Dynamic LAN-to-LAN ×××能够接受任何地址连接的设备,我们称为Hub端,对端称为spoke端,可见Hub端就应用了通配符认证配置方法与dynamic map,但spoke端的配置与普通LAN-to-LAN ×××配置方法一样,没有任何区别;虽然说Dynamic LAN-to-LAN ×××的Hub端可以接受任何spoke端的×××连接,这只是表示spoke端的IP地址可以是任意地址,但是因为spoke端的配置与普通LAN-to-LAN ×××配置方法一样,需要事先指定peer的地址,所以Hub端的IP地址是必须固定的,否则两端的IP地址都不固定或不知道,那就谈不上建立任何形式的×××。
注:
★Dynamic LAN-to-LAN ×××的Hub端IP地址必须是spoke事先知道的IP地址,所以应该为固定IP。
★Dynamic LAN-to-LAN ×××的spoke端IP地址可以是任意地址,如ADSL通过DHCP获得的IP地址。
★Dynamic LAN-to-LAN ×××同时支持Router,PIX防火墙,ASA防火墙。
★只能先由spoke端向Hub端发流量来使Hub端形成相应SA,在spoke端没有向Hub端发流量之前,Hub端是没有SA的,并且Hub端是不能靠自己发流量来初始化SA的建立的。
★所有的spoke router连接到相同hub时,可以是相同的×××配置,唯一不同的可能就是ACL匹配的感兴趣流量不同。
3.配置Dynamic LAN-to-LAN ×××
(1)在R1上配置IKE(ISAKMP)策略:
r1(config)#crypto isakmp policy 1
r1(config-isakmp)#encryption 3des
r1(config-isakmp)#hash sha
r1(config-isakmp)#authentication pre-share
r1(config-isakmp)#group 2
r1(config-isakmp)#exit
说明:定义了ISAKMP policy 1,加密方式为3des,hash算法为sha,认证方式为Pre-Shared Keys (PSK),密钥算法(Diffie-Hellman)为group 2。
(2)在R1上配置通配符认证方法:
r1(config)#crypto keyring abc
r1(conf-keyring)#pre-shared-key address 0.0.0.0 0.0.0.0 key cisco123
r1(conf-keyring)#exit
r1(config)#crypto isakmp profile ppp
% A profile is deemed incomplete until it has match identity statements
r1(conf-isa-prof)#keyring abc
r1(conf-isa-prof)#match identity address 0.0.0.0
r1(conf-isa-prof)#exit
说明:配置了名为ppp的IPsec profile,并定义任何IP地址的认证密码为cisco123。
(3)在R1上配置IPsec transform:
r1(config)#crypto ipsec transform-set ccie esp-3des esp-sha-hmac
r1(cfg-crypto-trans)#exit
说明:配置了transform-set为ccie,其中数据封装使用esp加3des加密,并且使用esp结合sha做hash计算,默认的IPsec mode为tunnel。
(4)在R1上定义dynamic map:
r1(config)#crypto dynamic-map dymap 5
r1(config-crypto-map)#set transform-set ccie
r1(config-crypto-map)#set isakmp-profile ppp
r1(config-crypto-map)#exit
说明:定义了名为dymap的dynamic map,并调用名为ppp的IPsec profile和名为ccie的transform-set。
(5)在R1上创建crypto map:
r1(config)#crypto map mymap 10 ipsec-isakmp dynamic dymap
说明:定义了名为mymap的Crypto-map ,与常规的Crypto-map不一样,这里的Crypto-map只需要与之前的dynamic crypto map.关联即可,并且配置到这里就结束了,可以看出,Hub端是不需要定义感兴趣流量的。
(6)在R1上将crypto map应用于接口:
r1(config)#int f0/0
r1(config-if)#crypto map mymap
r1(config-if)#
*Mar 1 00:42:19.807: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON
r1(config-if)#exit
说明:将crypto map应用在出接口F0/0上。
r2(config)#service dhcp
r2(config)#ip dhcp pool net23
r2(dhcp-config)#network 23.1.1.0 255.255.255.0
r2(dhcp-config)#default-router 23.1.1.2
r2(dhcp-config)#exit
r2(config)#ip dhcp excluded-address 24.1.1.2
r4(config)#int f0/1
r4(config-if)#ip address dhcp
r4(config-if)#no shutdown
r4(config-if
r4#sh ip int brief
转载于:https://blog.51cto.com/228984/1423094