一、你是否熟悉Site-toSite IPSec配置,如果熟悉请跳下一步。

wKioL1fOGb_wYjd4AAHsldjwsLc459.jpg

1、绿色序号10是本地排序,越小越优先。通常选3des、MD5、pre-share、group 2。加上sa时间是五元组

2、紫色key是要和对端IPSec配置一致的,IP地址是对端设备

3、传输集是要体现在加密图(crypto map)里面的。三元组:加密、认证和隧道

    模式要选择隧道(tunnel)不要选AH,AH无法穿越NAT

+、配置×××感兴趣流

4、绿色序号10是本地排序,一个接口只能应用一个加密图(crypto map)但里面可以加载多个IPSec。

   比如后面我们要把Easy×××合并进来,在这里设置另外一个序号就可以了。

5、进入接口,应用加密图(crypto map)到接口


二、DM×××和上述Site-to-Site IPSec配置的不同之处。

1、数字序号2处,Crypto isakmp key XXX address X.X.X.X

   改为Crypto isakmp key XXX address 0.0.0.0

2、数字序号4之前,添加一条crypto dynamic-map XXX 10

   在这里匹配set transform-set和match address。而且无需set peer。

   XXX最终被crypto map引用。

3、数字序号4处,Crypto map XX-to-XX 10 ipsec-isakmp

   改为crypto map XX-to-XX 10 ipsec-isakmp dynamic XXX


三、如何叠加Easy××× Server

wKiom1fOFw2CDPi-AAJu4M5mlfg099.jpg

最后应用加密图(crypto map)使用了序号11(只要不是上面的10就行)。

这样DM×××和Easy×××就都加载进去了。

Happy!