Dynamic Map

发布时间:2020-07-24 14:07:47 作者:zbl5573448
来源:网络 阅读:532

 动态MAP:

     适用场合:中心有固定IP地址而分支没有固定IP地址的情况,如果两端都是CISCO的设备,不建议采用此方案,建议采用EZ×××的方式。如果不都是CISCO的产品,这是唯一的解决办法。
 

Dynamic Map

拓扑描述:R2HUB R4,R5为SPOKE。 R5的E0/0地址为DHCP获得
动态MAP的配置:
R2:
crypto isakmp policy 10
 authentication pre-share
!
crypto isakmp key cisco address 0.0.0.0 0.0.0.0        //对端地址8个0是因为R2要同时和R4、R5建立IPSEC ×××,而R5的地址是DHCP自动获得,R2无法得知,所以只能写8个0.
crypto ipsec transform-set set esp-des esp-md5-hmac 
!
crypto dynamic-map dymap 10       //创建一个动态MAP,因为不知道对端地址,所以也没有match add和set peer这些命令
 set transform-set set 
!
crypto map map 10 ipsec-isakmp    //创建静态MAP,policy10是与R4的静态MAP,因为R4有静态地址,所以可以match add和set peer
 set peer 34.1.1.4
 set transform-set set 
 match address r4list
crypto map map 1000 ipsec-isakmp dynamic dymap   //将刚刚创建的动态MAP与静态MAP结合,而且绑定动态MAP的policy序号要写的大一些,让静态MAP优先查找
!
ip route 0.0.0.0 0.0.0.0 Ethernet0/1
!
ip access-list extended r4list
 permit ip 192.168.1.0 0.0.0.255 192.168.4.0 0.0.0.255
 
动态MAP的总结:动态MAP和静态MAP比较,动态MAP的使用环境中由于不了解对端和自己建立IPSEC隧道的地址,所以在IKE秘钥交换的时候只能写8个0。
另外在MAP中也没有set peer和match add这两条命令,因为不知道对端的地址当然没有set peer;因为不知道对方需要加密的流量(也就是私有地址),当然就没有match add来匹配感兴趣流,所以这样HUB端是无法知道SPOKE端的地址的,如果两点仍想通信,只能先从SPOKE端向HUB端发起会话后,从而建立了IKE SA 和IPSEC SA之后,HUB才能主动去访问SPOKE。
 
推荐阅读:
  1. 映射Map怎么实现
  2. Dynamic Access Control

免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。

mi %d

上一篇:centos vim找不到怎么办

下一篇:FreeNas搭建踩坑指南(二)

相关阅读

您好,登录后才能下订单哦!

密码登录
登录注册
其他方式登录
点击 登录注册 即表示同意《亿速云用户服务条款》