第一步 配置IKE协商
R1(config)#crypto isakmp policy 1
//建立IKE协商策略
R1(config-isakmap)# hash md5
//设置密钥验证所用的算法
R1(config-isakmap)# authentication pre-share
//设置路由要使用的预先共享的密钥
R1(config)# crypto isakmp key 123 address 192.168.1.2
//设置共享密钥和对端地址 123是密钥
R2(config)#crypto isakmp policy 1
R2(config-isakmap)# hash md5
R2(config-isakmap)# authentication pre-share
R2(config)# crypto isakmp key 123 address 192.168.1.1
第二步 配置IPSEC相关参数
R1(config)# crypto ipsec transform-set cfanhome ah-md5-hmac esp-des
//配置传输模式以及验证的算法和加密的的算法 cfanhome这里是给这个传输模式取个名字
R1(config)# access-list 101 permit ip any any
//这里是定义访问控制列表
R2(config)# crypto ipsec transform-set cfanhome ah-md5-hmac esp-des
//两边的传输模式的名字要一样
R2(config)# access-list 101 permit ip any any
第三步 应用配置到端口 假设2个端口都是s0/0
R1(config)# crypto map cfanhomemap 1 ipsec-isakmp
//采用IKE协商,优先级为1 这里的cfanhomemap是一个表的名字
R1(config-crypto-map)# set peer 192.168.1.2
//指定VPN链路对端的IP地址
R1(config-crypto-map)# set transform-set cfanhome
//指定先前所定义的传输模式
R1(config-crypto-map)# match address 101
//指定使用的反问控制列表
R1(config)# int s0/0
R1(config-if)# crypto map cfanhomemap
//应用此表到端口
调试命令
show crypto map 看映射表
show crypto ipsec transform-set 看校验和加密
show crypto isakmp sa 看sa(安全连接)的状态