购买或续订
购买或续订
取消
开启建议
自动建议可通过在您键入时建议可能的匹配,而快速缩小您的搜索结果范围。
显示结果 
搜索替代 
您的意思是: 
cancel
开始对话
3363
查看次数
0
有帮助
8
回复

路由器DDNS更新问题

查看解答
tony_tan
Spotlight
Spotlight

发布时间 ‎05-12-2020 06:41 AM

各位大神,请教一个2911路由器配置DDNS的问题,不是本机路由器地址不更新,是在配置L2LVPN的时候,本端使用crypto isakmp peer hostname xxx.f3322.net时,输入完这条命令,路由器会立马解析对端公网的地址,因为对端是ADSL,外网的地址过几天就会更新一次,每更新后,IPSEC就不能用了,本端路由器上还是上次解析的地址,而不是当时输入的动态域名,每次都要no crypto isakamp peer address x.x.x.x,重新输入crypto isakmp peer hostname xxx.f3322.net 请各位大神指点,明明输入的是一个域名确给解析一个地址,谢谢!
IOS版本: Version 15.7(3)M6
标签:
0 有帮助
1 个已接受解答

已接受的解答

查看解答
wuhao0015
Spotlight
Spotlight

发布时间 ‎05-12-2020 06:41 AM

用动态map ,set peer的方式做。不用crypto isakmp peer address 这种配置方式。

在原帖中查看解决方案

0 有帮助
8 条回复8

查看解答
wuhao0015
Spotlight
Spotlight

发布时间 ‎05-12-2020 06:41 AM

用动态map ,set peer的方式做。不用crypto isakmp peer address 这种配置方式。
0 有帮助

查看解答
YilinChen
Spotlight
Spotlight

发布时间 ‎05-12-2020 05:28 PM

楼主描述的现象很正常,因为路由器本地的DNS TTL没超时,不会再次主动去刷新解析;
然后就要看现网结构环境了,如果2911是总部,可以考虑改成被动接收充许任意IP均可连接IPSEC,由远端来主动发起IPSECVPN连接请求。
0 有帮助

查看解答
tony_tan
Spotlight
Spotlight

发布时间 ‎05-12-2020 09:37 PM

你好因为两端都是ADSL网络
0 有帮助

查看解答
YilinChen
Spotlight
Spotlight

发布时间 ‎05-14-2020 01:29 AM

2端都是ADSL的话,那还是回到老路上了,动态DNS,设备上查查命令,看看能不能缩减设备本身DNS缓存TTL的老化时间。
另外一种思路,就是加个EEM(TCL)的脚本,可以基于LOG的ERROR信息,执行相应的命令,强制刷新一下DNS解析,这样就能自动化自恢复了。
0 有帮助

查看解答
wuhao0015
Spotlight
Spotlight

发布时间 ‎05-14-2020 09:26 PM

看我下面的案例。。。
crypto isakmp policy 10
encr aes
authentication pre-share
group 2
!
ip access-list extended crypto-ACL
permit ip 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255
!
crypto isakmp key cisco123 address 0.0.0.0 0.0.0.0
!
crypto ipsec transform-set myset esp-aes esp-sha-hmac
!
crypto dynamic-map dyn 10
set transform-set myset
!
crypto map mymap 10 ipsec-isakmp
match address 140
set peer vpn2.iteachs.com dynamic
set transform-set myset
crypto map mymap 65535 ipsec-isakmp dynamic dyn
!
interface fastethernet0/0
ip address dhcp
crypto map mymap
0 有帮助

查看解答
tony_tan
Spotlight
Spotlight

发布时间 ‎05-17-2020 09:25 PM

wuhao0015 发表于 2020-5-15 12:26
看我下面的案例。。。
crypto isakmp policy 10
encr aes

crypto isakmp policy 10
encr 3des
hash md5
authentication pre-share
group 2
lifetime 28800
crypto isakmp keepalive 10 periodic
crypto isakmp peer address 221.224.248.229 \\这里被配置的时候是crypto isa peer host ipsec1.f3322.net,被自动解析也了IP
set aggressive-mode password 123456
set aggressive-mode client-endpoint fqdn CISCO2911_Router
crypto ipsec transform-set Small_Office esp-3des esp-md5-hmac
mode tunnel
crypto map L2LVPN 10 ipsec-isakmp
set peer ipsec1.f3322.net dynamic
set security-association lifetime seconds 900
set transform-set Small_Office
match address L2LVPN
crypto map L2LVPN
CISCO2911_Router#
0 有帮助

查看解答
tony_tan
Spotlight
Spotlight

发布时间 ‎05-19-2020 05:32 AM

wuhao0015 发表于 2020-5-18 12:30
用动态map ,set peer的方式做。不用crypto isakmp peer address 这种配置方式。

你好“wuhao0015" 两边都是ADSL,使用这种方式可以吗?谢谢,请回复
0 有帮助

查看解答
wuhao0015
Spotlight
Spotlight

发布时间 ‎05-19-2020 06:51 PM

tony_tan 发表于 2020-5-19 20:32
你好“wuhao0015" 两边都是ADSL,使用这种方式可以吗?谢谢,请回复

可以。 .
0 有帮助
快捷链接

浏览社区快速链接并以您的母语获取个性化内容:

发布或浏览文章 分享想法或新闻 观看我们的所有视频
Customers Also Viewed These Support Documents