动态CRYPTO-MAP.docVIP

动态CRYPTO-MAP 总结 拓扑图： 要点说明： 动态CRYPTOMAP ，一般用于分支站点没有固定IP地址，分支站点的配置中，需要指定中心站点为PEER。 而中心站点只需要指定转换集，不需要指peer，甚至感兴趣流量也可以不配置。 中心站点 配置如下： version 12.3 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname R1 ! boot-start-marker boot-end-marker ! memory-size iomem 5 no aaa new-model ip subnet-zero ! ! no ip domain lookup ip cef ip ips po max-events 100 no ftp-server write-enable ! crypto isakmp policy 10 //定义一个策略 encr aes authentication pre-share group 2 lifetime 3600 crypto isakmp key 6 leon address // 中心不知道分支的ip，它也不care分支ip是多少，只要分支发起连接，而且两边的密码，模式等匹配。隧道就可以建立。 ! ! crypto ipsec transform-set tt esp-aes esp-sha-hmac // 中心的转换集是必须有的 ! crypto dynamic-map crypto-d 10 // 定义动态map set transform-set tt ! ! crypto map cryptomap 10 ipsec-isakmp dynamic crypto-d // 建立一个静态map 调用动态map ，动态map是不能被直接调用的。 ! interface FastEthernet0/0 ip address ip nat outside ip virtual-reassembly duplex auto speed auto crypto map cryptomap // 接口调用静态map ! interface FastEthernet1/0 ip address ip nat inside ip virtual-reassembly duplex auto speed auto ! no ip http server no ip http secure-server ip classless ip route ! ip nat inside source list nat interface FastEthernet0/0 overload ! ! ip access-list extended nat deny ip 55 55 deny ip 55 55 permit ip any any control-plane ! line con 0 exec-timeout 0 0 logging synchronous line aux 0 line vty 0 4 login ! End 分支站点配置：只给出了关键部分 crypto isakmp policy 10 //策略 encr aes authentication pre-share group 2 lifetime 3600 crypto isakmp key 6 leon address //指定中心的接口地址 ! ! crypto ipsec transform-set tt esp-aes esp-sha-hmac //转换集 ! crypto map cryptomap 10 ipsec-isakmp // 创建map set peer set transform-set tt set pfs group2 match address vpn ! ! ! ! interface FastEthern