求助关于1841W的VPN接入问题

ゞ懒虫ゞ    方便帮我登过来看一下吗.
. x- g+ t7 D- d- V0 I
上面我链接都给了..你去找找，你比我还懒啊 ....汗!

你是高手我是新人.哈哈.拉兄弟一把吧.....呵呵.

VPN实例配置方案－中文注解
7 {1 S7 t# [( ^% X+ sscreen.width*0.6) {this.width=screen.width*0.6;this.alt='';this.onmouseover=this.style.cursor='pointer';this.onclick=function(){window.open('http://www.hrbnt.cn/cisco/attachments/month_0510/fc5j_11111.jpg')}}" />
Router:sam-i-am(VPN Server)

, B4 c  E; [1 s: @/ l& TCurrent configuration:
!
version 12.2
service timestamps debug uptime
1 y7 t% ?: S$ @- Mservice timestamps log up time
no service password-encryption
!
hostname sam-i-am
& ^1 J1 e. y8 X; N8 d; C7 d!
; Q- ^. N( W! R, [3 g3 ~' Aip subnet-zero
3 g, p3 u- z3 B3 H- w& s! Y
/ C8 _% `* v8 p9 ]2 ~# l+ F!--- IKE配置
; h8 B! @8 J+ [3 [1 N
sam-i-am(config)#crypto isakmp policy 1 //定义策略为1
* c: T( g# ]( p5 Z/ asam-i-am(isakmp)#hash md5 //定义MD5散列算法
sam-i-am(isakmp)#authentication pre-share //定义为预共享密钥认证方式
; ]) v" ~9 j& Zsam-i-am(config)#crypto isakmp key cisco123 address 0.0.0.0 0.0.0.0

!--- 配置预共享密钥为cisco123,对等端为所有IP
2 o( d$ L' O8 X* i4 S4 X
& O" ?$ ~; l' P4 U! C!--- IPSec协议配置
2 }, p- A: s, z) l& B9 g1 ?
sam-i-am(config)#crypto ipsec transform-set rtpset esp-des esp-md5-hmac
7 H% Y2 l3 j! O& W( X0 M
!--- 创建变换集 esp-des esp-md5-hmac
- b6 \- o& e0 ~4 O) q; x  E
sam-i-am(config)#crypto dynamic-map rtpmap 10 //创建动态保密图rtpmap 10
san-i-am(crypto-map)#set transform-set rtpset //使用上面的定义的变换集rtpset
8 E3 o+ @7 a1 m8 Ysan-i-am(crypto-map)#match address 115 //援引访问列表确定受保护的流量
sam-i-am(config)#crypto map rtptrans 10 ipsec-isakmp dynamic rtpmap

+ c' x7 z1 [, b4 l5 V$ N  R!--- 将动态保密图集加入到正规的图集中
$ p: ^0 P: Z  Z* ?3 j  f
: N, E9 z/ q: ~0 M5 G) D/ r!
9 g. x! w0 V. N5 r8 a0 f$ [interface Ethernet0
' _3 }( P. U4 l& K' F- c/ K% nip address 10.2.2.3 255.255.255.0
" }% _* i/ a1 G* Dno ip directed-broadcast
+ Y+ [- t' Q7 f/ r$ R; H) c$ Y8 aip nat inside
5 r/ u' j1 [$ d. ~6 `4 g6 ]
. Z: g/ ^3 `) H6 Y2 {8 d" Q) Kno mop enabled
!
% ~: H( a3 H1 S. m6 G! einterface Serial0
& P; A4 ^) j" Z: w6 Z6 Gip address 99.99.99.1 255.255.255.0
no ip directed-broadcast
ip nat outside
crypto map rtptrans //将保密映射应用到S0接口上

!
" l% k: h8 u4 Y/ Y7 m) Bip nat inside source route-map nonat interface Serial0 overload
2 {5 _: a  m) N6 i& x7 ^!--- 这个NAT配置启用了路由策略，内容为10.2.2.0到10.1.1.0的访问不进行地址翻译
! \0 E" {! i" l$ p7 N1 e9 l" X4 `: X!--- 到其他网络的访问都翻译成SO接口的IP地址

