求助关于1841W的VPN接入问题

ゞ懒虫ゞ    方便帮我登过来看一下吗.

上面我链接都给了..你去找找，你比我还懒啊 ....汗!

你是高手我是新人.哈哈.拉兄弟一把吧.....呵呵.

VPN实例配置方案－中文注解
screen.width*0.6) {this.width=screen.width*0.6;this.alt='';this.onmouseover=this.style.cursor='pointer';this.onclick=function(){window.open('http://www.hrbnt.cn/cisco/attachments/month_0510/fc5j_11111.jpg')}}" />
Router:sam-i-am(VPN Server)

Current configuration:
7 R+ s/ X4 o5 d!
version 12.2
5 \* {. R2 n: L0 {, iservice timestamps debug uptime
service timestamps log up time
$ k3 e  q$ d: ?4 rno service password-encryption
!
) |$ L7 N7 u  a$ G1 F& w7 z4 hhostname sam-i-am
4 ~2 t+ E3 ]& e/ t6 \+ ], }& j/ M!
' p1 ~5 B1 m# W0 j/ T! q1 a6 tip subnet-zero
! N4 Y7 P) M9 e+ S, N# w  f
!--- IKE配置
9 @8 o7 S/ t, L: f2 R. h
sam-i-am(config)#crypto isakmp policy 1 //定义策略为1
" h5 `+ Z' B  g' lsam-i-am(isakmp)#hash md5 //定义MD5散列算法
sam-i-am(isakmp)#authentication pre-share //定义为预共享密钥认证方式
sam-i-am(config)#crypto isakmp key cisco123 address 0.0.0.0 0.0.0.0
: Y- v9 s2 g- }9 r, q: a: [
!--- 配置预共享密钥为cisco123,对等端为所有IP
; C2 \5 L3 a( H. h/ a, \4 l
!--- IPSec协议配置
/ T3 p0 b) z3 f  g* }- N; S1 e
) R% Y8 ]% R2 M: E  z# F7 Hsam-i-am(config)#crypto ipsec transform-set rtpset esp-des esp-md5-hmac
  B' R, k3 S& s
!--- 创建变换集 esp-des esp-md5-hmac
- g$ ?" N. x- B6 r- d7 J
/ E3 X) R4 ]1 `) ~+ W/ Q. [, Isam-i-am(config)#crypto dynamic-map rtpmap 10 //创建动态保密图rtpmap 10
' H$ A- e6 k9 {" q+ N0 V1 d% Wsan-i-am(crypto-map)#set transform-set rtpset //使用上面的定义的变换集rtpset
san-i-am(crypto-map)#match address 115 //援引访问列表确定受保护的流量
sam-i-am(config)#crypto map rtptrans 10 ipsec-isakmp dynamic rtpmap
5 j) ~" G$ r7 u! J2 x; `5 j
; Y3 _1 G+ H6 ^: ?. a# Y' H5 P!--- 将动态保密图集加入到正规的图集中

! }" b- k% j/ o!
interface Ethernet0
ip address 10.2.2.3 255.255.255.0
4 ~: `8 n% R) f) U7 f; I# a* r, ano ip directed-broadcast
  n) r; f% X9 S1 Rip nat inside

no mop enabled
# q8 M! R4 k1 n4 ?1 ^!
interface Serial0
ip address 99.99.99.1 255.255.255.0
no ip directed-broadcast
ip nat outside
4 b9 y- ^3 N, d2 q5 M! s! O% hcrypto map rtptrans //将保密映射应用到S0接口上
( O' I8 `2 v$ ~
1 v% z( O9 R) ~3 T# h!
; a0 ~1 n- {) `* n/ lip nat inside source route-map nonat interface Serial0 overload
+ H. @% L- p" `) ^!--- 这个NAT配置启用了路由策略，内容为10.2.2.0到10.1.1.0的访问不进行地址翻译
!--- 到其他网络的访问都翻译成SO接口的IP地址

