Dynamic Map

 動态map：

     适用場合：中心有固定ip位址而分支沒有固定ip位址的情況，如果兩端都是cisco的裝置，不建議采用此方案，建議采用ez×××的方式。如果不都是cisco的産品，這是唯一的解決辦法。

拓撲描述：r2hub r4,r5為spoke。 r5的e0/0位址為dhcp獲得

動态map的配置：

r2：

crypto isakmp policy 10

 authentication pre-share

!

crypto isakmp key cisco address 0.0.0.0 0.0.0.0        //對端位址8個0是因為r2要同時和r4、r5建立ipsec ×××，而r5的位址是dhcp自動獲得，r2無法得知，是以隻能寫8個0.

crypto ipsec transform-set set esp-des esp-md5-hmac 

crypto dynamic-map dymap 10       //建立一個動态map，因為不知道對端位址，是以也沒有match add和set peer這些指令

 set transform-set set 

crypto map map 10 ipsec-isakmp    //建立靜态map，policy10是與r4的靜态map，因為r4有靜态位址，是以可以match add和set peer

 set peer 34.1.1.4

 match address r4list

crypto map map 1000 ipsec-isakmp dynamic dymap   //将剛剛建立的動态map與靜态map結合，而且綁定動态map的policy序号要寫的大一些，讓靜态map優先查找

ip route 0.0.0.0 0.0.0.0 ethernet0/1

ip access-list extended r4list

 permit ip 192.168.1.0 0.0.0.255 192.168.4.0 0.0.0.255

動态map的總結：動态map和靜态map比較，動态map的使用環境中由于不了解對端和自己建立ipsec隧道的位址，是以在ike秘鑰交換的時候隻能寫8個0。

另外在map中也沒有set peer和match add這兩條指令，因為不知道對端的位址當然沒有set peer；因為不知道對方需要加密的流量（也就是私有位址），當然就沒有match add來比對感興趣流，是以這樣hub端是無法知道spoke端的位址的，如果兩點仍想通信，隻能先從spoke端向hub端發起會話後，進而建立了ike sa 和ipsec sa之後，hub才能主動去通路spoke。