2007-11-23 09:35:52
(192.168.2.1)R1(10.10.1.1)-----(10.10.1.2)R2(10.10.2.1)---------(10.10.2.2)R3(172.16.1.1)/24
现假设R3通过ASDL上网，则10.10.2.2 为未知，我们把R3上配静态MAP,在R1上配动态MAP,建立×××
注意：动态MAP即有固定IP一方需做以下配置
1、配置密钥时用通配符表示对方IP
2、配置一动态MAP，其中只需配传输集，但有ACL时可以匹配
3、定义一个静态MAP，把动态MAP包含进去，因为端口上只能启用动态MAP
4、只能由有动态IP的一方发起连接
一、R1
1、 crypto isakmp enable
启用ISAKMP/IKE
Crypto isakmp identity address
定义发送的身份为IP地址
Crypto isakmp policy
1
定义策略，即用于管理连接的策略
Authentication pre-share
Encryption des
Hash md5
Group 1
Lifetime 86400
Exit
2、 crypto isakmp key 0 123 address 0.0.0.0 0.0.0.0 no-xauth
定义共享密钥
3、 ip access-list extended ***acl
Permit ip 192.168.2.0 0.0.0.255 172.16.1.0 0.0.0.255
定义需要保护的数据量
4、 ip route 0.0.0.0 0.0.0.0 10.10.1.2
5、 crypto ipsec transform-set r3 esp-md5-hmac esp-des
定义变换集即为保护方法
Mode tunnel
5.1
crypto dynamic-map dynmap 10
Set transform-set r3
Match address ***acl
6、 crypto map tor3 100 ipsec-isakmp
dynamic dynmap
定义保护流量应该转发给谁
7、如果在出站接口上有ACL，则一定要为IPSEC协商过程中的未保护流量定义ACL
Access-list 102 permit udp host 10.10.2.2 host 10.10.1.1 eq 500
Access-list 102 permit esp host 10.10.2.2 host 10.10.1.1
Access-list 102 ip 172.16.1.0 0.0.0.255 192.168.2.0 0.0.0.255
Deny ip any any
8、在外部接口激活ACL和MAP
Int s1/0
Ip access-group 102
in
Crypto map tor3
二、R3上只需改变以下对应项即可
2、crypto isakmp key 123 address 10.10.1.1 255.255.255.255 no-xauth
3
ip access-list extended ***acl
Permit ip 172.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
4
ip route 0.0.0.0 0.0.0.0 10.10.2.1
5
crypto ipsec transform-set r1 esp-md5-hmac esp-des
6
crypto map tor1 100 ipsec-isakmp
set peer 10.10.1.1
set transform-set r1
7
access-list 102 permit ip 192.168.2.0 0.0.0.255 172.16.1.0 0.0.0.255
access-list 102 permit udp host 10.10.1.1 host 10.10.2.2 eq 500
access-list 102 permit esp host 10.10.1.1 host 10.10.2.2
8
int s1/0
ip access-group 102 in
crypto map tor1