPN client，它会自动产生一个/32位的静态路由指向对应的EzVPN client。还包括将该路由重分布进各动态路由协议，重分布需要手动开启reverse route injection（RRI）才能启用。

还需要定义感兴趣的流量，区分是去访问总部内部网络还是Internet。隧道分离技术（split tunneling）让EzVPN client只将需要发到公司总部的流量才通过IPsec VPN加密发到EzVPN server，而其他流量发到Internet 的流量还是从正常接口出去。Split tunneling 是在EzVPN server上个配置的，配置之后会告知client区分发送的流量，通过ACL匹配相当的流量，并应用到crypto map。

EzVPN client断开之后EzVPN server不是马上就能知道的，在EzVPN client再次发起连接时。EzVPN server会在接到新的连接请求时候删除与该EzVPN client旧连接而接受新的连接，这是lnitial contact功能，默认是开启的。

名词解释：

group-based policy control ： EzVPN client向EzVPN server发起认证的时，需要通过AAA认证。当通过认证之后，EzVPN server 根据一个ISAKMP组分配某些策略。如果EzVPN client提供的认证信息没有与定义好的ISAKMP组匹配，那么足与默认的IKAMP 组匹配。但默认的ISAKMP组也是需要定义的（一个ISAKMP组中所有的用户用到的策略都是相同的）

User-based policy control ：为属于同一个ISAKMP组的不同用户分发不同的策略

User-based policy control （为属于同一个ISAKMP组的不同用户分发不同的策略）是基于特定用户分发的策略优先于group-based policy control。

配置示例：

实验拓扑

实验说明：

远程PC需要直接使用私有地址来访问总部的4.4.4.4/32。PC需要先和R1的公网出口能够通信，然后才能与私网之间建立穿越公网的通信。NAT-enable路由器负责最PC所在的网段30.1.1.0/24进行NAT转换。其实PT还是很强大的，GNS3模拟虽然更加真实，但是模拟EzVPN的时候却有各种很麻烦的事情。

配置基础网络环境

EzVPN-server路由器 Router>en Router#conf t

Enter configuration commands, one per line. End with CNTL/Z. Router(config)#hostname EzVPN-server EzVPN-server(config)#int fa 0/0 EzVPN-server(config-if)#no sh

EzVPN-server(config-if)#ip add 12.1.1.1 255.255.255.0

EzVPN-server(config-if)#int fa 0/1 EzVPN-server(config-if)#no sh

EzVPN-server(config-if)#ip add 10.1.1.1 255.255.255.0

EzVPN-server(config-if)#ip route 0.0.0.0 255.255.255.255 10.1.1.4 EzVPN-server(config)#ip route 0.0.0.0 0.0.0.0 12.1.1.2

Internet路由器

Router>en Router#conf t

Router(config)#hostname Internet Internet(config)#int fa 0/0 Internet(config-if)#no sh

Internet(config-if)#ip add 12.1.1.1 255.255.255.0 Internet(config-if)#int fa 0/1 Internet(config-if)#no sh

Internet(config-if)#ip add 23.1.1.2 255.255.255.0 Internet(config-if)#int lo 0

Internet(config-if)#ip add 2.2.2.2 255.255.255.0 Internet(config-if)#line vty 0 15 Internet(config-line)#no login Internet(config-line)#

NAT-enable路由器

Router>en Router#conf t

Router(config)#hostname NAT-enable NAT-enable(config)#int fa 0/0 NAT-enable(config-if)#no sh

NAT-enable(config-if)#ip add 30.1.1.3 255.255.255.0 NAT-enable(config-if)#int fa 0/1 NAT-enable(config-if)#no sh

NAT-enable(config-if)#ip add 23.1.1.3 255.255.255.0

NAT-enable(config-if)#ip route 0.0.0.0 0.0.0.0 23.1.1.2 NAT-enable(config)#ser

NAT-enable(config)#service ? //不支持service DHCP命令，PT模拟器上默认不需配置

nagle Enable Nagle's congestion control algorithm password-encryption Encrypt system passwords timestamps Timestamp debug/log messages NAT-enable(config)#ip dhcp pool net30

