多厂商系列之四ciscoh3c dynamic lan-to包含路由器asa msr

多厂 系列之四：Cisco&H3CDynamicLAN-To-【包含路由器ASAMSR在传统的LAN-To-LAN中，须为每个isakmppeer设置一个key，同时还需要指定peer的地址，在这种情况下，一旦多一个IPv4的网络中，由于地址的缺乏，通过动态获取的公网IP已经普遍了，这种情况下，在传统的L2L中是建立不起的。isakmppeercisco由一样iproute192.168.1.0255.255.255.0中包括192.168.1.1~192.168.1.254的范围，isakmppeer也可以使用这样的方式0.0.0.00.0.0.0包括了所有的peer，这样无论多少个邻居，都能匹配上这个peer。第二个问题是cryptomap中的peer，跟isakmp一样，需要为定义一个peer地址，但是必须为具体的地址，所以必须采用一个可以对应多个peercisco的Dynamicmap，在dynamicmappeer，0.0.0.0地址，这样无论多少个peer，都可以对应上动态map。DynamicLAN-To-LANKeyHubSpokeHub-and-spokeSpokeHubSpokeHubDynamicmapSpoke端与平常的LAN-To-LAN配置一模一样，这里只要求HubIP，其余的分部可以是动态获取的。Spoke端的配置除了ACL不一样以外，其余的都一样，所以可以粘贴来简化配置。先行发起流量来建立DynamicLAN-to- 支持Router，PIX，ASA密流量用loopback口来模拟。1、cryptoisakmppolicy authenticationpre-share2、cryptoisakmpkey0ciscoaddress0.0.0.0 设置key为cisco地址为任意地3、cryptoipsectransform-settransesp-desesp-md5-hmac 设置IPsec策略，mode为tunnel4、cryptodynamic-mapdyl2l10 ：设置一个动态map名字为dyl2l序列号为10settransform-set Ipsec5、cryptomapdyl2l10ipsec-isakmpdynamic6internets1/0cryptomapdyl2lcryptoisakmppolicy10cryptoisakmpkeyciscoaddress!!cryptoipsectransform-settransesp-desesp-md5-!cryptomapdyl2l10ipsec-isakmpsetpeer12.1.1.1matchaddress100的：access-list100permitiphost2.2.2.2host长沙：access-list100permitiphost3.3.3.3host 开始，在Hub端showcryptoengineconnectionsactive查看加情 测试在PAT的情况下，会发生什么样的情况ipaccess-listextended101ipnatinsidesourcelist101interfaces1/0Insideloopback查看状态，都是很正常的，再次测试流量来, 的流量并没有走 隧道而是走的PAT，转换了源地址。说明接口下同时存在NAT和发现目标网络是3.3.3.3的数据包，直接丢弃，这里3.3.3.3模拟私网网络。(私网网络是不允许在internet上转发的)。解决办法：因为NAT优于 Hub端：ipaccess-listextended101denyiphost1.1.1.1host2.2.2.2denyiphost1.1.1.1host3.3.3.3permitipanyany了接口下的Map。Spoke1端：ipaccess-listextended101denyiphost2.2.2.2host1.1.1.1permitipanySpoke2端：ipaccess-listextendeddenyiphost3.3.3.3host1.1.1.1permitipanyanyIOS配置一模一样，只是isakmp1、cryptoisakmpenable 开启isakmp，在上需要跟接2、cryptoisakmppolicy10 这个为的默认策略，这里注意的是IOS的默认策略是不同的，所以在配置IOS的encryption3desgroup2showrunning-configisakap查看默认策略3、tunnel-groupDefaultL2LGroupipsec-attributespre-shared-keyciscoASA7.0cryptoisakmpkeyciscoaddress0.0.0.0netmask0.0.0.0动转换成这个形式，在动态L2L下面不需要使用,在这里DYnamic必须使用defaultgroup的策略，0.0.0.0不好使 showrunning-configtunnel-group查4、cryptoipsectransform-settransesp-desesp-md5-hmac设置IPsec5、cryptodynamic-mapdyl2l10settransform-settrans 6、cryptomapdyl2l10ipsec-isakmpdynamic 7、cryptomapdyl2linterface 调用静态map到outside接口isakmppolicypre-shared-key加密为3desgroup!cryptoisakmppolicy10encr3desgroup2cryptoisakmpkeyciscoaddress!!cryptoipsectransform-settransesp-desesp-md5-!cryptomapdyl2l10ipsec-isakmpsetpeer12.1.1.1matchaddress100!SpokeACLaccess-list100permitip2.2.2.00.0.0.255192.168.1.0access-list100permitip3.3.3.00.0.0.255192.168.1.0R1模拟Hub端，R2做 R3为SpokeR1与R3有个环回口，R3为动态获取地1、ikepeerexchange-modeaggressive remote-address0.0.0.0255.255.255.255pre-shared-keyH3C2、ipsecproposal 创建一个proposal采用默认策3、aclnumber3000 在H3C里面实现，必须设置一个ACL，为any到anyrule0permitipsourceanydestinationany4、ipsecpolicydyl2l10 securityaclike-peerproposal5interfaces0/2/0ipsecpolicydyl2likepeerexchange-modeaggressivepre-shared-keyH3Cremote-address12.1.1.1!ipsecproposoal!aclnumberrule0permitipsource3.3.3.30destiantion1.1.1.