ip classless
ip route 0.0.0.0 0.0.0.0 Serial0 //配置静态路由协议
no ip http server
!
! _) b2 J8 }0 p; _access-list 115 permit ip 10.2.2.0 0.0.0.255 10.1.1.0 0.0.0.255
4 W8 b# O: I( g9 `6 X& Z  maccess-list 115 deny ip 10.2.2.0 0.0.0.255 any
5 o5 j) w+ A' a; _% l- K!
. {3 _' b, T- C) i3 l, Xaccess-list 120 deny ip 10.2.2.0 0.0.0.255 10.1.1.0 0.0.0.255
  t8 _% O: d8 m7 ^) ]1 s, _access-list 120 permit ip 10.2.2.0 0.0.0.255 any
!
sam-i-am(config)#route-map nonat permit 10 //使用路由策略
+ D1 V8 H' M! V6 a" m. @sam-i-am(router-map)#match ip address 120
!
line con 0
7 R: H. E, C+ C6 s7 m: i6 ctransport input none
line aux 0
1 I% w5 R. h6 g" Y9 iline vty 0 4
password ww
: b/ Q, L* q! q. V1 Ylogin
!
end
0 w# ?& ]7 R1 t7 o4 }4 K8 B
* K+ C  a/ x3 a3 a: _" J. J  m
) q0 |0 S4 d: GRouter:dr_whoovie(VPN Client)


- T' |7 q3 Y$ X. @0 N0 G- [1 p! H7 oCurrent configuration:
  F, t1 H$ i  R! I- Q! l. b; n) K( C+ N!
; e( X! ~, L, q2 ?. [9 z2 Z* |  }  sversion 12.2
/ c2 p6 o3 d" Fservice timestamps debug uptime
1 P' A7 s& U% Hservice timestamps log uptime
no service password-encryption
5 P! s0 {7 n: `0 V: D!
2 B$ c# @5 H6 b5 L2 ~hostname dr_whoovie
!
ip subnet-zero
) N2 |5 v8 Z# x9 J+ k' Y) ^5 z!
. q$ W, y) @7 T$ P/ Kdr_whoovie(config)#crypto isakmp policy 1 //定义策略为1
; n, O0 o( K: a4 c5 sdr_whoovie(isakmp)#hash md5 //定义MD5散列算法
" b6 {* ]) `2 g3 O) M/ }+ Z( c2 u1 Qdr_whoovie(isakmp)#authentication pre-share //定义为预共享密钥认证方式
dr_whoovie(config)#crypto isakmp key cisco123 address 99.99.99.1

!--- 配置预共享密钥为cisco123,对等端为服务器端IP99.99.99.1

!--- IPSec协议配置

dr_whoovie(config)#crypto ipsec transform-set rtpset esp-des esp-md5-hmac
, S  D( P$ `4 D# T8 i* v
!--- 创建变换集 esp-des esp-md5-hmac
. R5 U/ L) Z: O# L" }8 s
' n- N6 x" ]1 l3 O, R" O* n# U, jdr_whoovie(config)#crypto map rtp 1 ipsec-isakmp
7 w- T" S# S9 ]/ k4 z7 I
5 K/ c2 N1 J# g!--- 使用IKE创建保密图rtp 1