3 h  v: u) y- W1 `ip classless
4 |/ b& L0 D# ?. a2 P4 ]ip route 0.0.0.0 0.0.0.0 Serial0 //配置静态路由协议
8 n; k! b0 |9 E) `! X+ r' Bno ip http server
- @2 a) D* ?" g* N!
4 B: A. }) k8 S; n0 H8 i- q/ taccess-list 115 permit ip 10.2.2.0 0.0.0.255 10.1.1.0 0.0.0.255
access-list 115 deny ip 10.2.2.0 0.0.0.255 any
!
2 `5 x. I- K1 J2 ?+ s  Naccess-list 120 deny ip 10.2.2.0 0.0.0.255 10.1.1.0 0.0.0.255
access-list 120 permit ip 10.2.2.0 0.0.0.255 any
!
6 P$ S6 h; K* [sam-i-am(config)#route-map nonat permit 10 //使用路由策略
3 z# ]0 `  E! S/ Fsam-i-am(router-map)#match ip address 120
!
, y. ?5 r. W+ h4 T( w( o) ]line con 0
transport input none
* y- o: b3 l3 h8 u" Z" jline aux 0
  Q5 [/ F) ]. G5 O6 ]line vty 0 4
  t' D* R3 f" k- Ppassword ww
login
8 H* k6 l+ N$ ?!
+ N: F' O& V0 T" V# T2 W7 f6 iend

$ |" H' T1 f5 J7 J! I$ [
Router:dr_whoovie(VPN Client)

) X4 l: k3 f) k6 X
0 h: |' Q$ H' H& f2 O* K9 TCurrent configuration:
!
. i( P' `% s/ R/ Fversion 12.2
: h) c  \" G  ?6 n+ t' kservice timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname dr_whoovie
!
8 e+ ]/ q) \( Oip subnet-zero
!
& h4 D  S+ _' \% e- F, Cdr_whoovie(config)#crypto isakmp policy 1 //定义策略为1
, ^: A5 [# u* F% ?/ \; idr_whoovie(isakmp)#hash md5 //定义MD5散列算法
dr_whoovie(isakmp)#authentication pre-share //定义为预共享密钥认证方式
- s, s! \, G: P% l4 Rdr_whoovie(config)#crypto isakmp key cisco123 address 99.99.99.1
8 m- n3 q& K1 m  w" K
!--- 配置预共享密钥为cisco123,对等端为服务器端IP99.99.99.1
& p" f- _& v# j. C9 ]4 l% H
2 r" X5 b$ l+ C: N7 }+ g5 W: R!--- IPSec协议配置

- E9 |, z, N3 @# K" jdr_whoovie(config)#crypto ipsec transform-set rtpset esp-des esp-md5-hmac

!--- 创建变换集 esp-des esp-md5-hmac

+ A) C7 I; G  s* c( @1 \dr_whoovie(config)#crypto map rtp 1 ipsec-isakmp

; s3 n8 @! P6 m3 t!--- 使用IKE创建保密图rtp 1

dr_whoovie(crypto-map)#set peer 99.99.99.1 //确定远程对等端
* }" z1 X+ I* t+ \dr_whoovie(crypto-map)#set transform-set rtpset //使用上面的定义的变换集rtpset
" b& X! [$ J8 A5 H. U/ zdr_whoovie(crypto-map)#match address 115 //援引访问列表确定受保护的流量

. z! r5 z6 {1 N!
interface Ethernet0
ip address 10.1.1.1 255.255.255.0
no ip directed-broadcast
ip nat inside

5 O, P5 A* i  H& a' L! y! kno mop enabled
. m4 _% Y+ n: [4 D6 U# c, P& W3 g!
interface Serial0
# X+ q. R7 K6 D( V# w. Mip address negotiated //IP地址自动获取
3 [" F) F* A8 o# |4 a& gno ip directed-broadcast
ip nat outside
encapsulation ppp //S0接口封装ppp协议
no ip mroute-cache
no ip route-cache
crypto map rtp //将保密映射应用到S0接口上

