Leaflet
9-49
思科 ASA 系列命令参考,A 至 H 命令
第 9 章 crypto am-disable 至 crypto ipsec ikev1 transform-set mode transport 命令
crypto dynamic-map set ikev1 transform-set
• 具有动态分配的专用 IP 地址的对等设备。
请求远程访问隧道的对等设备通常具有头端分配的专用 IP 地址。通常情况下,LAN-to-LAN
隧道有一组预先确定的专用网络,用于配置静态映射,进而用于建立 IPsec SA。
作为配置静态加密映射的管理员,您可能不知道动态分配的 IP 地址(通过 DHCP 或其他方法),
而且您可能不知道其他客户端的专用 IP 地址(无论它们如何分配)。VPN 客户端通常没有静态 IP
地址;这些客户端需要动态加密映射来支持 IPsec 协商。例如,头端在 IKE 协商期间向思科 VPN
客户端分配 IP 地址,该客户端则用分配的 IP 地址协商 IPsec SA。
动态加密映射可以简化 IPsec 配置,我们建议将其用于并不总是预先确定对等设备的网络。使用
思科 VPN 客户端(如移动用户)的动态加密映射和获取动态分配的 IP 地址的路由器。
提示 请小心使用 permit 条目中的 any 关键字。如果此类 permit 条目覆盖的流量可能包括组播或广播
流量,请将相应地址范围的 deny 条目插入到访问列表中。记住为网络和子网广播流量以及任何
IPsec 不应保护的其他流量插入 deny 条目。
动态加密映射仅用于与发起连接的远程对等设备协商 SA。ASA 不能使用动态加密映射发起与远
程对等设备的连接。配置动态加密映射后,如果出站流量与访问列表的 permit 条目匹配并且对应
的 SA 不存在,ASA 会丢弃流量。
加密映射集可能包括动态加密映射。动态加密映射集应是加密映射集中优先级最低的加密映射
(即它们具有最高序列号),以便 ASA 先评估其他加密映射。仅当其他(静态)映射条目不匹
配时,它才检查动态映射集。
类似于静态加密映射集,动态加密映射集包括具有相同动态映射名称的所有动态加密映射。动态
序列号用于区分一个动态加密映射集中的动态加密映射。如果您配置动态加密映射,请插入允许
ACL 为加密访问列表标识 IPsec 对等设备的数据流。否则 ASA 会接受对等设备提供的所有数据流
身份。
注意事项 请勿将要通过隧道传输的流量的静态(默认)路由分配给使用动态加密映射集配置的 ASA 接
口。要标识应通过隧道传输的流量,请将 ACL 添加到动态加密映射。配置与远程访问隧道关联
的 ACL 时,请小心标识合适的地址池。仅在隧道启用后使用反向路由注入安装路由。
您可以在一个加密映射集中同时包含静态和动态映射条目。
示例 以下示例创建名为 dynamic0 的动态加密映射条目(包括相同的 10 个转换集)。
ciscoasa(config)# crypto dynamic-map dynamic0 1 set ikev1 transform-set 3des-md5 3des-sha
56des-md5 56des-sha 128aes-md5 128aes-sha 192aes-md5 192aes-sha 256aes-md5 256aes-sha
ciscoasa(config)#
相关命令
命令 说明
crypto ipsec ikev1 transform-set
配置 IKEv1 转换集。
crypto map set transform-set
指定要在加密映射条目中使用的转换集。
clear configure crypto dynamic-map
从配置中清除所有动态加密映射。
show running-config crypto dynamic-map
显示动态加密映射配置。
show running-config crypto map
显示加密映射配置。