动态MAP:
适用场合:中心有固定IP地址而分支没有固定IP地址的情况,如果两端都是CISCO的设备,不建议采用此方案,建议采用EZ×××的方式。如果不都是CISCO的产品,这是唯一的解决办法。
拓扑描述:R2HUB R4,R5为SPOKE。 R5的E0/0地址为DHCP获得
动态MAP的配置:
R2:
crypto isakmp policy 10
authentication pre-share
!
crypto isakmp key cisco address 0.0.0.0 0.0.0.0 //对端地址8个0是因为R2要同时和R4、R5建立IPSEC ×××,而R5的地址是DHCP自动获得,R2无法得知,所以只能写8个0.
crypto ipsec transform-set set esp-des esp-md5-hmac
!
crypto dynamic-map dymap 10 //创建一个动态MAP,因为不知道对端地址,所以也没有match add和set peer这些命令
set transform-set set
!
crypto map map 10 ipsec-isakmp //创建静态MAP,policy10是与R4的静态MAP,因为R4有静态地址,所以可以match add和set peer
set peer 34.1.1.4
set transform-set set
match address r4list
crypto map map 1000 ipsec-isakmp dynamic dymap //将刚刚创建的动态MAP与静态MAP结合,而且绑定动态MAP的policy序号要写的大一些,让静态MAP优先查找
!
ip route 0.0.0.0 0.0.0.0 Ethernet0/1
!
ip access-list extended r4list
permit ip 192.168.1.0 0.0.0.255 192.168.4.0 0.0.0.255
动态MAP的总结:动态MAP和静态MAP比较,动态MAP的使用环境中由于不了解对端和自己建立IPSEC隧道的地址,所以在IKE秘钥交换的时候只能写8个0。
另外在MAP中也没有set peer和match add这两条命令,因为不知道对端的地址当然没有set peer;因为不知道对方需要加密的流量(也就是私有地址),当然就没有match add来匹配感兴趣流,所以这样HUB端是无法知道SPOKE端的地址的,如果两点仍想通信,只能先从SPOKE端向HUB端发起会话后,从而建立了IKE SA 和IPSEC SA之后,HUB才能主动去访问SPOKE。