动态MAP:
创新互联公司制作网站网页找三站合一网站制作公司,专注于网页设计,成都网站制作、成都网站设计、外贸营销网站建设,网站设计,企业网站搭建,网站开发,建网站业务,680元做网站,已为上千多家服务,创新互联公司网站建设将一如既往的为我们的客户提供最优质的网站建设、网络营销推广服务!
适用场合:中心有固定IP地址而分支没有固定IP地址的情况,如果两端都是CISCO的设备,不建议采用此方案,建议采用EZ×××的方式。如果不都是CISCO的产品,这是唯一的解决办法。
拓扑描述:R2HUB R4,R5为SPOKE。 R5的E0/0地址为DHCP获得
动态MAP的配置:
R2:
crypto isakmp policy 10
authentication pre-share
!
crypto isakmp key cisco address 0.0.0.0 0.0.0.0 //对端地址8个0是因为R2要同时和R4、R5建立IPSEC ×××,而R5的地址是DHCP自动获得,R2无法得知,所以只能写8个0.
crypto ipsec transform-set set esp-des esp-md5-hmac
!
crypto dynamic-map dymap 10 //创建一个动态MAP,因为不知道对端地址,所以也没有match add和set peer这些命令
set transform-set set
!
crypto map map 10 ipsec-isakmp //创建静态MAP,policy10是与R4的静态MAP,因为R4有静态地址,所以可以match add和set peer
set peer 34.1.1.4
set transform-set set
match address r4list
crypto map map 1000 ipsec-isakmp dynamic dymap //将刚刚创建的动态MAP与静态MAP结合,而且绑定动态MAP的policy序号要写的大一些,让静态MAP优先查找
!
ip route 0.0.0.0 0.0.0.0 Ethernet0/1
!
ip access-list extended r4list
permit ip 192.168.1.0 0.0.0.255 192.168.4.0 0.0.0.255
动态MAP的总结:动态MAP和静态MAP比较,动态MAP的使用环境中由于不了解对端和自己建立IPSEC隧道的地址,所以在IKE秘钥交换的时候只能写8个0。
另外在MAP中也没有set peer和match add这两条命令,因为不知道对端的地址当然没有set peer;因为不知道对方需要加密的流量(也就是私有地址),当然就没有match add来匹配感兴趣流,所以这样HUB端是无法知道SPOKE端的地址的,如果两点仍想通信,只能先从SPOKE端向HUB端发起会话后,从而建立了IKE SA 和IPSEC SA之后,HUB才能主动去访问SPOKE。
文章名称:DynamicMap
链接地址:
http://cxhlcq.com/article/jigpeo.html