××× 配置步骤 <?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />

1. 配置 IKE 协商

  1.1  启动 IKE                     

Router(config)#crypto isakmp enable

  1.2  建立 IKE 的协商策略          

       Router (config)#crypto isakmp policy 1

(取值范围 1~10000 ,策略编号越低 优先级就越高)

<?xml:namespace prefix = st1 ns = "urn:schemas-microsoft-com:office:smarttags" /> 1.2.1   设置对称加密方式          

Router(config-isakmp)#authentication pre-share

    1.2.2  设置密钥的加密方式        

Router(config-isakmp)#encryption 3des

des | 3des 二选一 所有路由器配置要一置)

    1.2.3  设置密钥的认证方式       

 Router(config-isakmp)#hash md5

md5 | sha1 二选一 所有路由器配置要一置)

 

  1.3  设置密钥的值和对端的 IP 地址

 Router(config)#crypto isakmp key benet address 20.20.20.20

  benet 为共享密钥名字 20.20.20.20 为对端的 ip 地址)

 

2. 配置 IPsec 隧道

  2.1  设置传输模式              

 Router(config)#crypto ipsec transform-set benetset ah-md5-hmac esp-des

IPsec 传输模式的名字为 benetset 后面跟 AH 验证参数和 ESP 加密参数)

  2.2  设置 ACL 访问控制列表        

  Router(config)#access-list 101 permit ip 50.50.50.0 0.0.0.255 60.60.60.0  0.0.0.255

(访问控制列表取值范围 100~199 之间 源地址 反掩码   目的地址   反掩码)

 

3. 配置端口应用

    3.1  创建 crypto map            

 Router(config)#crypto map map-name 1 ipsec-isakmp

map-name map 名字 1 为优先级取值范围 1~65535 值越小,优先级越高)

  3.2  配置 crypto map             

3.2.1 集成 ACL

 Router(config-crypto-map)#match address access-list-number

 (access-list-number 应该同前面的 Crypto map 访问控制列表的编号相同 )

3.2.2 对端 IP

Router(config-crypto-map)#set peer 对端 IP

3.2.3 传输模式

Router(config-crypto-map)#set transform-set benetset

IPsec 传输模式的名字为 benetset

4. 应用到端口

Router(config)#interface interface slot/port

interface slot/port为连接对端外网的接口)

Router(config)#crypto map map-name

map的名字)