动态MAP VPN实验

动态MAP适用于中心有固定IP地址但是分支机构没有固定IP地址的情况，如果都是Cisco设备不建议采用

这个方案，建议使用EZVPN来解决。如果不都是CISCO产品这是唯一的解决办法，例如：中心是Cisco产品

分支采用的是其他厂商VPN产品，并且，其他厂商VPN产品没有固定IP地址。

Center：

interface f0/0

 ip address 202.100.1.1 255.255.255.0

!

int loopback 0

 ip address 1.1.1.1 255.255.255.0

!

ip route 0.0.0.0 0.0.0.0 202.100.1.10

!

crypto isakmp policy 10

  authentication pre-share

crypto isakmp key cisco address 0.0.0.0 0.0.0.0

(由于远端地址为动态，所以只能使用八个零的配置方式)

crypto ipsec transform-set ciscoesp-des esp-md5-hmac

!

crypto dynamic-map dymap 10

  set transform-set cisco

crypto map ccie 1000 ipsec-isakmp dynamic dymap

(动态map的id应该是最后一个，让明细map优先匹配)

interface F0/0

  crypto map ccie

Internet：

interface f0/0

  ip address 202.100.1.10 255.255.255.0

!

interface f0/1

  ip address 61.128.1.10 255.255.255.0

!

Site2:

        crypto isakmp policy 10

           authentication pre-share

        crypto  isakmp key cisco address 202.100.1.1

        crypto  ipsec transform-set cisco esp-des esp-md5-hmac

        !

        ip access-list extended vpn

           permit ip 2.2.2.0 0.0.0.255 1.1.1.0 0.0.0.255

        !

        crypto  map ccie 10 ipsec-isakmp

           set peer 202.100.1.1

           set transform-set cisco

           match address vpn

        interface f0/0

           crypto map ccie

测试：

Center#ping 2.2.2.2 source lo0

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 2.2.2.2, timeoutis 2 seconds:

Packet sent with a source address of1.1.1.1

.....

Success rate is 0 percent (0/5)     

 (此刻中心ping不客户端，因为中心没有客户端peer,感兴趣流，必须是由客户端发起)

Branch#ping 1.1.1.1 source lo0

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 1.1.1.1, timeoutis 2 seconds:

Packet sent with a source address of2.2.2.2

.!!!!

Success rate is 80 percent (4/5),round-trip min/avg/max = 52/76/92 ms

Center#ping 2.2.2.2 source lo0

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 2.2.2.2, timeoutis 2 seconds:

Packet sent with a source address of1.1.1.1

!!!!!

Success rate is 100percent (5/5), round-trip min/avg/max = 48/70/92 ms

总结：

1.Center不能主动向Branch发起连接，必须要等Branch主动发起建立VPN以后，Center端网络才能访问Branch端网络。

2.Center和Branch间没有虚拟隧道接口，不能够运行动态路由协议，所以动态MAP技术只适用于网络环境比较简单的场合。

本文出自 “优乐美” 博客，请务必保留此出处http://youlemei.blog.51cto.com/2294538/1653980