2007-11-23 09:35:52 (192.168.2.1)R1(10.10.1.1)-----(10.10.1.2)R2(10.10.2.1)---------(10.10.2.2)R3(172.16.1.1)/24 现假设R3通过ASDL上网,则10.10.2.2 为未知,我们把R3上配静态MAP,在R1上配动态MAP,建立××× 注意:动态MAP即有固定IP一方需做以下配置 1、配置密钥时用通配符表示对方IP 2、配置一动态MAP,其中只需配传输集,但有ACL时可以匹配 3、定义一个静态MAP,把动态MAP包含进去,因为端口上只能启用动态MAP 4、只能由有动态IP的一方发起连接 一、R1 1、 crypto isakmp enable 启用ISAKMP/IKE Crypto isakmp identity address 定义发送的身份为IP地址 Crypto isakmp policy 1 定义策略,即用于管理连接的策略 Authentication pre-share Encryption des Hash md5 Group 1 Lifetime 86400 Exit 2、 crypto isakmp key 0 123 address 0.0.0.0 0.0.0.0 no-xauth 定义共享密钥 3、 ip access-list extended ***acl Permit ip 192.168.2.0 0.0.0.255 172.16.1.0 0.0.0.255 定义需要保护的数据量 4、 ip route 0.0.0.0 0.0.0.0 10.10.1.2 5、 crypto ipsec transform-set r3 esp-md5-hmac esp-des 定义变换集即为保护方法 Mode tunnel 5.1 crypto dynamic-map dynmap 10 Set transform-set r3 Match address ***acl 6、 crypto map tor3 100 ipsec-isakmp dynamic dynmap 定义保护流量应该转发给谁 7、如果在出站接口上有ACL,则一定要为IPSEC协商过程中的未保护流量定义ACL Access-list 102 permit udp host 10.10.2.2 host 10.10.1.1 eq 500 Access-list 102 permit esp host 10.10.2.2 host 10.10.1.1 Access-list 102 ip 172.16.1.0 0.0.0.255 192.168.2.0 0.0.0.255 Deny ip any any 8、在外部接口激活ACL和MAP Int s1/0 Ip access-group 102 in Crypto map tor3 二、R3上只需改变以下对应项即可 2、crypto isakmp key 123 address 10.10.1.1 255.255.255.255 no-xauth 3 ip access-list extended ***acl Permit ip 172.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 4 ip route 0.0.0.0 0.0.0.0 10.10.2.1 5 crypto ipsec transform-set r1 esp-md5-hmac esp-des 6 crypto map tor1 100 ipsec-isakmp set peer 10.10.1.1 set transform-set r1 7 access-list 102 permit ip 192.168.2.0 0.0.0.255 172.16.1.0 0.0.0.255 access-list 102 permit udp host 10.10.1.1 host 10.10.2.2 eq 500 access-list 102 permit esp host 10.10.1.1 host 10.10.2.2 8 int s1/0 ip access-group 102 in crypto map tor1 |