dynamic lan-to-lan ×××能夠接受任何位址連接配接的裝置,我們稱為hub端,對端稱為spoke端,可見hub端就應用了通配符認證配置方法與dynamic map,但spoke端的配置與普通lan-to-lan ×××配置方法一樣,沒有任何差別;雖然說dynamic lan-to-lan ×××的hub端可以接受任何spoke端的×××連接配接,這隻是表示spoke端的ip位址可以是任意位址,但是因為spoke端的配置與普通lan-to-lan ×××配置方法一樣,需要事先指定peer的位址,是以hub端的ip位址是必須固定的,否則兩端的ip位址都不固定或不知道,那就談不上建立任何形式的×××。
注:
★dynamic lan-to-lan ×××的hub端ip位址必須是spoke事先知道的ip位址,是以應該為固定ip。
★dynamic lan-to-lan ×××的spoke端ip位址可以是任意位址,如adsl通過dhcp獲得的ip位址。
★dynamic lan-to-lan ×××同時支援router,pix防火牆,asa防火牆。
★隻能先由spoke端向hub端發流量來使hub端形成相應sa,在spoke端沒有向hub端發流量之前,hub端是沒有sa的,并且hub端是不能靠自己發流量來初始化sa的建立的。
★所有的spoke router連接配接到相同hub時,可以是相同的×××配置,唯一不同的可能就是acl比對的感興趣流量不同。
3.配置dynamic lan-to-lan ×××
(1)在r1上配置ike(isakmp)政策:
r1(config)#crypto isakmp policy 1
r1(config-isakmp)#encryption 3des
r1(config-isakmp)#hash sha
r1(config-isakmp)#authentication pre-share
r1(config-isakmp)#group 2
r1(config-isakmp)#exit
說明:定義了isakmp policy 1,加密方式為3des,hash算法為sha,認證方式為pre-shared keys (psk),密鑰算法(diffie-hellman)為group 2。
(2)在r1上配置通配符認證方法:
r1(config)#crypto keyring abc
r1(conf-keyring)#pre-shared-key address 0.0.0.0 0.0.0.0 key cisco123
r1(conf-keyring)#exit
r1(config)#crypto isakmp profile ppp
% a profile is deemed incomplete until it has match identity statements
r1(conf-isa-prof)#keyring abc
r1(conf-isa-prof)#match identity address 0.0.0.0
r1(conf-isa-prof)#exit
說明:配置了名為ppp的ipsec profile,并定義任何ip位址的認證密碼為cisco123。
(3)在r1上配置ipsec transform:
r1(config)#crypto ipsec transform-set ccie esp-3des esp-sha-hmac
r1(cfg-crypto-trans)#exit
說明:配置了transform-set為ccie,其中資料封裝使用esp加3des加密,并且使用esp結合sha做hash計算,預設的ipsec mode為tunnel。
(4)在r1上定義dynamic map:
r1(config)#crypto dynamic-map dymap 5
r1(config-crypto-map)#set transform-set ccie
r1(config-crypto-map)#set isakmp-profile ppp
r1(config-crypto-map)#exit
說明:定義了名為dymap的dynamic map,并調用名為ppp的ipsec profile和名為ccie的transform-set。
(5)在r1上建立crypto map:
r1(config)#crypto map mymap 10 ipsec-isakmp dynamic dymap
說明:定義了名為mymap的crypto-map ,與正常的crypto-map不一樣,這裡的crypto-map隻需要與之前的dynamic crypto map.關聯即可,并且配置到這裡就結束了,可以看出,hub端是不需要定義感興趣流量的。
(6)在r1上将crypto map應用于接口:
r1(config)#int f0/0
r1(config-if)#crypto map mymap
r1(config-if)#
*mar 1 00:42:19.807: %crypto-6-isakmp_on_off: isakmp is on
r1(config-if)#exit
說明:将crypto map應用在出接口f0/0上。
r2(config)#service dhcp
r2(config)#ip dhcp pool net23
r2(dhcp-config)#network 23.1.1.0 255.255.255.0
r2(dhcp-config)#default-router 23.1.1.2
r2(dhcp-config)#exit
r2(config)#ip dhcp excluded-address 24.1.1.2
r4(config)#int f0/1
r4(config-if)#ip address dhcp
r4(config-if)#no shutdown
r4(config-if
r4#sh ip int brief