PDF《解决方案：如何做动态L2L通道落入其它通道组》

解决方案:如何做动态L2L通道落入其它通道组 目录 简介 先决条件 要求 使用的组件 规则 症状 原因/问题说明 情况/环境 解决方法 相关信息 简介 本文提供信息关于怎样做动态L2L通道落入其它通道组.

先决条件 要求 本文档没有任何特定的要求. 使用的组件 本文档不限于特定的软件和硬件版本. 规则 有关文档规则的详细信息,请参阅 Cisco 技术提示规则. 症状 在本文的示例中,网络管理员需要创建连接对集线器的不同的远程VPN spoke应该连接分离隧道群 的VPN策略,以便不同的VPN策略可以应用到每远程连接. 原因/问题说明 在动态L2L通道中,通道(发起者)的一端有一个动态IP地址.由于接收不知道哪些IP地址他们来自 ,不同于静态L2L建立隧道,不同的对等体自动地落入默认L2L组.然而,在一些情况中这不是可接 受,并且用户也许需要分配一不同的组政策或预先共享密钥对每对等体. 情况/环境 解决方法 这可以完成用这两个方式: 证书在ASA的隧道群查找进程将登陆根据证书字段的连接提交由spoke.no tunnel-group-map enable rules tunnel-group-map enable ou tunnel-group-map enable ike-id tunnel-group-map enable peer-ip tunnel-group-map default-group DefaultRAGroup q PSKs和积极模式不是所有的用户将有PKI基础设施.然而,同样可以仍然是实现的使用积极模 式参数如描述此处:HUBcrypto ipsec transform-set myset esp-3des esp-sha-hmac crypto ipsec security-association lifetime seconds

28800 crypto ipsec security-association lifetime kilobytes

4608000 crypto dynamic-map mydyn

10 set transform-set myset crypto map mymap

65535 ipsec-isakmp dynamic mydyn crypto map mymap interface outside crypto isakmp enable outside crypto isakmp policy

10 authentication pre-share encryption 3des hash sha group

2 lifetime

86400 tunnel-group SPOKE1 type ipsec-l2l tunnel-group SPOKE1 ipsec-attributes pre-shared-key cisco123 tunnel-group SPOKE2 type ipsec-l2l tunnel-group SPOKE2 ipsec-attributes pre-shared-key cisco456分支1access-list interesting extended permit ip 192.168.15.0 255.255.255.0 192.168.1.0 255.255.255.0 crypto ipsec transform-set myset esp-3des esp-sha-hmac crypto ipsec security-association lifetime seconds

28800 crypto ipsec security-association lifetime kilobytes

4608000 crypto map mymap

10 match address interesting crypto map mymap

10 set peer 10.198.16.141 crypto map mymap

10 set transform-set myset crypto map mymap

10 set phase1-mode aggressive crypto map mymap interface outside crypto isakmp identity key-id SPOKE1 crypto isakmp enable outside crypto isakmp policy

10 authentication pre-share encryption 3des hash sha group

2 lifetime

86400 tunnel-group 10.198.16.141 type ipsec-l2l tunnel-group 10.198.16.141 ipsec-attributes q pre-shared-key cisco123分支2ip access-list extended interesting permit ip 192.168.16.0 0.0.0.255 192.168.1.0 0.0.0.255 crypto isakmp policy

10 encr 3des authentication pre-share group

2 crypto isakmp peer address 10.198.16.141 set aggressive-mode password cisco456 set aggressive-mode client-endpoint fqdn SPOKE2 crypto ipsec transform-set myset esp-3des esp-sha-hmac crypto map mymap

10 ipsec-isakmp set peer 10.198.16.141 set transform-set myset match address interesting interface FastEthernet0/0 crypto map mymapHUB验证Session Type: LAN-to-LAN Detailed Connection : SPOKE2 Index :

59 IP Addr : 10.198.16.132 Protocol : IKE IPsec Encryption : 3DES Hashing : SHA1 Bytes Tx :

400 Bytes Rx :