!
ip nat inside source route-map nonat interface Serial0 overload
!--- 这个NAT配置启用了路由策略，内容为10.1.1.0到10.2.2.0的访问不进行地址翻译
: R) V( o( m) l2 D5 a!--- 到其他网络的访问都翻译成SO接口的IP地址
& ~  h. ]8 x5 U: ~8 t
9 M; I: B- J1 |& l+ xip classless
. K" A% }0 p* W* Qip route 0.0.0.0 0.0.0.0 Serial0 //配置静态路由协议
# j# V: L& w/ F* \  hno ip http server
& ~9 K; |0 L; n: \3 L
!
/ V4 y5 E; a- d4 {access-list 115 permit ip 10.1.1.0 0.0.0.255 10.2.2.0 0.0.0.255
access-list 115 deny ip 10.1.1.0 0.0.0.255 any
! t0 u1 q* D+ h- Z  s
access-list 120 deny ip 10.1.1.0 0.0.0.255 10.2.2.0 0.0.0.255
access-list 120 permit ip 10.1.1.0 0.0.0.255 any
4 h' E5 w( P; M1 b5 l0 j% X
!
8 q" h" [$ |, n2 M; I% wdialer-list 1 protocol ip permit
dialer-list 1 protocol ipx permit
  O2 L, U3 b, V7 j# s9 ?" z! B$ Iroute-map nonat permit 10 //使用路由策略
. B9 B" M, N9 c, Bmatch ip address 120
: L, `+ L/ g# K: P!
6 l, K% ~6 _( w& `) E& J, yline con 0
transport input none
line aux 0
line vty 0 4
password ww
" Z" [2 ?7 }5 Wlogin
!
. s: ?8 J+ M/ M4 }3 K* Y; Qend
  S4 G3 ]6 p: ]+ X1 _1 t

1 C: E& c6 b" M/ s$ J" l
0 }! @) ~( T& c: W% w6 e, e. ]-----------IKE配置----------------
  ]" z# D: E& A4 l% X- K
IPSec VPN对等端为了建立信任关系，必须交换某种形式的认证密钥。
Internet 密钥交换(Internet Key Exchange，IKE)是一种为IPSec管理和交换密钥的标准方法。
$ ~/ j/ m( p/ c" J6 Y2 P一旦两个对等端之间的IKE协商取得成功，那么IKE就创建到远程对等端的安全关联(security association，SA)。SA是单向的；在两个对等端之间存在两
) L% T  s8 P$ J个SA。
  @" g' E3 R2 wIKE使用UDP端口500进行协商，确保端口500不被阻塞。

$ v- _+ j5 L" o3 `2 `4 q配置

$ V* {: t' `" D( R9 D  Q  z1、（可选）启用或者禁用IKE
(global)crypto isakmp enable
, [" ~" j" V, @. j0 `7 s% P" K2 p  c或者
2 U3 `0 x3 z- I% }8 n( @(global)no crypto isakmp enable
默认在所有接口上启动IKE

2、创建IKE策略
(1)定义策略
7 U, e# X  h! H0 K- Z(global)crypto isakmp policy priority
注释：policy 1表示策略1，假如想多配几个VPN，可以写成policy 2、policy3┅

(2)（可选）定义加密算法
(isakmp)encryption {des | 3des}
加密模式可以为56位的DES-CBC(des，默认值)或者168位的3DES(3des)
+ b( v3 \" Z" R1 y2 Y' h
(3)（可选）定义散列算法
! h) p- Q) L2 L$ c(isamkp)hash {sha | md5}
: |. r+ k  |+ O- ^默认sha
  p( N& r8 j' @8 s
1 O( c% _% Z- K# @: Q& f! S(4)（可选）定义认证方式
' I; b7 o, ]: H& U3 G7 P. J4 N(isamkp)authentication {rsa-sig | rsa-encr | pre-share}
" j/ b$ t# a# Jrsa-sig 要求使用CA并且提供防止抵赖功能；默认值
# x) }4 |' n% e+ I- v7 krsa-encr 不需要CA，提供防止抵赖功能
. ^! V3 k2 e; H. D, X0 h- c7 R' zpre-share 通过手工配置预共享密钥
3 M: Y( L& E# K4 ~6 t& A9 g$ e
(5)（可选）定义Diffie-Hellman标识符
  s- t- o) b: y(isakmp)group {1 | 2}
注释：除非购买高端路由器，或是VPN通信比较少，否则最好使用group 1长度的密钥，group命令有两个参数值：1和2。参数值1表示密钥使用768位密钥，
2 @6 h1 X1 ^3 J% c" z9 Y" ^参数值2表示密钥使用1024位密钥，显然后一种密钥安全性高，但消耗更多的CPU时间。

6 Z2 i3 S* P* b- ?1 U) @8 k3 V: ](6)（可选）定义安全关联的生命期
(isakmp)lifetime seconds
) k* w  ?% `0 f, I/ B+ y注释：对生成新SA的周期进行调整。这个值以秒为单位，默认值为86400，也就是一天。值得注意的是两端的路由器都要设置相同的SA周期，否则VPN在正
9 m9 ^, O! b! s  a( m- M8 N: ~; E常初始化之后，将会在较短的一个SA周期到达中断。

