使用场合:中心站点有固定IP地址,但是分支机构没有固定IP地址的情况,分支站点可能是PPPOE拨号的。。。。。。。(如果都是CISCO设备不建议采用这个方案,建议使用EZVPN)
如上实验 图:R1为中心场点,R3为移动场点,R3的IP地址是不固定的 R3上的配置(R3上的配置是按照VPN标准去配) r3(config)#crypto isakmp policy 10 r3(config-isakmp)#authentication pre-share r3(config)#cry isakmp key 0 cisco add 202.100.1.1 r3(config)#cry ipsec transform-set cisco esp-3des esp-md5-hmac r3(config)#access-list 110 permit ip 3.3.3.0 0.0.0.255 1.1.1.0 0.0.0.255 r3(config)#crypto map cisco 10 ipsec-isakmp r3(config-crypto-map)#match address 110 r3(config-crypto-map)#set transform-set cisco r3(config-crypto-map)#set peer 202.100.1.1 r3(config)#int s1/3 r3(config-if)#cry map cisco R1上的配置(R1上的配置就要做动态了) r1(config)#crypto isakmp policy 10 r1(config-isakmp)#authentication pre-share r1(config)#crypto isakmp key 0 cisco address 0.0.0.0 0.0.0.0 (写成零是任何的意思,这样是不安全的,只要知道KEY任何都可以连上来) r1(config)#crypto ipsec transform-set cisco esp-3des esp-md5-hmac r1(config)#crypto dynamic-map dymap 10 (定义一个动态的MAP) r1(config-crypto-map)#set transform-set cisco r1(config)#crypto map cisco 1000 ipsec-isakmp dynamic dymap (将动态绑在静态上) r1(config)#int s1/2 r1(config-if)#crypto map cisco 在动态MAP下没有set peer,因为动态VPN的SERVER端默认对端用什么地址和我连接,我就认为他是我的peer了。感兴趣流为对端写什么感兴趣流,就是我的感兴趣流了。动态的只能就是由客户端发起 |
