一,拓撲:二,需求:1,各網段和IP地址如拓撲所示2,R1為HUB端,R2為Spoke端,R3為CA服務器3,HUB端用還回口模擬內部網絡1.1.1.0和3.3.3.0,Spoke端用還回口模擬內部網絡2.2.2.0和4.4.4.04,Proxy-ID為兩端內部網絡5,不需要添加任何路由完成需求 (視頻有詳細講解)三,說明:1,設備均使用ISR G2 1921,IOS為15.2四,配置:預共享密鈅
Security Lab的这个问题,基于一般的DMVPN,但是环境稍有变化在hub的前端多了一个ASA的NAT设备。在lab里反复敲总是不通,其实只有两点跟通常dmvpn的环境不同的是多了ASA,所以staticNAT的问题要注意,另外一点就是要在asa上放行esp和isakmp的流量,也就是udp4500和udp500的流量并且应用到ASAoutside的外部接口即可。如果需要ping通这个地址
主模式-第一阶段六个包交换细节总结:(1) 阶段1这个阶段要协商的SA可以称为ISAKMP SA(在IKE中可以称为IKE SA),该SA是为了保证阶段2的安全通信。认证方法 预先共享密钥 数字签名(DSS或RSA) 公钥加密(RSA或EI-Gamal)1.包封装:IKE的报文封装:|前导码|EtherentII|源公IP|目公IP|UDP-500|Palyload|帧尾|playload:为IK
Copyright © 2005-2025 51CTO.COM 版权所有 京ICP证060544号
