Dynamic_ASA_to_router_lan_to_lan_×××

實驗目的：

總公司和兩個分公司之間走×××，總公司網絡邊界爲ASA，配置動態×××，使得兩個分公司都可以接入總公司內網。

拓撲圖：

實驗配置要點：

分公司R3配置ip地址和靜態路由即可（不配置靜態路由也可以，因爲dhcp獲取到地址後會生成一個管理距離爲255的靜態路由）

R6配置ip地址和dhcp服務即可。

ASA配置：

crypto ipsec transform-set myset esp-3des esp-md5-hmac 

crypto dynamic-map dmap 1 set transform-set myset

//此設置可以使ASA自動生成一條靜態路由，目標地址爲×××對端的內網網段

crypto dynamic-map dmap 1 set reverse-route     

crypto map mymap 1 ipsec-isakmp dynamic dmap     //調用dmap

crypto map mymap interface outside     //應用map到outside接口

crypto isakmp enable outside

isakmp key gezi123 address 0.0.0.0 netmask 0.0.0.0   //PSK密鑰，對端允許所有地址。

crypto isakmp policy 1

 authentication pre-share

 encryption 3des

 hash md5

 group 2

 lifetime 86400

route outside 0.0.0.0 0.0.0.0 16.16.16.6

interface Ethernet0/0

 nameif outside

 security-level 0

 ip address 10.10.10.1 255.255.255.0 

interface Ethernet0/1

 nameif inside

 security-level 100

 ip address 192.168.1.1 255.255.255.0 

!

R3配置：

crypto isakmp policy 1

 encr 3des

 hash md5

 authentication pre-share

 group 2

crypto isakmp key gezi123 address 10.10.10.1         //配置對端地址和psk

!        

crypto ipsec transform-set myset esp-3des esp-md5-hmac    //定義轉換集

!

crypto map mymap 1 ipsec-isakmp              //定義map

 set peer 10.10.10.1

 set transform-set myset 

 match address 100

!

interface Loopback0

 ip address 3.3.3.3 255.255.255.0

!

interface FastEthernet0/0

 ip address dhcp

 duplex half

 crypto map mymap

!

ip route 0.0.0.0 0.0.0.0 36.36.36.6

access-list 100 permit ip 3.3.3.0 0.0.0.255 192.168.1.0 0.0.0.255   //定義要走×××的流量

R2配置

crypto isakmp policy 1

 encr 3des

 hash md5

 authentication pre-share

 group 2

crypto isakmp key gezi123 address 16.16.16.1

!         

crypto ipsec transform-set myset esp-3des esp-md5-hmac 

!

crypto map mymap 1 ipsec-isakmp 

 set peer 10.10.10.1

 set transform-set myset 

 match address 100

!

interface Loopback0

 ip address 2.2.2.2 255.255.255.0

interface Serial1/2

 ip address 26.26.26.2 255.255.255.0

 serial restart-delay 0

 clock rate 64000

 crypto map mymap

ip route 0.0.0.0 0.0.0.0 26.26.26.6

!

access-list 100 permit ip 2.2.2.0 0.0.0.255 192.168.1.0 0.0.0.255

總結：

此實驗環境下，動態建立×××，維護方便，添加新的×××設備也方便：總公司配置不用變，只需新增加的分公司配置×××即可。要求總公司外網接口必須是靜態的ip，分公司可以是靜態的，也可以是動態的。類似於hub_spoke結構，本實驗模擬器下無法完成，配置沒有問題，暫缺實驗驗證部分。

    此環境的雖然比L2L_×××（site_to_site）有了很大的可用性，但是不足之處就是不能支持路由協議，多公司內網相互訪問不太方便，只需要配置GRE即可配置路由協議。因爲GRE Tunnel只支持路由器，不支持集中器和PIX以及ASA。所以運行在路由器上的Dyncmic_P2P_GRE_Over_IPsec_×××就可以配置路由協議。