dynamic IPsec ×××

dynamic lan-to-lan ×××能夠接受任何位址連接配接的裝置，我們稱為hub端，對端稱為spoke端，可見hub端就應用了通配符認證配置方法與dynamic map，但spoke端的配置與普通lan-to-lan ×××配置方法一樣，沒有任何差別；雖然說dynamic lan-to-lan ×××的hub端可以接受任何spoke端的×××連接配接，這隻是表示spoke端的ip位址可以是任意位址，但是因為spoke端的配置與普通lan-to-lan ×××配置方法一樣，需要事先指定peer的位址，是以hub端的ip位址是必須固定的，否則兩端的ip位址都不固定或不知道，那就談不上建立任何形式的×××。

注：

★dynamic lan-to-lan ×××的hub端ip位址必須是spoke事先知道的ip位址，是以應該為固定ip。

★dynamic lan-to-lan ×××的spoke端ip位址可以是任意位址，如adsl通過dhcp獲得的ip位址。

★dynamic lan-to-lan ×××同時支援router，pix防火牆，asa防火牆。

★隻能先由spoke端向hub端發流量來使hub端形成相應sa，在spoke端沒有向hub端發流量之前，hub端是沒有sa的，并且hub端是不能靠自己發流量來初始化sa的建立的。

★所有的spoke router連接配接到相同hub時，可以是相同的×××配置，唯一不同的可能就是acl比對的感興趣流量不同。

3．配置dynamic lan-to-lan ×××

（1）在r1上配置ike（isakmp）政策:

r1(config)#crypto isakmp policy 1

r1(config-isakmp)#encryption 3des

r1(config-isakmp)#hash sha

r1(config-isakmp)#authentication pre-share

r1(config-isakmp)#group 2

r1(config-isakmp)#exit

說明：定義了isakmp policy 1，加密方式為3des，hash算法為sha，認證方式為pre-shared keys (psk)，密鑰算法（diffie-hellman）為group 2。

（2）在r1上配置通配符認證方法：

r1(config)#crypto keyring abc

r1(conf-keyring)#pre-shared-key address 0.0.0.0 0.0.0.0 key cisco123

r1(conf-keyring)#exit

r1(config)#crypto isakmp profile ppp

% a profile is deemed incomplete until it has match identity statements

r1(conf-isa-prof)#keyring abc

r1(conf-isa-prof)#match identity address 0.0.0.0

r1(conf-isa-prof)#exit

說明：配置了名為ppp的ipsec profile，并定義任何ip位址的認證密碼為cisco123。

（3）在r1上配置ipsec transform:

r1(config)#crypto ipsec transform-set ccie esp-3des esp-sha-hmac

r1(cfg-crypto-trans)#exit

說明：配置了transform-set為ccie，其中資料封裝使用esp加3des加密，并且使用esp結合sha做hash計算，預設的ipsec mode為tunnel。

（4）在r1上定義dynamic map：

r1(config)#crypto dynamic-map dymap 5

r1(config-crypto-map)#set transform-set ccie

r1(config-crypto-map)#set isakmp-profile ppp

r1(config-crypto-map)#exit

說明：定義了名為dymap的dynamic map，并調用名為ppp的ipsec profile和名為ccie的transform-set。

（5）在r1上建立crypto map:

r1(config)#crypto map mymap 10 ipsec-isakmp dynamic dymap

說明：定義了名為mymap的crypto-map ，與正常的crypto-map不一樣，這裡的crypto-map隻需要與之前的dynamic crypto map.關聯即可，并且配置到這裡就結束了，可以看出，hub端是不需要定義感興趣流量的。

（6）在r1上将crypto map應用于接口:

r1(config)#int f0/0

r1(config-if)#crypto map mymap

r1(config-if)#

*mar 1 00:42:19.807: %crypto-6-isakmp_on_off: isakmp is on

r1(config-if)#exit

說明：将crypto map應用在出接口f0/0上。

r2(config)#service dhcp

r2(config)#ip dhcp pool net23

r2(dhcp-config)#network 23.1.1.0 255.255.255.0

r2(dhcp-config)#default-router 23.1.1.2

r2(dhcp-config)#exit

r2(config)#ip dhcp excluded-address 24.1.1.2

r4(config)#int f0/1

r4(config-if)#ip address dhcp

r4(config-if)#no shutdown

r4(config-if

r4#sh ip int brief