IOS固定IP对动态IP用pre-share

2007-11-23 09:35:52

　标签：IOS 动态IP PRE　　　[推送到技术圈]

(192.168.2.1)R1(10.10.1.1)-----(10.10.1.2)R2(10.10.2.1)---------(10.10.2.2)R3(172.16.1.1)/24

现假设R3通过ASDL上网，则10.10.2.2 为未知，我们把R3上配静态MAP,在R1上配动态MAP,建立VPN

注意：动态MAP即有固定IP一方需做以下配置

1、配置密钥时用通配符表示对方IP

2、配置一动态MAP，其中只需配传输集，但有ACL时可以匹配

3、定义一个静态MAP，把动态MAP包含进去，因为端口上只能启用动态MAP

4、只能由有动态IP的一方发起连接

一、R1

1、 crypto isakmp enable 启用ISAKMP/IKE

Crypto isakmp identity address 定义发送的身份为IP地址

Crypto isakmp policy 1 定义策略，即用于管理连接的策略

Authentication pre-share

Encryption des

Hash md5

Group 1

Lifetime 86400

Exit

2、 crypto isakmp key 0 123 address 0.0.0.0 0.0.0.0 no-xauth 定义共享密钥

3、 ip access-list extended vpnacl

Permit ip 192.168.2.0 0.0.0.255 172.16.1.0 0.0.0.255 定义需要保护的数据量

4、 ip route 0.0.0.0 0.0.0.0 10.10.1.2

5、 crypto ipsec transform-set r3 esp-md5-hmac esp-des 定义变换集即为保护方法

Mode tunnel

5.1 crypto dynamic-map dynmap 10

Set transform-set r3

Match address vpnacl

6、 crypto map tor3 100 ipsec-isakmp dynamic dynmap 定义保护流量应该转发给谁

7、如果在出站接口上有ACL，则一定要为IPSEC协商过程中的未保护流量定义ACL

Access-list 102 permit udp host 10.10.2.2 host 10.10.1.1 eq 500

Access-list 102 permit esp host 10.10.2.2 host 10.10.1.1

Access-list 102 ip 172.16.1.0 0.0.0.255 192.168.2.0 0.0.0.255

Deny ip any any

8、在外部接口激活ACL和MAP

Int s1/0

Ip access-group 102 in

Crypto map tor3

二、R3上只需改变以下对应项即可

2、crypto isakmp key 123 address 10.10.1.1 255.255.255.255 no-xauth

3 ip access-list extended vpnacl

Permit ip 172.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255

4 ip route 0.0.0.0 0.0.0.0 10.10.2.1

5 crypto ipsec transform-set r1 esp-md5-hmac esp-des

6 crypto map tor1 100 ipsec-isakmp

set peer 10.10.1.1

set transform-set r1

7 access-list 102 permit ip 192.168.2.0 0.0.0.255 172.16.1.0 0.0.0.255

access-list 102 permit udp host 10.10.1.1 host 10.10.2.2 eq 500

access-list 102 permit esp host 10.10.1.1 host 10.10.2.2

8 int s1/0

ip access-group 102 in

crypto map tor1

本文出自 “along” 博客，请务必保留此出处http://liyulong.blog.51cto.com/139287/51904

昵称：
验证码：		点击图片可刷新验证码　　博客过2级，无需填写验证码
内容：