一.概述：

  很多情况下，为了安全，避免一边拨入公司内网，又同时上互联网的情况，Ez×××服务端没有配置隧道分离。但是如果想要这样，而总部侧的设备又没有权限修改怎么办？下面分别以Ez×××硬件客户端和软件客户端来介绍。

   测试拓扑参照：

   其实Ez×××客户端的解决方法跟上面的类似，但是Ez×××软件客户端通过删除默认路由的方式没有测试成功，PPTP ×××和L2TP IpSEC ×××这种方式是可行的。

二.Ez×××硬件客户端解决方法：

A.分析不能直接上公网的原因：

   通常情况下，为保证在没有×××拨入总部时能上互联网，Ez×××硬件客户端肯应该配置了NAT，而×××连接后不能上公网，是因为流量从配置crypto ipsec client ez*** ez*** inside端口进入，同时又从配置了crypto ipsec client ez*** ez*** outside出的情况下，被×××加密。这两个条件是需要同时满足的，否则不会被×××加密。这个其实与流量只有从IP NAT inside口进入，同时又从IP NAT outide口出才会被NAT情况类似。

   因此解决方法就是：

①先配置一个loopback口，配置IP,并且配置IP NAT inside。

②在Ez×××客户端内网接口设定route-map，除访问总部内网流量之外，其他流量都被打到loopback口。

③而loopb口只配置了IP NAT inside，没有配置crypto ipsec client ez*** ez*** inside,因而不会被×××加密。

B.配置方法：

①Branch已经配置了动态PAT

interface Ethernet0/0

   ip nat insideinterface Ethernet0/1    ip nat outsideip access-list extended pat    permit ip any anyip nat inside source list pat interface Ethernet0/1 overload

②创建loopback口，并设置nat

interface Loopback10

   ip address 200.1.1.1 255.255.255.0    ip nat inside

③创建route-map

ip access-list extended To_Internet

   deny   ip 172.16.0.0 0.0.255.255 10.0.0.0 0.255.255.255    permit ip any anyroute-map Direct_to_Internet permit 10    match ip address tointernet    set ip next-hop 200.1.1.2

④在内部接口调用route-map

interface Ethernet0/0

   ip policy route-map Direct_to_Internet

三.Ez×××软件客户端的解决方法：

A.不能直接上互联网的原因：

   通过命令行router print查看×××拨入前后本地的路由表，拨入之前的默认网关在拨入之后不见了，成了×××分派的动态地址。

B.解决方法：（在windows 2003和XP上面都没有测试成功）

①删除×××客户端添加的默认路由

route delete 0.0.0.0 ②添加已有的默认路由到自己网关route add 0.0.0.0 mask 0.0.0.0 202.100.1.10③设置从总部内网的流量走隧道口route add 10.0.0.0 mask 255.0.0.0 100.1.1.104