IPsecvpn高级特性【DOC精选】.docx

L2L的高级特性ISAKMP Profile动态地址vpn解决方案动态map vs静态map动态域名解析技术介绍EZVPN的完美解决方案NAT对vpn的影响SVIT技术介绍1、ISAKMP Profile应用目的：映射ISAKMP参数到ipsec隧道（第一阶段策略映射到第二阶段策略），还可以用于VRF vpn，证书认证管理，ipsec/Qos配置通过使用“match identity”来匹配远端设备，可以使用EZVPN的“VPN Client Group name”，“对端IP地址”，“FQDN”等等条件来匹配ISAKMP Profile配置拓扑：Step1：site2 (config)#crypto isakmp policy 10site2 (config-isakmp)#authentication pre-share site2 (config-isakmp)#exit -------------定义第一阶段策略Step2：site2 (config)#crypto keyring l2l-keyringsite2 (conf-keyring)#pre-shared-key address key cicsosite2 (conf-keyring)#exit -------------定义keyringStep3：site2 (config)#crypto isakmp profile isaprof% A profile is deemed incomplete until it has match identitysite2 (conf-isa-prof)#match identity address site2 (conf-isa-prof)#keyring l2l-keyringsite2 (conf-isa-prof)#exit-------------定义keyringStep4：ip access-list extended vpnsite2(config-ext-nacl)#permit ip 55 55 site2(config-ext-nacl)#exit -------------定义第二阶段策略site2(config)#crypto ipsec transform-set cisco esp-des esp-md5-hmac site2(cfg-crypto-trans)#exitsite2(config)#crypto map cisco 10 ipsec-isakmp% NOTE: This new crypto map will remain disabled until a peerand a valid access list have been configured.site2(config-crypto-map)#matcsite2(config-crypto-map)#match address vpnsite2(config-crypto-map)#set transform-set ciscosite2(config-crypto-map)#set peer site2(config-crypto-map)#set isakmp-profile isaprof-------------定义map2、动态MAP vs静态MAP适用场合：中心有固定的IP地址但分支机构没有固定IP地址的情况，如果都是CISCO设备不建议采用这个方案，建议使用EZVPN来解决。如果不都是CISCO产品这是唯一解决办法，例如：中心是CISCO产品分支站点是D-Link动态MAP技术问题分析中心不能向分支站点发起连接，必须要等分支站点主动发起建立VPN以后。中心和分支站点间没有虚拟隧道接口，不能够运行动态路由协议，所以动态map技术只适合比较简单的网络环境。3、动态域名解析技术介绍为了解决动态MAP中心端不能主动发起的问题，我们可以采用动态域明（DDNS）技术。为每一个分支站点申请一个动态域名，中心可以把peer设置成分支站点的动态域名来主动发起连接。路由器动态域名配置ipddns update method mytestHTTP add http：//用户名：密码@s/nic/update?system=dyndnshostname=hmyip=aintervalmaximum 28000interface Dialer1ipddns update hostname “注册的域名”ipddns update mytest host 配置路由解析域名的DNS服务器ip name-server 8设置分