NAT-enable(dhcp-config)#network 30.1.1.0 255.255.255.0 NAT-enable(dhcp-config)#default-router 30.1.1.3

NAT-enable(dhcp-config) #ip dhcp excluded-address 30.1.1.3 NAT-enable (config)#int fa 0/0 NAT-enable(config-if)#ip nat inside NAT-enable(config-if)#int fa 0/1 NAT-enable(config-if)#ip nat outside NAT-enable(config-if)#exit

NAT-enable(config)#access-list 3 permit any

NAT-enable(config)#ip nat inside source list 3 interface fastEthernet 0/1 overload

总部路由器

Router>en Router#conf t

Router(config)#hostname zongbu zongbu(config)#int fa 0/1 zongbu(config-if)#no sh

zongbu(config-if)#ip add 10.1.1.4 255.255.255.0 zongbu(config-if)#int lo 0

zongbu(config-if)#ip add 4.4.4.4 255.255.255.0 zongbu(config-if)#ip route 0.0.0.0 0.0.0.0 10.1.1.1 zongbu(config)#line vty 0 15 zongbu(config-line)#no login

测试基础网络环境

查看PC机的地址情况

测试NAT-enable 路由器到总部EzVPN路由器的连通性

NAT-enable(config)#do ping 12.1.1.1

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 12.1.1.1, timeout is 2 seconds: .!!!!

Success rate is 80 percent (4/5), round-trip min/avg/max = 1/4/6 ms

NAT-enable(config)#

说明：因为NAT-enable与EzVPN都有默认路由指向nternet路由器，所以两者通信正常。

测试NAT-enable到Internet的loopback连通性：

NAT-enable(config)#do ping 2.2.2.2

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 2.2.2.2, timeout is 2 seconds: !!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/4 ms

NAT-enable(config)#

说明：因为有默认路由指向Internet，所以NAT-enable与Internet的loopback通信正常

测试NAT-enable到总部路由器的10.1.1.0/24和4.4.4.4/32的连通性

NAT-enable(config)#do ping 10.1.1.4

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 10.1.1.4, timeout is 2 seconds: U.U.U

Success rate is 0 percent (0/5)

NAT-enable(config)#

NAT-enable(config)#do ping 4.4.4.4

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 4.4.4.4, timeout is 2 seconds: U.U.U

Success rate is 0 percent (0/5)

NAT-enable(config)#

说明：Internet只有公网路由，只能保证NAT-enable与EzVPN-server之间的通信。所以NAT-enable无法访问总部的私有网段10.1.1.0/24和4.4.4.4/32。

查看Internet的路由表

Internet#show ip route

Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area * - candidate default, U - per-user static route, o - ODR P - periodic downloaded static route

Gateway of last resort is not set

2.0.0.0/24 is subnetted, 1 subnets C 2.2.2.0 is directly connected, Loopback0 12.0.0.0/24 is subnetted, 1 subnets

C 12.1.1.0 is directly connected, FastEthernet0/0 23.0.0.0/24 is subnetted, 1 subnets

C 23.1.1.0 is directly connected, FastEthernet0/1 Internet#

说明：模拟Internet，所以没写任何路由，只负责保证EzVPN-server和NAT-enable能够通信即可

测试PC到EzVPN-server的连通性

PC>ping 12.1.1.1

Pinging 12.1.1.1 with 32 bytes of data:

Reply from 12.1.1.1: bytes=32 time=8ms TTL=254 Reply from 12.1.1.1: bytes=32 time=9ms TTL=254 Reply from 12.1.1.1: bytes=32 time=8ms TTL=254 Reply from 12.1.1.1: bytes=32 time=10ms TTL=254

Ping statistics for 12.1.1.1:

Packets: Sent = 4, Received = 4, Lost = 0 (0% loss), Approximate round trip times in milli-seconds: Minimum = 8ms, Maximum = 10ms, Average = 8ms PC>

说明：因为PC的默认网关指向NAT-enable 并且NAT-enable已经配置NAT将PC所在的网段全部转换成接口地址23.1.1.3出去，所以PC与EzVPN之间通信正常

测试PC到Internet路由器的loopback连通性

PC>ping 2.2.2.2

Pinging 2.2.2.2 with 32 bytes of data:

