采用动态加密映射的路由器IPSec V.P.N R1为总部，R2为运营商

采用动态加密映射的路由器IPSec V.P.N R1为总部，R2为运营商

采用动态加密映射的路由器IPSec V.P.N（基于思科）

R1为总部，R2为运营商，R3为分支机构

此案例中R1使用动态映射，R3使用静态映射，R3的f0/0使用dhcp获得动态IP地址，因此总部的管理员是不知道分支机构的IP地址的，此时就没有办法在静态加密映射中指定对方的IP地址和Crypto ACL。这就要用到动态加密映射，在静态加密映射中所需的参数将在动态加密映射中动态的填充，这是需要在分部的路由器上配置静态的加密映射，让分部发起协商。但是动态加密映射是无法应用到接口上的。所以还要创建静态的加密映射并引用动态加密映射，再把这个静态加密映射应用的接口上。

一：基本设置

R1的基本配置

R1#conf tR1(config)#int f0/0R1(config-if)#ip add 200.0.0.1 255.255.255.0R1(config-if)#no shutR1(config)#int f0/1R1(config-if)#ip add 192.168.1.254 255.255.255.0R1(config-if)#no shut

R2的基本配置

R2#conf tR2(config)#int f0/0R2(config-if)#ip add 200.0.0.2 255.255.255.0R2(config-if)#no shutR2(config-if)#int f0/1R2(config-if)#ip add 100.0.0.2 255.255.255.0R2(config-if)#no shutR2(config-if)#exit

R2(config)#ip dhcp pool ciscoR2(dhcp-config)#network 193.1.1.0 255.255.255.0

R3的基本配置

R3#conf tR3(config)#int f0/0R3(config-if)#ip add dhcpR3(config-if)#no shutR3(config-if)#int f0/1R3(config-if)#ip add 192.168.2.254 255.255.255.0R3(config-if)#no shutR3(config-if)#exitR3#show ip int br

二：路由的设置

R1的路由R1(config)#ip route 0.0.0.0 0.0.0.0 200.0.0.2

R3的路由R3(config)#ip route 0.0.0.0 0.0.0.0 100.0.0.2

三：×××的设置

R1的×××

R1(config)#crypto isakmp enable R1(config)#crypto isakmp identity address R1(config)#crypto isakmp policy 10R1(config-isakmp)#encryption aes 128R1(config-isakmp)#hash md5 R1(config-isakmp)#authentication pre-share R1(config-isakmp)#group 2R1(config-isakmp)#exitR1(config)#crypto isakmp key 6 cisco123 address 0.0.0.0 0.0.0.0 no-xauth

R1(config)#access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255R1(config)#crypto ipsec transform-set cisco-set esp-aes esp-md5-hmac R1(cfg-crypto-trans)#exitR1(config)#crypto dynamic-map cisco-dymap 10R1(config-crypto-map)#set transform-set cisco-setR1(config-crypto-map)#match address 101R1(config-crypto-map)#exitR1(config)#crypto map cisco-stmap 65000 ipsec-isakmp dynamic cisco-dymap discover

R1(config)#access-list 102 deny ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255R1(config)#access-list 102 permit ip 192.168.1.0 0.0.0.255 anyR1(config)#ip nat inside source list 102 interface f0/0 overload R1(config)#int f0/0R1(config-if)#ip nat outside R1(config-if)#crypto map cisco-stmapR1(config-if)#int f0/1R1(config-if)#ip nat inside R1(config-if)#

R3的×××

R3#conf tR3(config)#crypto isakmp enable R3(config)#crypto isakmp identity address R3(config)#crypto isakmp policy 10R3(config-isakmp)#encryption aes 128R3(config-isakmp)#hash md5R3(config-isakmp)#authentication pre-share R3(config-isakmp)#group 2R3(config-isakmp)#exitR3(config)#crypto isakmp key 6 cisco123 address 200.0.0.1 no-xauth

R3(config)#access-list 101 permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255R3(config)#crypto ipsec transform-set cisco-set esp-aes esp-md5-hmac R3(cfg-crypto-trans)#exitR3(config)#crypto map cisco-map 10 ipsec-isakmp R3(config-crypto-map)#set peer 200.0.0.1R3(config-crypto-map)#set transform-set cisco-setR3(config-crypto-map)#match address 101R3(config-crypto-map)#exit

R3(config)#access-list 102 deny ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255R3(config)#access-list 102 permit ip 192.168.2.0 0.0.0.255 anyR3(config)#ip nat inside source list 102 interface f0/0 overloadR3(config)#int f0/0R3(config-if)#ip nat outside R3(config-if)#crypto map cisco-mapR3(config-if)#int f0/1R3(config-if)#ip nat inside

测试要用pc2测到pc1的连通性，不能先用pc1去ping pc2，等测通后才能用pc1 ping通pc2本案例并没有配置R2的路由，也没有配置R1和R3的NAT，因此pc1和pc3都不能和R2（运营商）通信

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。