手工配置(转载):
crypto isakmp policy 1    //策略
encryption 3des       //加密方式
authentication pre-share  //認證
group 2            //加密組
crypto isakmp client configuration address-pool local poolxxx //用戶端IP位址集區
crypto isakmp client configuration group groupxxx //組名稱
key crackerxxx     //组密码,也就是用戶端密碼
dns 211.98.2.4      //用戶端
DNS domain xxx.edu.cn    //功能變數名稱
pool poolxxx       //用戶端撥號位址集區
netmask 255.255.255.0  //用戶端遮罩
crypto ipsec transformset setxxx esp-3des esp-sha-hmac //變換集
crypto dynamic-map mapxxx 1    //動態map
set transform-set setxxx //引用變換集setxxx
crypto map map isakmp authorization list groupxxx //驗證方式
crypto map map client configuration address respond //用戶端自動獲取IP
crypto map map 1 ipsec-isakmp dynamic mapxxx //引用動態map
ip local pool poolxxx 211.89.1.1 211.89.1.254 //撥號位址集區
int f0/1          //進入外網介面
crypto map map //啟動crypto map
用戶端:
必須採用思科的*** client軟體 在group配置中填寫groupxxx 密碼選項填寫crackerxxx 位址選項填寫MAIN OFFICE的路由器外口地址即可
如果使用SDM选EASY ××× SERVER向导将会很容易,以下给出我用SDM生成的一个配置,跟以上差不多:
aaa authentication login sdm_***_xauth_ml_1 local
aaa authorization network sdm_***_group_ml_1 local
username admin privilege 15 password 0 admin
!
!
!
crypto isakmp policy 10
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp xauth timeout 15
!
crypto isakmp client configuration group group1
key qhtest
pool SDM_POOL_1
max-users 5
//做为一个可选项,可在这加入一条ACL,以强制×××服务器下放一条具体的路由到客户端,如果不加ACL则默认
///是下发一条默认路由,当用户处有自己的默认路由时,这很有用
acl 100//这条命令将只下发一条静态路由到客户端
netmask 255.255.255.0
!
!
crypto ipsec transform-set myset2 esp-3des esp-md5-hmac
!
crypto dynamic-map SDM_DYNMAP_1 1
set transform-set myset2
reverse-route
!
!
crypto map SDM_CMAP_1 client authentication list sdm_***_xauth_ml_1
crypto map SDM_CMAP_1 isakmp authorization list sdm_***_group_ml_1
crypto map SDM_CMAP_1 client configuration address respond
crypto map SDM_CMAP_1 65535 ipsec-isakmp dynamic SDM_DYNMAP_1
!
!
!
!
interface FastEthernet0/0
ip address 198.198.3.251 255.255.255.0
duplex half
crypto map SDM_CMAP_1
access-list 100 permit ip 192.168.1.0 0.0.0.255 any