Reply from 2.2.2.2: bytes=32 time=22ms TTL=254 Reply from 2.2.2.2: bytes=32 time=4ms TTL=254 Reply from 2.2.2.2: bytes=32 time=3ms TTL=254 Reply from 2.2.2.2: bytes=32 time=5ms TTL=254

Ping statistics for 2.2.2.2:

Packets: Sent = 4, Received = 4, Lost = 0 (0% loss), Approximate round trip times in milli-seconds: Minimum = 3ms, Maximum = 22ms, Average = 8ms PC>

说明：原因与PC可以连通12.1.1.1相同。

查看PC与Internet通信时的源地址

PC>telnet 2.2.2.2 Trying 2.2.2.2 ...Open

Internet>show us

Internet>show users

Line User Host(s) Idle Location * 67 vty 0 idle 00:00:00 23.1.1.3

Interface User Mode Idle Peer Address Internet>

说明：因为NAT-enable已经配置NAT将PC所在的网段全部转换成接口地址23.1.1.3出去，所以PC是使用源地址23.1.1.3与Internet路由器通信的，同样也应该使用源地址23.1.1.3与EzVPN-server通信的。

测试PC到公司总部10.1.1.0/24和4.4.4.4/32的连通性

PC>ping 10.1.1.4

Pinging 10.1.1.4 with 32 bytes of data:

Reply from 23.1.1.2: Destination host unreachable. Reply from 23.1.1.2: Destination host unreachable. Reply from 23.1.1.2: Destination host unreachable. Reply from 23.1.1.2: Destination host unreachable.

Ping statistics for 10.1.1.4:

Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),

PC>ping 4.4.4.4

Pinging 4.4.4.4 with 32 bytes of data:

Reply from 23.1.1.2: Destination host unreachable. Reply from 23.1.1.2: Destination host unreachable. Reply from 23.1.1.2: Destination host unreachable. Reply from 23.1.1.2: Destination host unreachable.

Ping statistics for 4.4.4.4:

Packets: Sent = 4, Received = 0, Lost = 4 (100% loss), PC>

说明：因为连NAT-enable都不能与10.1.1.0/24和4.4.4.4/32通信，所以PC也不能。

查看NAT-enable路由器的NAT转换表

NAT-enable#show ip nat translations

Pro Inside global Inside local Outside local Outside global tcp 23.1.1.3:1025 30.1.1.1:1025 2.2.2.2:23 2.2.2.2:23 tcp 23.1.1.3:1026 30.1.1.1:1026 2.2.2.2:23 2.2.2.2:23

NAT-enable#

NAT-enable路由器已经将PC发往外部的数据源地址转换成自己的接口地址23.1.1.3

在EzVPN-server上配置EzVPN

EzVPN-server(config)#aaa new-modle //开启AAA认证

EzVPN-server(config)#aaa authentication login cisco1 local //命名cisco1，对cisco1 认证

EzVPN-server(config)#aaa authorization network cisco2 local //命名cisco2，对cisco2 的时间授权

EzVPN-server(config)#username chinaccie password chinaccie //创建用户名密码 说明：路由器上AAA为EzVPN的必配部分，定义本地用户数据库认证，并创建了本地用户名chinaccie以及密码chinaccie

配置IKE（ISAKMP）策略

EzVPN-server(config)#crypto isakmp policy 1 //IPsec阶段一的安全参数配置 EzVPN-server(config-isakmp)#encryption 3des EzVPN-server(config-isakmp)#hash sha

EzVPN-server(config-isakmp)#authentication pre-share EzVPN-server(config-isakmp)#group 2

说明：定义了ISAKMP policy 1，加密方式为3des，hash算法为sha，认证方式为pre-shared keys（diffie-hellman）为group 2。

定义EzVPN client连接上来后自动分配的地址池

EzVPN-server(config)#ip local pool net10 10.1.1.100 10.1.1.200 //EzVPN接入后所分配的地址

说明：分配给E zVPN client连接上来后地址池为10.1.1.100-10.1.1.200

配置用户组策略

每个连接上来的EzVPN client都与一个用户组相关联，如果没有配置特定组，但配置了默认组，用户将和默认组相关联

EzVPN-server(config)#crypto isakmp client configuration group chinaccie //EzVPN组和密码配置