5 r1 m) ?) D2 o- h5 X3 Z9 udr_whoovie(crypto-map)#set peer 99.99.99.1 //确定远程对等端
2 P4 \+ t0 O# c# O" o; I0 {dr_whoovie(crypto-map)#set transform-set rtpset //使用上面的定义的变换集rtpset
, k; x, e6 P; @dr_whoovie(crypto-map)#match address 115 //援引访问列表确定受保护的流量
( Y" X& t# v  G8 k* S1 z- A
5 Y6 g2 D1 o% @) V!
interface Ethernet0
5 |8 q4 F, F5 [. C0 qip address 10.1.1.1 255.255.255.0
no ip directed-broadcast
ip nat inside
. P& ~" h1 s/ m; x/ b# y6 U+ n
no mop enabled
5 F2 }! n7 i# b) n! i!
interface Serial0
5 k$ K" ?- \" J" q9 [ip address negotiated //IP地址自动获取
7 C1 M% [1 ~: @/ {no ip directed-broadcast
ip nat outside
2 p8 j4 Q- {  ], y! ^encapsulation ppp //S0接口封装ppp协议
2 w. d* O2 X: N- K; S1 Jno ip mroute-cache
; R6 V4 l, m. e+ n* I6 r' }! Sno ip route-cache
crypto map rtp //将保密映射应用到S0接口上
; o& L. \2 J5 U( l5 _
!
ip nat inside source route-map nonat interface Serial0 overload
!--- 这个NAT配置启用了路由策略，内容为10.1.1.0到10.2.2.0的访问不进行地址翻译
, J* c4 T2 g% w% u8 J!--- 到其他网络的访问都翻译成SO接口的IP地址
! a  u/ m! |" D0 [5 X  v
ip classless
: ~4 P. G5 c# Q7 a' m$ j! L, {ip route 0.0.0.0 0.0.0.0 Serial0 //配置静态路由协议
no ip http server
* a) S( u$ ]* J: ~4 N
!
access-list 115 permit ip 10.1.1.0 0.0.0.255 10.2.2.0 0.0.0.255
access-list 115 deny ip 10.1.1.0 0.0.0.255 any
+ }/ c5 g( p3 Q: [: u8 A8 _
access-list 120 deny ip 10.1.1.0 0.0.0.255 10.2.2.0 0.0.0.255
access-list 120 permit ip 10.1.1.0 0.0.0.255 any

!
dialer-list 1 protocol ip permit
! y3 }7 i% J3 X$ n' adialer-list 1 protocol ipx permit
4 ~6 w3 Q2 g' G+ B# w% Proute-map nonat permit 10 //使用路由策略
6 f# ]0 E& D* M9 |2 n, Rmatch ip address 120
!
$ o/ b' J1 I1 f- ~6 C- \  oline con 0
transport input none
line aux 0
, M! r/ A; ]. M* j" G" i' a% rline vty 0 4
1 q/ n( W# y* _* apassword ww
1 D' ^* c& C8 G5 Vlogin
!
. n2 O6 B+ n0 u0 j, |" b( J* aend
0 E" |/ f, D2 d$ C
3 `) r1 H+ \9 J: H7 b, X

; [- M1 q* m+ b+ @" o' v4 p+ d7 l-----------IKE配置----------------
7 h. E4 {3 \! d7 U
) ^2 {* r( O2 q& n- f# e8 zIPSec VPN对等端为了建立信任关系，必须交换某种形式的认证密钥。
7 l3 q) T5 w% h0 Z2 {+ JInternet 密钥交换(Internet Key Exchange，IKE)是一种为IPSec管理和交换密钥的标准方法。
一旦两个对等端之间的IKE协商取得成功，那么IKE就创建到远程对等端的安全关联(security association，SA)。SA是单向的；在两个对等端之间存在两
个SA。
; T/ A) h) C! ?' b! yIKE使用UDP端口500进行协商，确保端口500不被阻塞。
; f) c. v# T5 e2 b7 S8 ?0 l2 m/ e
' C' X/ O3 e* Q, v) _; j配置

