×××配置步骤<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />

1.配置IKE协商

  1.1  启动IKE                     

Router(config)#crypto isakmp enable

  1.2  建立IKE的协商策略         

       Router (config)#crypto isakmp policy 1

(取值范围1~10000,策略编号越低 优先级就越高)

<?xml:namespace prefix = st1 ns = "urn:schemas-microsoft-com:office:smarttags" />1.2.1  设置对称加密方式          

Router(config-isakmp)#authentication pre-share

    1.2.2  设置密钥的加密方式       

Router(config-isakmp)#encryption 3des

des | 3des 二选一 所有路由器配置要一置)

    1.2.3  设置密钥的认证方式      

 Router(config-isakmp)#hash md5

md5 | sha1二选一 所有路由器配置要一置)

 

  1.3  设置密钥的值和对端的IP地址

 Router(config)#crypto isakmp key benet address 20.20.20.20

 benet为共享密钥名字 20.20.20.20为对端的ip地址)

 

2.配置IPsec隧道

  2.1  设置传输模式             

 Router(config)#crypto ipsec transform-set benetset ah-md5-hmac esp-des

IPsec传输模式的名字为benetset 后面跟AH验证参数和ESP加密参数)

  2.2  设置ACL访问控制列表       

  Router(config)#access-list 101 permit ip 50.50.50.0 0.0.0.255 60.60.60.0  0.0.0.255

(访问控制列表取值范围100~199 之间 源地址 反掩码  目的地址  反掩码)

 

3.配置端口应用

  3.1  创建crypto map            

 Router(config)#crypto map map-name 1 ipsec-isakmp

map-name map名字 1为优先级取值范围1~65535 值越小,优先级越高)

  3.2  配置crypto map             

3.2.1集成ACL

 Router(config-crypto-map)#match address access-list-number

 (access-list-number应该同前面的Crypto map访问控制列表的编号相同)

3.2.2对端IP

Router(config-crypto-map)#set peer 对端IP

3.2.3传输模式

Router(config-crypto-map)#set transform-set benetset

IPsec传输模式的名字为benetset

4.应用到端口

Router(config)#interface interface slot/port

interface slot/port为连接对端外网的接口)

Router(config)#crypto map map-name

map的名字)