Dynamic Map

發(fā)布時間：2020-07-24 14:07:47 來源：網(wǎng)絡(luò) 閱讀：532 作者：zbl5573448 欄目：安全技術(shù)

動態(tài)MAP：

適用場合：中心有固定IP地址而分支沒有固定IP地址的情況，如果兩端都是CISCO的設(shè)備，不建議采用此方案，建議采用EZ×××的方式。如果不都是CISCO的產(chǎn)品，這是唯一的解決辦法。

Dynamic Map

拓?fù)涿枋觯篟2HUB R4,R5為SPOKE。 R5的E0/0地址為DHCP獲得

動態(tài)MAP的配置：

R2：

crypto isakmp policy 10

authentication pre-share

crypto isakmp key cisco address 0.0.0.0 0.0.0.0 //對端地址8個0是因為R2要同時和R4、R5建立IPSEC ×××，而R5的地址是DHCP自動獲得，R2無法得知，所以只能寫8個0.

crypto ipsec transform-set set esp-des esp-md5-hmac

crypto dynamic-map dymap 10 //創(chuàng)建一個動態(tài)MAP，因為不知道對端地址，所以也沒有match add和set peer這些命令

set transform-set set

crypto map map 10 ipsec-isakmp //創(chuàng)建靜態(tài)MAP，policy10是與R4的靜態(tài)MAP，因為R4有靜態(tài)地址，所以可以match add和set peer

set peer 34.1.1.4

set transform-set set

match address r4list

crypto map map 1000 ipsec-isakmp dynamic dymap //將剛剛創(chuàng)建的動態(tài)MAP與靜態(tài)MAP結(jié)合，而且綁定動態(tài)MAP的policy序號要寫的大一些，讓靜態(tài)MAP優(yōu)先查找

ip route 0.0.0.0 0.0.0.0 Ethernet0/1

ip access-list extended r4list

permit ip 192.168.1.0 0.0.0.255 192.168.4.0 0.0.0.255

動態(tài)MAP的總結(jié)：動態(tài)MAP和靜態(tài)MAP比較，動態(tài)MAP的使用環(huán)境中由于不了解對端和自己建立IPSEC隧道的地址，所以在IKE秘鑰交換的時候只能寫8個0。

另外在MAP中也沒有set peer和match add這兩條命令，因為不知道對端的地址當(dāng)然沒有set peer；因為不知道對方需要加密的流量（也就是私有地址），當(dāng)然就沒有match add來匹配感興趣流，所以這樣HUB端是無法知道SPOKE端的地址的，如果兩點仍想通信，只能先從SPOKE端向HUB端發(fā)起會話后，從而建立了IKE SA 和IPSEC SA之后，HUB才能主動去訪問SPOKE。

向AI問一下細(xì)節(jié)

Dynamic Map

猜你喜歡

最新資訊

相關(guān)推薦

相關(guān)標(biāo)簽