配置IKE:

crypto isakmp enable    //启用IKE

crypto isakmp policy 20    //配置优先级为20的IKE策略。(取值大小在1-1000之间,数字越小,优先级越高)

    authentication pre-share    //指定验证为预共享

    encryption 3des    //指定加密算法为3des

    group 2    //指定加密位数,group 2安全性高,但是比较耗费CPU

    hash md5    //指定是散列算法为MD5(其他方式:sha,rsa)

    lifetime 86400    //指定生命周期



配置Keys

crypto isakmp key 123421aa address 10.1.1.6    //使用预共享秘钥为123421aa何设置对端IP地址

crypto ipsec transform-set 2s××× esp-des  esp-md5-hmac    //配置IPSec交换集2s×××

mode tunnel

ex

crypto ipsec security-association lifetime seconds 86400    //配置IPSec安全关联存活期(可不配置)

ip access-list extended CScore_×××    //通过扩展ACL,定义数据流

5 permit ip 10.1.1.0 0.0.0.63 10.0.0.0 0.0.255.255


配置IPSec加密映射

crypto map CS_××× 20 ipsec-isakmp    //创建加密图

match address CScore_×××    //定义匹配的ACL访问列表

set peer  10.1.1.6    //配置对等地址

set transform-set 2s×××    //指定加密图使用的交换集为2s×××

set pfs group2    //关联共享秘钥的交换方式

reverse-route    //注入×××路由



应用加密图到端口

interface dia10    //将加密图绑定到指定端口

crypto map 2CS_×××


本篇文章IPSec_×××配置可和PPPOE配置详情一起组成关于分支机构×××配置


关于××× Troubleshooting建议参考  Troubleshooting ×××s  By Mark Lewis