一、DVPN 简介
在前面的VPN中,VPN连接都是采用固定的公网地址,如果我们使用ADSL(拨号上网)的话就连接不了了,因为每次拨号公网地址都会改变,因此开发了DVPN技术(Dynamic VPN,动态VPN),DVPN动态获取对端的地址信息建立VPN连接
二、DVPN 配置
配置前提:配置IP、配置DHCP、配置路由
1. ISP端DVPN配置
crypto isakmp enable
crypto isakmp policy 10
group 2
authentication pre-share
encryption 3des
hash sha
lifetime 86400
exit
crypto isakmp key 0 abc address 0.0.0.0 0.0.0.0 //这里对所有网段配置预共享密钥
crypto ipsec transform-set ccie esp-aes esp-sha-hmac
mode tunnel
exit
access-list 100 permit ip host 2.2.2.2 host 1.1.1.1
crypto dynamic-map ccsp 10
set transform-set ccie
match address 100
//这里不设置peer,而是通过动态map来实现,动态map的作用是:当有peer和我发起协商时,会动态提取对方数据包中的源IP地址,作为下一步协商的peer
crypto map cisco 10 ipsec-isakmp dynamic ccsp
int f0/0
crypto map cisco
end
//动态map不能直接绑定到接口,这里先设一个静态map来关联动态map,再将静态map绑定到接口
2. 客户端DVPN配置
crypto isakmp enable
crypto isakmp policy 10
group 2
authentication pre-share
encryption 3des
hash sha
lifetime 86400
exit
crypto isakmp key 0 abc address 10.1.1.1 //客户端知道对端IP,所以固定配置
crypto ipsec transform-set ccie esp-aes esp-sha-hmac
mode tunnel
exit
access-list 100 permit ip host 2.2.2.2 host 1.1.1.1
crypto map cisco 10 ipsec-isakmp
set peer 10.1.1.1 //这里知道对端设备地址,所以配置固定
set transform-set ccie
match address 100
int f0/0
crypto map cisco
end
3. 测试
ping 1.1.1.1 source 2.2.2.2 //要从Client端发起请求,因为Client端知道对端IP