EzVPN-server(config-isakmp-group)#key cisco123 EzVPN-server(config-isakmp-group)#pool net10

说明：用户组名为chinaccie，该组的密码为cisco123，所有连接上来的client分配的地址池名为net10，即前面定义的地址池，以及其它一些参数。

配置IPsec transform

EzVPN-server(config-isakmp-group)#exit

EzVPN-server(config)#crypto ipsec transform-set ccie esp-3des esp-sha-hmac IPsec阶段二的配置

说明：配置transform-set为ccie，其中数据封装使用esp加3des加密，并且使用esp结合sha做hash计算，默认的IPsec mode为tunnel。

定义crypto map

EzVPN-server(config)#crypto dynamic-map mymap ? <1-65535> Sequence to insert into dynamic-map entry

EzVPN-server(config)#crypto dynamic-map mymap 1 //动态加密图 EzVPN-server(config-crypto-map)#reverse-route //反向路由注入 EzVPN-server(config-crypto-map)#set transform-set ccie

说明：动态crypto map 和静态crypto map 都可以，调用的IPsec transform为ccie，在路由器中必须配置reverse-route功能

关联认证信息

EzVPN-server(config-crypto-map)#exit

EzVPN-server(config)#crypto map ez client configuration address respond //如果client是1.x，则不是respond而是initiate

EzVPN-server(config)#crypto map ez client authentication list cisco1 定义认证 EzVPN-server(config)#crypto map ez isakmp authorization list cisco2 定义认证查询IKE querying

EzVPN-server(config)#crypto map ez 1 ipsec-isakmp dynamic mymap

说明：以上是对EzVPN的认证，授权配置，list是调用上面的AAA配置名，并且最后，动态加密图必须有静态绑定。

应用crypto map

EzVPN-server(config)#int fa 0/0

EzVPN-server(config-if)#crypto map ez //绑定到接口

*Jan 3 07:16:26.785: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON EzVPN-server(config-if)#

说明：将crypto map 关联到接口F0/0。

测试EzVPN

在PC上创建EzVPN连接

密码是chinaccie

再次测试PC到总部的10.1.1.0/24和4.4.4.4/32的连通性

PC>ping 10.1.1.4

Pinging 10.1.1.4 with 32 bytes of data:

Request timed out. Request timed out.

Reply from 10.1.1.4: bytes=32 time=13ms TTL=254 Reply from 10.1.1.4: bytes=32 time=15ms TTL=254

Ping statistics for 10.1.1.4:

Packets: Sent = 4, Received = 2, Lost = 2 (50% loss), Approximate round trip times in milli-seconds: Minimum = 13ms, Maximum = 15ms, Average = 14ms PC> PC>

PC>ping 4.4.4.4

Pinging 4.4.4.4 with 32 bytes of data:

Reply from 4.4.4.4: bytes=32 time=18ms TTL=254 Reply from 4.4.4.4: bytes=32 time=18ms TTL=254 Reply from 4.4.4.4: bytes=32 time=12ms TTL=254 Reply from 4.4.4.4: bytes=32 time=19ms TTL=254

Ping statistics for 4.4.4.4:

Packets: Sent = 4, Received = 4, Lost = 0 (0% loss), Approximate round trip times in milli-seconds: Minimum = 12ms, Maximum = 19ms, Average = 16ms PC>

说明：因为已经与EzVPN-server路由器建立EzVPN连接，所以现在与总部的10.1.1.0/24和4.4.4.4/32通信正常

查看PC到总部的10.1.1.0/24和4.4.4.4/32的路径走向

PC>tracert 10.1.1.4

Tracing route to 10.1.1.4 over a maximum of 30 hops:

1 13 ms 5 ms 13 ms 12.1.1.1 2 18 ms 8 ms 11 ms 10.1.1.4

Trace complete.