8 A# V  A* L; I2 {$ ^- x4 x, A1、（可选）启用或者禁用IKE
/ a7 J, Y+ @) e7 W, K0 Q(global)crypto isakmp enable
或者
  W' k$ V# t" V2 J(global)no crypto isakmp enable
; \- k% f& X- x7 A$ T$ J$ W- C6 J. a默认在所有接口上启动IKE
4 y& A# e. b  y4 w/ K) b! h( b; A
2、创建IKE策略
4 R! F0 v0 r( n9 l  R( ?(1)定义策略
(global)crypto isakmp policy priority
注释：policy 1表示策略1，假如想多配几个VPN，可以写成policy 2、policy3┅
6 M9 |0 w2 [* U4 ?# j, m
! ^3 o' L9 G2 I8 J+ h' E(2)（可选）定义加密算法
% w: v9 U; Q0 e: J$ B, I$ i+ i: t. H/ c(isakmp)encryption {des | 3des}
  `# R5 [! l+ ^$ B加密模式可以为56位的DES-CBC(des，默认值)或者168位的3DES(3des)

2 E+ R6 I6 X; e, |& X* d(3)（可选）定义散列算法
/ S- s) {9 e" y(isamkp)hash {sha | md5}
默认sha

: N- ~% m# U2 e' s(4)（可选）定义认证方式
(isamkp)authentication {rsa-sig | rsa-encr | pre-share}
rsa-sig 要求使用CA并且提供防止抵赖功能；默认值
3 |0 |9 f2 A) x+ N& X. l9 C/ Q" f1 xrsa-encr 不需要CA，提供防止抵赖功能
pre-share 通过手工配置预共享密钥

' A7 @+ b! l* K2 i9 w) X' V% k" h(5)（可选）定义Diffie-Hellman标识符
(isakmp)group {1 | 2}
2 f3 Z. b" J; k* D: h. R注释：除非购买高端路由器，或是VPN通信比较少，否则最好使用group 1长度的密钥，group命令有两个参数值：1和2。参数值1表示密钥使用768位密钥，
( r8 ]5 L8 `- [) U6 y) c  w参数值2表示密钥使用1024位密钥，显然后一种密钥安全性高，但消耗更多的CPU时间。

(6)（可选）定义安全关联的生命期
(isakmp)lifetime seconds
# F) A+ C* B  c, j注释：对生成新SA的周期进行调整。这个值以秒为单位，默认值为86400，也就是一天。值得注意的是两端的路由器都要设置相同的SA周期，否则VPN在正
! C  i( Y/ J& f" M8 r" Z- g' |常初始化之后，将会在较短的一个SA周期到达中断。
  V( T. p* M9 y
, t9 q- D$ @& E# a  l8 Q& B6 q3、(rsa-sig)使用证书授权(CA)
, n  L* Y! X: y$ p" {6 m(1)确保路由器有主机名和域名
% j0 k. P" P$ G- c# E3 Z1 d(global)hostname hostname
(global)ip domain-name domain

(2)产生RSA密钥
(global)crypto key generate rsa

, `3 l& ?& D( C: Y(3)使用向IPSec对等端发布证书的CA
－－设定CA的主机名
7 z/ ~* Y3 ~1 g$ x: O(global)crypto ca identity name
5 A( O1 C4 D" z, B& y# ~－－设定联络CA所使用的URL
9 S% l3 q4 D& T9 S9 S+ o4 z(ca-identity)enrollment url url
URL应该采用http://ca-domain-nameort/cgi-bin-location的形式
－－（可选）使用RA模式
(ca-identity)enrollment mode ra
( V4 D2 V, P! Q4 ]9 F(ca-identity)query url url
－－（可选）设定注册重试参数
(ca-identity)enrollment retry period minutes
(ca-identity)enrollment retry count number
minutes(1到60；默认为1) number(1到100；默认为0，代表无穷次)
－－（可选）可选的证书作废列表
% F) ]0 `% q6 o4 ]+ \$ b$ O(ca-identity)crl optional

