导航：首页 > 网络安全 >

Dynamic Map

发表于：2025-02-07 作者：千家信息网编辑

千家信息网最后更新 2025年02月07日，动态MAP：适用场合：中心有固定IP地址而分支没有固定IP地址的情况，如果两端都是CISCO的设备，不建议采用此方案，建议采用EZ×××的方式。如果不都是CISCO的产品，这是唯一的解决办法。拓扑描述

千家信息网最后更新 2025年02月07日Dynamic Map

动态MAP：

适用场合：中心有固定IP地址而分支没有固定IP地址的情况，如果两端都是CISCO的设备，不建议采用此方案，建议采用EZ×××的方式。如果不都是CISCO的产品，这是唯一的解决办法。

拓扑描述：R2HUB R4,R5为SPOKE。 R5的E0/0地址为DHCP获得动态MAP的配置： R2： crypto isakmp policy 10 authentication pre-share ! crypto isakmp key cisco address 0.0.0.0 0.0.0.0 //对端地址8个0是因为R2要同时和R4、R5建立IPSEC ×××，而R5的地址是DHCP自动获得，R2无法得知，所以只能写8个0. crypto ipsec transform-set set esp-des esp-md5-hmac ! crypto dynamic-map dymap 10 //创建一个动态MAP，因为不知道对端地址，所以也没有match add和set peer这些命令 set transform-set set ! crypto map map 10 ipsec-isakmp //创建静态MAP，policy10是与R4的静态MAP，因为R4有静态地址，所以可以match add和set peer set peer 34.1.1.4 set transform-set set match address r4list crypto map map 1000 ipsec-isakmp dynamic dymap //将刚刚创建的动态MAP与静态MAP结合，而且绑定动态MAP的policy序号要写的大一些，让静态MAP优先查找 ! ip route 0.0.0.0 0.0.0.0 Ethernet0/1 ! ip access-list extended r4list permit ip 192.168.1.0 0.0.0.255 192.168.4.0 0.0.0.255 动态MAP的总结：动态MAP和静态MAP比较，动态MAP的使用环境中由于不了解对端和自己建立IPSEC隧道的地址，所以在IKE秘钥交换的时候只能写8个0。另外在MAP中也没有set peer和match add这两条命令，因为不知道对端的地址当然没有set peer；因为不知道对方需要加密的流量（也就是私有地址），当然就没有match add来匹配感兴趣流，所以这样HUB端是无法知道SPOKE端的地址的，如果两点仍想通信，只能先从SPOKE端向HUB端发起会话后，从而建立了IKE SA 和IPSEC SA之后，HUB才能主动去访问SPOKE。