动态对静态的vpn

如果都是cisco产品,可不用这种技术,因为cisco有更好的解决方法ezvpn.如果是不同厂家产品可使用此技术。

zhongxin:

ip route 0.0.0.0 0.0.0.0 123.1.1.2

fengzhi:

ip route 0.0.0.0 0.0.0.0 123.1.1.1

cry isa pol 10

au pre

h m

cry isa key 0 cisco address 123.1.1.1

cry ipsec transform-set cisco esp-des esp-md5-hmac

access-list ex vpn

permit ip host 2.2.2.2 host 1.1.1.1

cry map cisco 10 ipsec-isa

match address vpn

set peer 123.1.1.1

set transform-set cisco

int f0/0

zhongxin:cry isa pol 10

au pre

hash md5

cry isakmp key 0 cisco address 0.0.0.0 0.0.0.0(任何客户只要提交了isakmp key都可以工作)cry ipsec transform-set cisco esp-des esp-md5-hmac

不知道peer和感兴趣流,应该做动态map,不需要指定感兴趣流和peer。

cry dynmic-map cisco 10

set ransform-set cisco

match address

动态map需要静态map的调用才可以工作,动态map是不能直接应用到接口的。

cry map cisco 10 ipsec-isakmp synmaic cisco

动态map的调用建议是最后一个id,给一些静态首先查询的机会,最后才会轮到动态map的id

int f0/0

cry map cisco

这个vpn只能是分支机构发起,因为中心根本不知道对方的地址是什么。