天天看點

Dynamic Map

 動态map:

     适用場合:中心有固定ip位址而分支沒有固定ip位址的情況,如果兩端都是cisco的裝置,不建議采用此方案,建議采用ez×××的方式。如果不都是cisco的産品,這是唯一的解決辦法。

Dynamic Map

拓撲描述:r2hub r4,r5為spoke。 r5的e0/0位址為dhcp獲得

動态map的配置:

r2:

crypto isakmp policy 10

 authentication pre-share

!

crypto isakmp key cisco address 0.0.0.0 0.0.0.0        //對端位址8個0是因為r2要同時和r4、r5建立ipsec ×××,而r5的位址是dhcp自動獲得,r2無法得知,是以隻能寫8個0.

crypto ipsec transform-set set esp-des esp-md5-hmac 

crypto dynamic-map dymap 10       //建立一個動态map,因為不知道對端位址,是以也沒有match add和set peer這些指令

 set transform-set set 

crypto map map 10 ipsec-isakmp    //建立靜态map,policy10是與r4的靜态map,因為r4有靜态位址,是以可以match add和set peer

 set peer 34.1.1.4

 match address r4list

crypto map map 1000 ipsec-isakmp dynamic dymap   //将剛剛建立的動态map與靜态map結合,而且綁定動态map的policy序号要寫的大一些,讓靜态map優先查找

ip route 0.0.0.0 0.0.0.0 ethernet0/1

ip access-list extended r4list

 permit ip 192.168.1.0 0.0.0.255 192.168.4.0 0.0.0.255

動态map的總結:動态map和靜态map比較,動态map的使用環境中由于不了解對端和自己建立ipsec隧道的位址,是以在ike秘鑰交換的時候隻能寫8個0。

另外在map中也沒有set peer和match add這兩條指令,因為不知道對端的位址當然沒有set peer;因為不知道對方需要加密的流量(也就是私有位址),當然就沒有match add來比對感興趣流,是以這樣hub端是無法知道spoke端的位址的,如果兩點仍想通信,隻能先從spoke端向hub端發起會話後,進而建立了ike sa 和ipsec sa之後,hub才能主動去通路spoke。

vpn

繼續閱讀