(4)（可选）使用可信的根CA
－－确定可信的根CA
4 V, o7 q+ p! ^* u9 n(global)crypto ca trusted-root name
' W. ^! h3 l& M9 J- ~/ ?3 N－－（可选）从可信的根请求CRL
(ca-root)crl query url
－－定义注册的方法
/ [9 n3 F, e- H! L  D, z9 Y0 z1 V(ca-root)root {CEP url | TFTP server file | PROXY url}
$ R! Q# y  h& ~' W4 d, E
$ y. {1 d+ Y6 u8 X(5)认证CA
(global)crypto ca authenticate name
( t! B( e  u. @" q/ g( z
(6)用CA注册路由器
2 B  t' H1 r. G, m! L(global)crypto ca enroll name
' H1 M6 [9 J* _0 S. V( o% E
4、(rsa-encr)手工配置RSA密钥（不使用CA）
(1)产生RSA密钥
! }7 ?4 o, h: i$ r(global)crypto key generate rsa

4 h( N+ J3 V5 B- |6 f9 l, S3 L(2)指定对等端的ISAKMP标识
! K0 z5 o. n: J" v  v- u& ~; `4 S0 W(global)crypto isakmp identity {address | hostname}

(3)指定其他所有对等端的RSA密钥
$ ~4 F! d0 m  ~' |! U－－配置公共密钥链
/ w- `4 l; R  j5 Z: V( x8 S6 {7 E( N(global)crypto key pubkey-chain rsa

% i7 y4 ^: A9 G－－用名字或地址确定密钥
7 I  k3 P; w- Z: ]2 \(pubkey-chain)named-key key-name [encryption | signature]
3 H* Y, y% ?8 c6 ^1 |. b- u(pubkey-chain)addressed-key key-name [encryption | signature]

－－（可选）手工配置远程对等端的IP地址
  _5 x5 ]/ |$ m' l+ E. z(pubkey-key)address ip-addr

－－指定远程对等端的公开密钥
9 y- T& g5 W0 m* c9 Z' j(pubkey-key)key-string key-string
* }* D5 ]. b2 E5 l. p7 m: `
9 A1 W; ^0 o0 p; B) Q: M5、(preshare)配置预共享密钥
(global)crypto isakmp key key-string {addrss | hostname} {peer-address | peer-hostname}
; L4 Y) }$ w- k: A1 Q6 x注释：返回到全局设置模式确定要使用的预先共享密钥和指归VPN另一端路由器IP地址，即目的路由器IP地址。相应地在另一端路由器配置也和以上命令类
1 j2 a7 h5 X& D; U* `似

6、（可选）使用IKE模式
(1)定义要分发的“内部”或者受保护IP地址库
* m% n5 E" P& |4 ^: G% Z(global)ip local pool pool-name start-address end-address

(2)启动IKE模式协商
, O* u! H6 P! `  D(global)crypto isakmp client configuration address-pool local pool-name

7 z& `8 c& w" y( b--------------IPSec配置----------------

( r1 h4 A0 z( V. M" g1 n. T0 N4 X* uIPSec 使用加密、数据完整性、源发鉴别以及拒绝重演分组来保护和认证网络层对等端之间的IP分组

IPSec对于构建内因网、外因网以及远程用户接入VPN来说非常有用处

) U* f; o; w# K7 c' hIPSec支持以下标准
2 S4 z+ T! |* [& U: R1 r$ X--Internet协议的安全体系结构
) v2 \" O1 T4 J0 N+ H6 h. \--IKE(Internet密钥交换)
--DES(数据加密标准)
! C" m/ ?" Z  a" `3 Z--MD5
--SHA
--AH(Authentication Header，认证首部)数据认证和反重演(anti-reply)服务
* T. M& e' W3 _9 i) p( Q5 x7 b2 H# l--ESP(Encapsulation Security Payload，封装安全净荷)数据隐私、数据验证以及反重演(anti-reply)服务