9 J5 p1 ^; ?* |' V- W8 q+ y2 S0 F3、(rsa-sig)使用证书授权(CA)
(1)确保路由器有主机名和域名
0 G/ _4 z  G9 u(global)hostname hostname
(global)ip domain-name domain
  e* Z! D* p/ x3 [
9 `. ~  z& _9 p" G(2)产生RSA密钥
(global)crypto key generate rsa

. O2 A; S, S1 T! b9 t1 H3 S(3)使用向IPSec对等端发布证书的CA
9 y( A! B  A+ z& ?) _7 t－－设定CA的主机名
(global)crypto ca identity name
& g- j& f. Y. h2 m7 x－－设定联络CA所使用的URL
(ca-identity)enrollment url url
URL应该采用http://ca-domain-nameort/cgi-bin-location的形式
－－（可选）使用RA模式
; m8 r6 A. ~6 V* R(ca-identity)enrollment mode ra
* S7 ]6 G, Q! W: m" `(ca-identity)query url url
－－（可选）设定注册重试参数
(ca-identity)enrollment retry period minutes
(ca-identity)enrollment retry count number
& g0 D# L( G) x% F4 Sminutes(1到60；默认为1) number(1到100；默认为0，代表无穷次)
－－（可选）可选的证书作废列表
(ca-identity)crl optional

) x+ Q' M% d% x1 s8 S(4)（可选）使用可信的根CA
+ o$ m9 I9 }  J( ]; p" W- E－－确定可信的根CA
  z5 v9 D, R! ~* G) p" ~! ~(global)crypto ca trusted-root name
5 {. C  s; g" @6 I$ |+ @－－（可选）从可信的根请求CRL
& Q+ r: U7 V* R1 Z% `" H9 a5 J# N% w(ca-root)crl query url
. k3 Q) [; E9 H－－定义注册的方法
2 o, p' s5 A* K(ca-root)root {CEP url | TFTP server file | PROXY url}

(5)认证CA
(global)crypto ca authenticate name
0 A8 D) P* m# b( ?' [- L
  T% C$ v9 Y$ \' k2 f(6)用CA注册路由器
(global)crypto ca enroll name

4、(rsa-encr)手工配置RSA密钥（不使用CA）
(1)产生RSA密钥
(global)crypto key generate rsa

: `, P3 G" i0 l, _5 u(2)指定对等端的ISAKMP标识
(global)crypto isakmp identity {address | hostname}
7 g1 i: P0 K+ B' ~$ ]1 F& P$ c' U
- S  r, Z, n) d. q6 f' ~1 `(3)指定其他所有对等端的RSA密钥
  v$ p1 V! j' C3 L! P－－配置公共密钥链
(global)crypto key pubkey-chain rsa

) o5 r; Y; ]) X5 e& C－－用名字或地址确定密钥
) [  b, @2 U, R; T(pubkey-chain)named-key key-name [encryption | signature]
(pubkey-chain)addressed-key key-name [encryption | signature]
% {6 t  ]7 i1 \! O
－－（可选）手工配置远程对等端的IP地址
(pubkey-key)address ip-addr
- x2 }/ g& N! {
－－指定远程对等端的公开密钥
(pubkey-key)key-string key-string

9 V/ P' _, e$ P" G2 H5、(preshare)配置预共享密钥
(global)crypto isakmp key key-string {addrss | hostname} {peer-address | peer-hostname}
( c. t- N- J1 ~2 ~注释：返回到全局设置模式确定要使用的预先共享密钥和指归VPN另一端路由器IP地址，即目的路由器IP地址。相应地在另一端路由器配置也和以上命令类
似
8 q% h* [& d1 I5 p# B
* N6 y( t# L+ i0 T6 p+ H6、（可选）使用IKE模式
(1)定义要分发的“内部”或者受保护IP地址库
0 e: C. ^! T! `; E(global)ip local pool pool-name start-address end-address

1 @1 M; |) o5 i+ M) B(2)启动IKE模式协商
(global)crypto isakmp client configuration address-pool local pool-name

