×××配置需要的步骤主要有三步:
  1、配置IKE协商
  2、配置Ipsec
  3、配置接口应用
 
一、配置IKE协商:
         ①启用IKE
        在默认情况下IKE是启用的如果人为关闭,要启用使用命令:
        Ra(config)#crypto isakmp enable
         ②建立IKE协商:
          Ra(config)#crypto isakmp policy <1~10000>  
         策略优先级<1~10000>编号越低优先级就越高
        ③配置IKE协商参数:
         使用上个命令后进入IKE配置模式,在此模式下配置IKE的各种参数
         R(config-isakmp)#hash {md5 | sha1}
         hash命令被用来设置密钥认证所用算法
         R(config-isakmp)#encryption {des | 3des }
         encryption用来设置加密所用的算法
         ④告诉路由使用预先共享密钥
         R(config-isakmp)#authenticaion  pre-share
         ⑤声明SA的生存时间
         Rconfig-isakmp)#lifetime 3600   (默认是86400,也就是一天)
        ⑥设置共享密钥和对端地址
         R(config)#crypto isakmp key  <password> address  <peer-address>
        共享密码×××两端必须一样。
二、配置IPsec
         IPsec主要有2个命令:
         ①指定crypto访问列表
          R(config)#access-list 101 {permit | deny } <protocal> <source IP>  <destination IP> 
             此列表为1个扩展访问列表
         ②配置IPsec传输模式
          R(config)#crypto ipsec transform-set <***1> <ah-md5-hmac> <esp-des> <esp-md5-hmac>
          角括号中的为可选参数
          注:AH验证:ah-md5-hmac ah-sha-hmac
                  ESP加密验证:esp-des  esp-3des esp-null
                  ESP验证参数:esp-md5-hma esp-sha-hmac
          <×××1>是对传输模式命的名称
 三、端口应用
           ①设置crypto map
               R(config)#crypto map <map-name> <seq-num> ipsec-isakmp
              参数seq-num表示此map的优先级
           ②配置ceypto map访问控制列表
              R(config-crypto-map)#match address <列表号>
           ③设置×××对端IP地址
              R(config-crypto-map)#set peer <对端IP地址>
           ④配置ceypto map的传输模式
              R(config-crypto-map)#set transform-set <传输模式名称>
           ⑤应用接口
             R(config)#interface s0
             R(config-if)#crypto map <map-name>