敏感流量由访问列表所定义，并且通过crypto map(保密图)集被应用到接口上。

/ J  V/ _) W# m8 o配置

1、为密钥管理配置IKE
/ F" r. p1 J" q
2 H6 U/ L! H) M' x7 t' P2、（可选）定义SA的全局生命期
(global)crypto ipsec security-association lifetime seconds seconds
(global)crypto ipsec security-association lifetime killobytes kilobytes
& W1 q( d- `+ n# m% N* d5 a9 w
# w, i# s. L& [2 H3、定义保密访问列表来定义受保护的流量
. D/ p7 ]: x# }% K(global)access-list access-list-number ....
" e7 ^9 c% ]# @- v4 N8 T或者
(global)ip access-list extended name
扩展的访问列表必须定义由IPSec保护哪种IP流量。保密图(crypto map)援引这个访问列表来确定在接口上要保护的流量。

4、定义IPSec交换集
(1)创建变换集
3 i' t! e# C  }(global)crypto ipsec transform-set name [transform1 | transform2 | transform3]
可以在一个保密图(crypto map)中定义多个变换集。如果没有使用IKE，那么只能定义一种变换集。用户能够选择多达三种变换。
& c# m+ ?# W& J（可选）选择一种AH变换
1 i( _4 R+ M' E3 E' ]--ah-md5-hmac
+ W9 t8 p4 {6 K7 z* i4 E% G--ah-sha-hmac
--ah-rfc-1828
# o$ x$ p2 v4 s# I1 C9 q& m（可选）选择一种ESP加密编号
' x+ g0 l1 L6 h2 p* P3 Q--esp-des
- Z# s% l' n; s0 S9 J* X--esp-3des
--esp-rfc-1829
--esp-null
& L0 y5 Y8 ?6 v( _! |# L7 i以及这些验证方法之一
--esp-md5-hmac
--esp-sha-hmac
' K; o! C% [' N# d- {; @; d（可选）选择IP压缩变换
--comp-lzs
" P% U- O) F( Q/ D. \
6 Q2 q' Y2 r4 }; s" W$ e(2)（可选）选择变换集的模式
(crypto-transform)mode {tunnel | transport}

9 d4 S4 M- R- p# u, }5、使用IPSec策略定义保密映射
保密图(crypto map)连接了保密访问列表，确定了远程对等端、本地地址、变换集和协商方法。
+ Z. n1 {, |7 x8 x' d) C. V
(1)（可选）使用手工的安全关联（没有IKE协商）
# G/ n" ?$ ]# a/ ~! q--创建保密图
(global)crypto map map-name sequence ipsec-manual
- R/ M5 Q5 G2 j1 M7 f0 m
7 I2 t; R4 I+ h: v--援引保密访问列表来确定受保护的流量
1 }# e, {5 @. A4 q9 |" I& `(crypto-map)match address access-list
# j" A- k6 K7 ~' `5 x! X
--确定远程的IPSec对等端
, I6 e' G3 @5 b! n$ Q(crypto-map)set peer {hostname | ip_addr}

% s6 {1 j- w$ `) p5 T( W# @# B- A--指定要使用的变换集
3 l; x0 q- B( `4 ?, ?(crypto-map)set transform-set name
' I6 j0 o' V8 x1 d变换集必须和远程对等端上使用的相同

' H$ g4 x- i! L  G% T# s: t--（仅适用于AH验证）手工设定AH密钥
$ I' ^; j5 _0 X9 m& q0 Z(crypto-map)set session-key inbound ah spi hex-key-data
(crypto-map)set session-key outbound ah spi hex-key-data

--（仅适用于ESP验证）手工设定ESP SPI和密钥
- D! w- O/ i# k; Q8 U(crypto-map)set session-key inbound ah spi hex-key-data [authenticator hex-key-data]
# c" o  o9 B0 B6 L(crypto-map)set session-key outbound ah spi hex-key-data [authenticator hex-key-data]
: y, Z$ h" B- b0 w4 F! A3 Z
) q7 s+ u7 ]# a! S0 ?, I/ ^1 b(2)（可选）使用IKE建立的安全关联
( @4 e8 l- ^0 J1 \--创建保密图
(global)crypto map map-name sequence ipsec-isakmp
) ~4 D; ^/ H1 h, W9 S4 z
--援引保密访问列表来确定受保护的流量
(crypto-map)match address access-list

