实验拓扑:

 

樹下

RT1的配置:(这一次用主模式配置main mode)

1、连通性配置

interface s0/0

encap ppp

ip address 172.1.1.2 255.255.255.252

no shutdown

interface e1/0

ip address 192.168.20.1 255.255.255.0

no shutdown

ip route 0.0.0.0 0.0.0.0 172.1.1.1//缺省路由配置

2、IKE第一阶段配置

crypto isakmp enable//开启isakmp

crypto isakmp policy 10

 encr 3des//加密算法

 authentication pre-share//认证算法

 group 2//DH算法(1024位的直线型的算法

 hash sha//完整性检查算法

 lifetime 86400//IKE SA 生存时间

 exit

crypto isakmp identity address//发送一些标识材料

crypto isakmp key shuxia address 172.1.2.2//协商对等体的密钥为shuxia

3、第二阶段的配置

crypto ipsec transform-set t10 esp-3des esp-sha-hmac //配置IPSEC的加密算法、预共享算法

access-list 102 permit ip 192.168.20.0 0.0.0.255 192.168.36.0 0.0.0.255//配置感兴趣流

crypto map p1 10 ipsec-isakmp //map图的捆绑(三个因素)

 set peer 172.1.2.2//配置对等体

 set transform-set t10 //配置变换集

 match address 102//匹配感兴趣流

4、应用在接口上

interface s0/0

crypto map p1

exit

RT2的配置:

1、连通性配置

interface s0/0

encap ppp

ip address 172.1.2.2 255.255.255.252

no shutdown

interface e1/0

ip address 192.168.36.1 255.255.255.0

no shutdown

ip route 0.0.0.0 0.0.0.0 172.1.2.1//缺省路由配置

2、IKE第一阶段配置

crypto isakmp enable//开启isakmp

crypto isakmp policy 10

 encr 3des//加密算法

 authentication pre-share//认证算法

 group 2//DH算法(1024位的直线型的算法

 hash sha//完整性检查算法

 lifetime 86400//IKE SA 生存时间

 exit

crypto isakmp identity address//发送一些标识材料

crypto isakmp key shuxia address 172.1.1.2//协商对等体的密钥为shuxia

3、第二阶段的配置

crypto ipsec transform-set t10 esp-3des esp-sha-hmac //配置IPSEC的加密算法、预共享算法

access-list 102 permit ip 192.168.36.0 0.0.0.255 192.168.20.0 0.0.0.255//配置感兴趣流

crypto map p1 10 ipsec-isakmp //map图的捆绑(三个因素)

 set peer 172.1.1.2//配置对等体

 set transform-set t10 //配置变换集

 match address 102//匹配感兴趣流

4、应用在接口上

interface s0/0

crypto map p1

exit

注意:①、两边的算法要配置一致;

      ②、对等体的IP要配置为对端可达IP(公网)

      ③、预共享密钥要一致