,动态地图:
,,,适用场合:中心有固定IP地址而分支没有固定IP地址的情况,如果两端都是思科的设备,不建议采用此方案,建议采用EZ×××的方式。如果不都是思科的产品,这是唯一的解决办法。
,
拓扑描述:R2HUB R4, R5为说话。R5的E0/0地址为DHCP获得
动态地图的配置:
R2:
加密isakmp政策10
,验证pre-share
!
加密isakmp关键思科地址0.0.0.0 0.0.0.0,,,,//对端地址8个0是因为R2要同时和R4, R5建立IPSEC×××,而R5的地址是DHCP自动获得,R2无法得知,所以只能写8个0。
加密ipsec transform-set设置esp-des esp-md5-hmac
!
加密动态地图dymap 10,,,//创建一个动态地图,因为不知道对端地址,所以也没有匹配添加和设置对等这些命令
,设置transform-set set
!
10 ipsec-isakmp加密地图地图,,//创建静态地图,policy10是与R4的静态地图,因为R4有静态地址,所以可以匹配添加和设置对等
同行34.1.1.4设置
,设置transform-set set
r4list匹配地址
加密地图地图1000 ipsec-isakmp动态dymap,//将刚刚创建的动态地图与静态地图结合,而且绑定动态地图的政策序号要写的大一些,让静态地图优先查找
!
ip路由0.0.0.0 0.0.0.0 Ethernet0/1
!
ip访问列表扩展r4list
,允许ip 192.168.1.0 0.0.0.255 192.168.4.0 0.0.0.255
,
动态图的总结:动态地图和静态地图比较,动态地图的使用环境中由于不了解对端和自己建立IPSEC隧道的地址,所以在艾克秘钥交换的时候只能写8个0。
另外在地图中也没有设置对等和匹配添加这两条命令,因为不知道对端的地址当然没有同行,因为不知道对方需要加密的流量(也就是私有地址),当然就没有匹配添加来匹配感兴趣流,所以这样中心端是无法知道端说话的地址的,如果两点仍想通信,只能先从说端向中心端发起会话后,从而建立了艾克SA和IPSEC SA之后,中心才能主动去访问。
,