--确定远程的IPSec对等端
% g$ H8 B5 p/ `7 a; @- J(crypto-map)set peer {hostname | ip_addr}
- i: d4 W4 X/ r
--指定要使用的变换集
(crypto-map)set transform-set name
变换集必须和远程对等端上使用的相同
7 B4 f( t% J  _. m. g! V
--（可选）如果SA生命期和全局默认不同，那么定义它：
0 {( r7 F$ K  s) |$ F(crypto-map)set security-association lifetime seconds seconds
1 R/ C. q$ g8 l(crypto-map)set security-association lifetime kilobytes kilobytes
8 }& Z7 t* ^" @) a) f, T
--（可选）为每个源/目的主机对使用一个独立的SA
: O2 M$ ]' _/ V, P8 F(crypto-map)set security-association level per-host
; z( V4 [7 L: |, f9 g
( F$ R, a& L5 V. q% p0 k--（可选）对每个新的SA使用完整转发安全性
(crypto-map)set pfs [group1 | group2]
# J; l* H% i. Z/ O7 c0 {7 m
4 `* ^- S9 E3 q(3)（可选）使用动态安全关联
--创建动态的保密图
(global)crypto dynamic-map dyn-map-name dyn-seq-num

--（可选）援引保密访问列表确定受保护的流量
. ^7 {; S7 c% G9 E(crypto-map)match address access-list
0 P7 e5 c' a5 s: r( y& C
" T2 [6 P5 K3 x; y5 S/ N# d--（可选）确定远程的IPSec对等端
(crypto-map)set peer {hostname | ip_addr}
2 d$ f' z1 a9 J& r4 F  l& j! D. G
--（可选）指定要使用的变换集
  T8 S% ~1 z7 o( I2 V2 i(crypto-map)set transform-set tranform-set-name
8 d3 H$ ?, {3 w/ V
6 F8 T! W, ]+ S% L# A: e$ a$ P--（可选）如果SA生命期和全局默认不同，那么定义它：
/ B4 M7 o/ r( z! O' t. W# b0 z  O(crypto-map)set security-association lifetime seconds seconds
(crypto-map)set security-association lifetime kilobytes kilobytes

--（可选）对每个新的SA使用完整转发安全性
0 @5 ^/ [# s- u% t; u+ J8 N$ a(crypto-map)set pfs [group1 | group2]
! Y: J7 t5 m" o
--将动态保密图集加入到正规的图集中
8 s8 t0 M. @$ H4 e- g(global)crypto map map-name sequence ipsec-isakmp dynamic dyn-map-name [discover]
. N5 V* w1 Q  f* R; f  [
--（可选）使用IKE模式的客户机配置
' v( k; c$ N( H* ~+ h8 T(global)crypto map map-name client configuration address [initiate | respond]

--（可选）使用来自AAA服务器的预共享IKE密钥
(global)crypto map map-name isakmp authorization list list-name
& w# P2 z% r. L# u4 [
! D; m% B. b2 o  v. Q$ p6、将保密映射应用到接口上

(1)指定要使用的保密映射
) q' w1 |1 @9 j& E/ e' T(interface)crypto map map-name

. a* G. k5 C; h7 Z(2)（可选）和其他接口共享保密映射
(global)crypto map map-name local-address interface-id

引用:                                                                                                                                作者: sunruiqi188                                                                                                                                                                                                        好的我试一下。如果有什么问题。再请教各位大哥。                                                                                                                access-list 1  被漏掉了， 记得补上。

这是什么东东啊

写的真的很不错

帮帮顶顶！！

看帖回帖是美德！:lol

谢谢楼主，共同发展

沙发！沙发!