Dynamic Map

發布時間：2020-07-24 14:07:47 來源：網絡閱讀：532 作者：zbl5573448 欄目：安全技術

動態MAP：

適用場合：中心有固定IP地址而分支沒有固定IP地址的情況，如果兩端都是CISCO的設備，不建議采用此方案，建議采用EZ×××的方式。如果不都是CISCO的產品，這是唯一的解決辦法。

Dynamic Map

拓撲描述：R2HUB R4,R5為SPOKE。 R5的E0/0地址為DHCP獲得

動態MAP的配置：

R2：

crypto isakmp policy 10

authentication pre-share

crypto isakmp key cisco address 0.0.0.0 0.0.0.0 //對端地址8個0是因為R2要同時和R4、R5建立IPSEC ×××，而R5的地址是DHCP自動獲得，R2無法得知，所以只能寫8個0.

crypto ipsec transform-set set esp-des esp-md5-hmac

crypto dynamic-map dymap 10 //創建一個動態MAP，因為不知道對端地址，所以也沒有match add和set peer這些命令

set transform-set set

crypto map map 10 ipsec-isakmp //創建靜態MAP，policy10是與R4的靜態MAP，因為R4有靜態地址，所以可以match add和set peer

set peer 34.1.1.4

set transform-set set

match address r4list

crypto map map 1000 ipsec-isakmp dynamic dymap //將剛剛創建的動態MAP與靜態MAP結合，而且綁定動態MAP的policy序號要寫的大一些，讓靜態MAP優先查找

ip route 0.0.0.0 0.0.0.0 Ethernet0/1

ip access-list extended r4list

permit ip 192.168.1.0 0.0.0.255 192.168.4.0 0.0.0.255

動態MAP的總結：動態MAP和靜態MAP比較，動態MAP的使用環境中由于不了解對端和自己建立IPSEC隧道的地址，所以在IKE秘鑰交換的時候只能寫8個0。

另外在MAP中也沒有set peer和match add這兩條命令，因為不知道對端的地址當然沒有set peer；因為不知道對方需要加密的流量（也就是私有地址），當然就沒有match add來匹配感興趣流，所以這樣HUB端是無法知道SPOKE端的地址的，如果兩點仍想通信，只能先從SPOKE端向HUB端發起會話后，從而建立了IKE SA 和IPSEC SA之后，HUB才能主動去訪問SPOKE。

向AI問一下細節

亚洲激情专区-91九色丨porny丨老师-久久久久久久女国产乱让韩-国产精品午夜小视频观看

Dynamic Map

猜你喜歡

亚洲激情专区-91九色丨porny丨老师-久久久久久久女国产乱让韩-国产精品午夜小视频观看

Dynamic Map

猜你喜歡

最新資訊

相關推薦

相關標簽