--------------IPSec配置----------------

IPSec 使用加密、数据完整性、源发鉴别以及拒绝重演分组来保护和认证网络层对等端之间的IP分组
9 C" `& r# j3 _* v8 A% ]' d
) w& V& i6 ^1 J& }" w$ s" M; t' y" kIPSec对于构建内因网、外因网以及远程用户接入VPN来说非常有用处
9 V3 O  n0 f7 S$ y7 o! A
0 O: P2 A* |! H- m) A3 IIPSec支持以下标准
. L% g( w9 H- _" H; a--Internet协议的安全体系结构
--IKE(Internet密钥交换)
--DES(数据加密标准)
3 E' E* ]3 `/ U5 r--MD5
4 ^8 C8 R; R7 I--SHA
--AH(Authentication Header，认证首部)数据认证和反重演(anti-reply)服务
% \: Q$ l# z7 z1 I! [$ O: Q--ESP(Encapsulation Security Payload，封装安全净荷)数据隐私、数据验证以及反重演(anti-reply)服务
5 _! m0 V% N' A: {- S- j
2 ~" W6 W2 C5 l# v. z敏感流量由访问列表所定义，并且通过crypto map(保密图)集被应用到接口上。

配置

* x+ I8 V( N5 S* f5 I5 L/ @1、为密钥管理配置IKE

2、（可选）定义SA的全局生命期
(global)crypto ipsec security-association lifetime seconds seconds
(global)crypto ipsec security-association lifetime killobytes kilobytes

3、定义保密访问列表来定义受保护的流量
(global)access-list access-list-number ....
6 J0 }% G) \. C或者
(global)ip access-list extended name
7 g9 K# ^: j* L扩展的访问列表必须定义由IPSec保护哪种IP流量。保密图(crypto map)援引这个访问列表来确定在接口上要保护的流量。

  G0 h3 G+ N8 F4、定义IPSec交换集
4 Y  u4 F# C7 d6 f; e3 b  N& h- o(1)创建变换集
(global)crypto ipsec transform-set name [transform1 | transform2 | transform3]
3 ^! |/ U8 h6 A0 i. Y. v可以在一个保密图(crypto map)中定义多个变换集。如果没有使用IKE，那么只能定义一种变换集。用户能够选择多达三种变换。
（可选）选择一种AH变换
+ ?/ w, j, Q' V8 D2 g--ah-md5-hmac
8 y: v' |0 m1 p: ?7 n--ah-sha-hmac
* P* d3 _# F$ Y6 D- h--ah-rfc-1828
/ n8 ~" d% t9 [" ^' j+ h) ]/ c" ^（可选）选择一种ESP加密编号
, x& X$ g  o+ M: Q6 X--esp-des
--esp-3des
% F& a5 q& [+ y' M& f0 }/ k--esp-rfc-1829
--esp-null
以及这些验证方法之一
--esp-md5-hmac
--esp-sha-hmac
（可选）选择IP压缩变换
1 Z4 }+ q  \0 [--comp-lzs
7 ^# y1 E1 ~" i; N3 U* b
(2)（可选）选择变换集的模式
(crypto-transform)mode {tunnel | transport}
' x6 z# K+ l; _* g# v" \0 D
: m5 ^1 Q+ o! y. W- z5、使用IPSec策略定义保密映射
2 T1 E/ e+ z- {) T! k' P7 U: S& \保密图(crypto map)连接了保密访问列表，确定了远程对等端、本地地址、变换集和协商方法。
1 u1 {% y$ \' J" g# g. P
(1)（可选）使用手工的安全关联（没有IKE协商）
--创建保密图
(global)crypto map map-name sequence ipsec-manual
" X; R6 R, g3 `; c# k* K$ Y
--援引保密访问列表来确定受保护的流量
(crypto-map)match address access-list

--确定远程的IPSec对等端
(crypto-map)set peer {hostname | ip_addr}
9 P% Y2 _8 d' i' z) Z+ Z; m
--指定要使用的变换集
. ~1 ~3 S) f9 e2 K) p+ f% O8 }(crypto-map)set transform-set name
0 P& K! Y/ d- T: r/ S3 Q变换集必须和远程对等端上使用的相同
- o8 U% K0 p0 m- s
9 F1 t# C9 p" u* L! z5 S9 R--（仅适用于AH验证）手工设定AH密钥
0 w9 R' m$ j1 J9 o: v& G8 u6 X; J(crypto-map)set session-key inbound ah spi hex-key-data
(crypto-map)set session-key outbound ah spi hex-key-data
3 U% _) H1 y: U3 v0 q/ Y( G# L
: i7 w) n' S' M3 y& |# L! R$ `0 _--（仅适用于ESP验证）手工设定ESP SPI和密钥
+ S6 t: Z. I+ V. d. m: A) C  l(crypto-map)set session-key inbound ah spi hex-key-data [authenticator hex-key-data]
) v5 P" c: s5 [" [(crypto-map)set session-key outbound ah spi hex-key-data [authenticator hex-key-data]
: Q& U! j5 d9 T2 n
2 Q( n( e" I5 H9 r$ o2 p* l(2)（可选）使用IKE建立的安全关联
/ X5 o3 i3 u" |1 ]0 S3 B--创建保密图
; Q5 c: D$ M# H! r3 n$ ~(global)crypto map map-name sequence ipsec-isakmp

