Dynamic_ASA_to_router_lan_to_lan_×××

实验目的：

总公司和两个分公司之间走×××，总公司网络边界为ASA，配置动态×××，使得两个分公司都可以接入总公司内网。

拓扑图：

实验配置要点：

分公司R3配置ip地址和静态路由即可（不配置静态路由也可以，因为dhcp获取到地址后会生成一个管理距离为255的静态路由）

R6配置ip地址和dhcp服务即可。

ASA配置：

crypto ipsec transform-set myset esp-3des esp-md5-hmac 

crypto dynamic-map dmap 1 set transform-set myset

//此设置可以使ASA自动生成一条静态路由，目标地址为×××对端的内网网段

crypto dynamic-map dmap 1 set reverse-route     

crypto map mymap 1 ipsec-isakmp dynamic dmap     //调用dmap

crypto map mymap interface outside     //应用map到outside接口

crypto isakmp enable outside

isakmp key gezi123 address 0.0.0.0 netmask 0.0.0.0   //PSK密钥，对端允许所有地址。

crypto isakmp policy 1

 authentication pre-share

 encryption 3des

 hash md5

 group 2

 lifetime 86400

route outside 0.0.0.0 0.0.0.0 16.16.16.6

interface Ethernet0/0

 nameif outside

 security-level 0

 ip address 10.10.10.1 255.255.255.0 

interface Ethernet0/1

 nameif inside

 security-level 100

 ip address 192.168.1.1 255.255.255.0 

!

R3配置：

crypto isakmp policy 1

 encr 3des

 hash md5

 authentication pre-share

 group 2

crypto isakmp key gezi123 address 10.10.10.1         //配置对端地址和psk

!        

crypto ipsec transform-set myset esp-3des esp-md5-hmac    //定义转换集

!

crypto map mymap 1 ipsec-isakmp              //定义map

 set peer 10.10.10.1

 set transform-set myset 

 match address 100

!

interface Loopback0

 ip address 3.3.3.3 255.255.255.0

!

interface FastEthernet0/0

 ip address dhcp

 duplex half

 crypto map mymap

!

ip route 0.0.0.0 0.0.0.0 36.36.36.6

access-list 100 permit ip 3.3.3.0 0.0.0.255 192.168.1.0 0.0.0.255   //定义要走×××的流量

R2配置

crypto isakmp policy 1

 encr 3des

 hash md5

 authentication pre-share

 group 2

crypto isakmp key gezi123 address 16.16.16.1

!         

crypto ipsec transform-set myset esp-3des esp-md5-hmac 

!

crypto map mymap 1 ipsec-isakmp 

 set peer 10.10.10.1

 set transform-set myset 

 match address 100

!

interface Loopback0

 ip address 2.2.2.2 255.255.255.0

interface Serial1/2

 ip address 26.26.26.2 255.255.255.0

 serial restart-delay 0

 clock rate 64000

 crypto map mymap

ip route 0.0.0.0 0.0.0.0 26.26.26.6

!

access-list 100 permit ip 2.2.2.0 0.0.0.255 192.168.1.0 0.0.0.255

总结：

此实验环境下，动态建立×××，维护方便，添加新的×××设备也方便：总公司配置不用变，只需新增加的分公司配置×××即可。要求总公司外网接口必须是静态的ip，分公司可以是静态的，也可以是动态的。类似于hub_spoke结构，本实验模拟器下无法完成，配置没有问题，暂缺实验验证部分。

    此环境的虽然比L2L_×××（site_to_site）有了很大的可用性，但是不足之处就是不能支持路由协议，多公司内网相互访问不太方便，只需要配置GRE即可配置路由协议。因为GRE Tunnel只支持路由器，不支持集中器和PIX以及ASA。所以运行在路由器上的Dyncmic_P2P_GRE_Over_IPsec_×××就可以配置路由协议。