动态MAP VPN实验
动态MAP适用于中心有固定IP地址但是分支机构没有固定IP地址的情况,如果都是Cisco设备不建议采用
这个方案,建议使用EZVPN来解决。如果不都是CISCO产品这是唯一的解决办法,例如:中心是Cisco产品
分支采用的是其他厂商VPN产品,并且,其他厂商VPN产品没有固定IP地址。
Center:
interface f0/0
ip address 202.100.1.1 255.255.255.0
!
int loopback 0
ip address 1.1.1.1 255.255.255.0
!
ip route 0.0.0.0 0.0.0.0 202.100.1.10
!
crypto isakmp policy 10
authentication pre-share
crypto isakmp key cisco address 0.0.0.0 0.0.0.0
(由于远端地址为动态,所以只能使用八个零的配置方式)
crypto ipsec transform-set ciscoesp-des esp-md5-hmac
!
crypto dynamic-map dymap 10
set transform-set cisco
crypto map ccie 1000 ipsec-isakmp dynamic dymap
(动态map的id应该是最后一个,让明细map优先匹配)
interface F0/0
crypto map ccie
Internet:
interface f0/0
ip address 202.100.1.10 255.255.255.0
!
interface f0/1
ip address 61.128.1.10 255.255.255.0
!
Site2:
crypto isakmp policy 10
authentication pre-share
crypto isakmp key cisco address 202.100.1.1
crypto ipsec transform-set cisco esp-des esp-md5-hmac
!
ip access-list extended vpn
permit ip 2.2.2.0 0.0.0.255 1.1.1.0 0.0.0.255
!
crypto map ccie 10 ipsec-isakmp
set peer 202.100.1.1
set transform-set cisco
match address vpn
interface f0/0
crypto map ccie
测试:
Center#ping 2.2.2.2 source lo0
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 2.2.2.2, timeoutis 2 seconds:
Packet sent with a source address of1.1.1.1
.....
Success rate is 0 percent (0/5)
(此刻中心ping不客户端,因为中心没有客户端peer,感兴趣流,必须是由客户端发起)
Branch#ping 1.1.1.1 source lo0
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 1.1.1.1, timeoutis 2 seconds:
Packet sent with a source address of2.2.2.2
.!!!!
Success rate is 80 percent (4/5),round-trip min/avg/max = 52/76/92 ms
Center#ping 2.2.2.2 source lo0
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 2.2.2.2, timeoutis 2 seconds:
Packet sent with a source address of1.1.1.1
!!!!!
Success rate is 100percent (5/5), round-trip min/avg/max = 48/70/92 ms
总结:
1.Center不能主动向Branch发起连接,必须要等Branch主动发起建立VPN以后,Center端网络才能访问Branch端网络。
2.Center和Branch间没有虚拟隧道接口,不能够运行动态路由协议,所以动态MAP技术只适用于网络环境比较简单的场合。
本文出自 “优乐美” 博客,请务必保留此出处http://youlemei.blog.51cto.com/2294538/1653980
郑重声明:本站内容如果来自互联网及其他传播媒体,其版权均属原媒体及文章作者所有。转载目的在于传递更多信息及用于网络分享,并不代表本站赞同其观点和对其真实性负责,也不构成任何其他建议。