--援引保密访问列表来确定受保护的流量
(crypto-map)match address access-list

; G& ^, p5 {+ Z& \7 [- _--确定远程的IPSec对等端
(crypto-map)set peer {hostname | ip_addr}
" p( t$ [5 h2 \5 z: E
& R: R  ~+ l# S' K  r--指定要使用的变换集
+ C+ K- J+ v8 O- V(crypto-map)set transform-set name
变换集必须和远程对等端上使用的相同

& [- i7 [/ |2 a9 [0 F8 ?8 _--（可选）如果SA生命期和全局默认不同，那么定义它：
! Y8 v5 G& K" e" J8 v(crypto-map)set security-association lifetime seconds seconds
) o& Y( t" B7 T5 }: x: F(crypto-map)set security-association lifetime kilobytes kilobytes
6 q9 F* ^5 ?/ ~2 k4 O
--（可选）为每个源/目的主机对使用一个独立的SA
(crypto-map)set security-association level per-host
4 I# p) H, o0 Z9 [* ?
  N2 e1 j& d7 u4 v* N5 P- ?! f--（可选）对每个新的SA使用完整转发安全性
7 l  A2 u/ F. _9 b2 N(crypto-map)set pfs [group1 | group2]

(3)（可选）使用动态安全关联
4 g3 K* n  D$ ?0 Y$ R9 v--创建动态的保密图
$ o7 Y1 Z/ s2 o* m# J! z(global)crypto dynamic-map dyn-map-name dyn-seq-num

--（可选）援引保密访问列表确定受保护的流量
(crypto-map)match address access-list
* x) j5 h/ c8 {! e0 [2 t: N8 _
0 x- P+ U0 n/ y% R4 q--（可选）确定远程的IPSec对等端
- k9 B( R8 r& |; |% N2 `/ g(crypto-map)set peer {hostname | ip_addr}

1 G* r3 t6 ^! K$ a& t: u  E--（可选）指定要使用的变换集
(crypto-map)set transform-set tranform-set-name
. a3 G6 B4 F6 Z0 F# z' s
, D2 Q1 e* w5 Y8 |" ~--（可选）如果SA生命期和全局默认不同，那么定义它：
2 M+ l, O0 p  j8 u+ y! `2 _4 b6 G(crypto-map)set security-association lifetime seconds seconds
(crypto-map)set security-association lifetime kilobytes kilobytes
; w* q% ]9 G: O4 x1 L
--（可选）对每个新的SA使用完整转发安全性
(crypto-map)set pfs [group1 | group2]

--将动态保密图集加入到正规的图集中
! Y5 X/ Q, B  P4 Y$ N4 P(global)crypto map map-name sequence ipsec-isakmp dynamic dyn-map-name [discover]

--（可选）使用IKE模式的客户机配置
' W, s, }& e% Y( ]7 b# g(global)crypto map map-name client configuration address [initiate | respond]

--（可选）使用来自AAA服务器的预共享IKE密钥
(global)crypto map map-name isakmp authorization list list-name

) g8 q2 b* T% K6 ^6 R6、将保密映射应用到接口上
% z, o2 _" i) F0 v
4 ^+ t& u# R) d(1)指定要使用的保密映射
7 a. _) b8 c1 H' y(interface)crypto map map-name
- E& {  W& ^( P+ M! W1 B
(2)（可选）和其他接口共享保密映射
1 `6 q$ @' v( u9 C- m' I2 u(global)crypto map map-name local-address interface-id

引用:                                                                                                                                作者: sunruiqi188                                                                                                                                                                                                        好的我试一下。如果有什么问题。再请教各位大哥。                                                                                                                access-list 1  被漏掉了， 记得补上。

这是什么东东啊

写的真的很不错

帮帮顶顶！！

看帖回帖是美德！:lol

谢谢楼主，共同发展

沙发！沙发!