Dynamic Map

发布时间：2020-07-24 14:07:47 来源：网络阅读：529 作者：zbl5573448 栏目：安全技术

动态MAP：

适用场合：中心有固定IP地址而分支没有固定IP地址的情况，如果两端都是CISCO的设备，不建议采用此方案，建议采用EZ×××的方式。如果不都是CISCO的产品，这是唯一的解决办法。

Dynamic Map

拓扑描述：R2HUB R4,R5为SPOKE。 R5的E0/0地址为DHCP获得

动态MAP的配置：

R2：

crypto isakmp policy 10

authentication pre-share

crypto isakmp key cisco address 0.0.0.0 0.0.0.0 //对端地址8个0是因为R2要同时和R4、R5建立IPSEC ×××，而R5的地址是DHCP自动获得，R2无法得知，所以只能写8个0.

crypto ipsec transform-set set esp-des esp-md5-hmac

crypto dynamic-map dymap 10 //创建一个动态MAP，因为不知道对端地址，所以也没有match add和set peer这些命令

set transform-set set

crypto map map 10 ipsec-isakmp //创建静态MAP，policy10是与R4的静态MAP，因为R4有静态地址，所以可以match add和set peer

set peer 34.1.1.4

set transform-set set

match address r4list

crypto map map 1000 ipsec-isakmp dynamic dymap //将刚刚创建的动态MAP与静态MAP结合，而且绑定动态MAP的policy序号要写的大一些，让静态MAP优先查找

ip route 0.0.0.0 0.0.0.0 Ethernet0/1

ip access-list extended r4list

permit ip 192.168.1.0 0.0.0.255 192.168.4.0 0.0.0.255

动态MAP的总结：动态MAP和静态MAP比较，动态MAP的使用环境中由于不了解对端和自己建立IPSEC隧道的地址，所以在IKE秘钥交换的时候只能写8个0。

另外在MAP中也没有set peer和match add这两条命令，因为不知道对端的地址当然没有set peer；因为不知道对方需要加密的流量（也就是私有地址），当然就没有match add来匹配感兴趣流，所以这样HUB端是无法知道SPOKE端的地址的，如果两点仍想通信，只能先从SPOKE端向HUB端发起会话后，从而建立了IKE SA 和IPSEC SA之后，HUB才能主动去访问SPOKE。

向AI问一下细节

Dynamic Map

猜你喜欢

最新资讯

相关推荐

相关标签