PC>tracert 4.4.4.4

Tracing route to 4.4.4.4 over a maximum of 30 hops:

1 6 ms 13 ms 16 ms 12.1.1.1 2 13 ms 18 ms 9 ms 4.4.4.4

Trace complete. PC>

说明;从PC发向总部的数据包直接就到达了总部路由器，说明中间的多跳已经被VPN隧道取代为一跳了

查看PC到总部的数据包源地址

PC>telnet 10.1.1.4 Trying 10.1.1.4 ...Open

zongbu>sh zongbu>show u zongbu>show users

Line User Host(s) Idle Location 0 con 0 idle 00:09:52

* 67 vty 0 idle 00:00:00 10.1.1.100

Interface User Mode Idle Peer Address zongbu>

sm :EzVPN client是从server那里动态分配的地址为源地址和总部内网进行通信的，这里也能说明，EzVPN client从server那里动态分配的地址可以是任意地址段，和server当前连接的网络（10.1.1.0/24）属同一网段也没有关系

再次测试PC到Internet路由器loopback地址的连通性

PC>ping 2.2.2.2

Pinging 2.2.2.2 with 32 bytes of data:

Request timed out. Request timed out. Request timed out.

Request timed out.

Ping statistics for 2.2.2.2:

Packets: Sent = 4, Received = 0, Lost = 4 (100% loss), PC>

说明：在PC连通EzVPN之后，到Internet的loopback通信失败，说明正常情况下，PC连通EzVPN之后，所有的数据包都发往EzVPN server，但EzVPN· server却不会将来自client的流量从开启了EzVPN的接口发出去，但其它就扣，比如内网。

查看EzVPN-server的路由表情况

EzVPN-server#show ip route

Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area * - candidate default, U - per-user static route, o - ODR P - periodic downloaded static route

Gateway of last resort is 12.1.1.2 to network 0.0.0.0

4.0.0.0/32 is subnetted, 1 subnets S 4.4.4.4 [1/0] via 10.1.1.4

10.0.0.0/8 is variably subnetted, 2 subnets, 2 masks C 10.1.1.0/24 is directly connected, FastEthernet0/1 S 10.1.1.100/32 [1/0] via 23.1.1.3 12.0.0.0/24 is subnetted, 1 subnets

C 12.1.1.0 is directly connected, FastEthernet0/0 S* 0.0.0.0/0 [1/0] via 12.1.1.2 EzVPN-server#

说明：由于开启了reverse-route，所以EzVPN server自动产生了一条指向动态分配给client的主机地址的路由

查看EzVPN-server上的IKE SA（ISAKMP SA）

EzVPN-server#show crypto isakmp sa IPv4 Crypto ISAKMP SA dst src state conn-id slot status

23.1.1.3 12.1.1.1 QM_IDLE 1041 0 ACTIVE

IPv6 Crypto ISAKMP SA

EzVPN-server

说明：IKE SA已经成功建立，EzVPN-server本地源地址为12.1.1.1目标地址为23.1.1.3。

查看EzVPN-server上的IPsec SA

EzVPN-server#show crypto ipsec sa

interface: FastEthernet0/0

Crypto map tag: ez, local addr 12.1.1.1

protected vrf: (none)

local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)

remote ident (addr/mask/prot/port): (10.1.1.100/255.255.255.255/0/0) current_peer 23.1.1.3 port 500 PERMIT, flags={origin_is_acl,}

#pkts encaps: 69, #pkts encrypt: 69, #pkts digest: 0 #pkts decaps: 72, #pkts decrypt: 72, #pkts verify: 0 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 0, #pkts compr. failed: 0 #pkts not decompressed: 0, #pkts decompress failed: 0 #send errors 0, #recv errors 0

local crypto endpt.: 12.1.1.1, remote crypto endpt.:23.1.1.3

path mtu 1500, ip mtu 1500, ip mtu idb FastEthernet0/0 current outbound spi: 0x3B58724A(995652170)

inbound esp sas:

spi: 0x77C50B30(2009402160) transform: esp-3des esp-sha-hmac , in use settings ={Tunnel, }

conn id: 2000, flow_id: FPGA:1, crypto map: ez sa timing: remaining key lifetime (k/sec): (4525504/1037) IV size: 16 bytes

replay detection support: N Status: ACTIVE

inbound ah sas:

inbound pcp sas:

outbound esp sas:

spi: 0x3B58724A(995652170) transform: esp-3des esp-sha-hmac , in use settings ={Tunnel, }

conn id: 2001, flow_id: FPGA:1, crypto map: ez sa timing: remaining key lifetime (k/sec): (4525504/1037) IV size: 16 bytes

replay detection support: N Status: ACTIVE

outbound ah sas:

outbound pcp sas:

EzVPN-server#

说明：IPsec SA显示了任何去往client的流量都会被加密

配置隧道分离（split tunneling）

在R1上配置隧道分离 EzVPN-server#conf t

Enter configuration commands, one per line. End with CNTL/Z. EzVPN-server(config)#no ip local pool net10 10.1.1.100 10.1.1.200 EzVPN-server(config)#ip local pool net10 100.1.1.100 100.1.1.200 EzVPN-server(config)#access-list 100 permit ip 10.1.1.0 0.0.0.255 any EzVPN-server(config)#access-list 100 permit ip host 4.4.4.4 any EzVPN-server(config)#crypto isakmp client configuration group chinaccie EzVPN-server(config-isakmp-group)#acl ? % Unrecognized command

EzVPN-server(config-isakmp-group)#a? % Unrecognized command

EzVPN-server(config-isakmp-group)#acl 100 //该命令 PT不支持，导致后面的隧道分离配置失败。真实环境下，可以实现该功能。 ^

% Invalid input detected at '^' marker.

EzVPN-server(config-isakmp-group)#

在PC上重新连接EzVPN

说明：PC现在从EzVPN server那里获得了地址100.1.1.100，由于地址池改动了，所以与上次获得的地址无任何关系。

测试PC到总部10.1.1.0/24和4.4.4.4/32的连通性

PC>ping 10.1.1.4

Pinging 10.1.1.4 with 32 bytes of data:

Reply from 10.1.1.4: bytes=32 time=13ms TTL=254 Reply from 10.1.1.4: bytes=32 time=13ms TTL=254 Reply from 10.1.1.4: bytes=32 time=19ms TTL=254 Reply from 10.1.1.4: bytes=32 time=17ms TTL=254

Ping statistics for 10.1.1.4:

Packets: Sent = 4, Received = 4, Lost = 0 (0% loss), Approximate round trip times in milli-seconds: Minimum = 13ms, Maximum = 19ms, Average = 15ms

PC>ping 4.4.4.4

Pinging 4.4.4.4 with 32 bytes of data:

Reply from 4.4.4.4: bytes=32 time=10ms TTL=254 Reply from 4.4.4.4: bytes=32 time=20ms TTL=254 Reply from 4.4.4.4: bytes=32 time=15ms TTL=254 Reply from 4.4.4.4: bytes=32 time=11ms TTL=254

Ping statistics for 4.4.4.4:

Packets: Sent = 4, Received = 4, Lost = 0 (0% loss), Approximate round trip times in milli-seconds: Minimum = 10ms, Maximum = 20ms, Average = 14ms PC>

说明：和之前建立EzVPN后的现象一样，与总部的10.1.1.0/24和4.4.4.4/32通信正常

测试PC到Internet的Loopback连通性

PC>ping 2.2.2.2

Pinging 2.2.2.2 with 32 bytes of data:

Request timed out. Request timed out. Request timed out. Request timed out.

Ping statistics for 2.2.2.2:

Packets: Sent = 4, Received = 0, Lost = 4 (100% loss), PC>

如果是在真机上测试，那么现在是可以正常通信 的，由于PT的一些不足，目前还不能完整的模拟真实情况下的EzVPN。

备注：在EzVPN-server上，NAT对 EzVPN的影响和其它VPN是一样哦，所以如要配置NAT时候，应该使用正常方法将需要走VPN隧道的流量和到EzVPN client的地址段从NAT感兴趣流中移除。

最后很想说一句：有人问我学网络难不难，学思科难不难我说不难，虽然我自己技术一只是一般般，懂得的东西很少，但是我觉得只要努力，不断的积累，厚积而薄发，总会有一天登上华山去论剑的。还有真的想说一句，很多人说去学可是最后一点功夫都不下又能学到什么？记得看过一句很经典的话：“大部分人的努力程度之低，根本轮不到拼天赋”。其实做很多事情都是一样的，要有所得到就要加倍，加油！每个奋斗的人！