求助关于1841W的VPN接入问题

ゞ懒虫ゞ    方便帮我登过来看一下吗.
# s, \% N: k+ o
上面我链接都给了..你去找找，你比我还懒啊 ....汗!

你是高手我是新人.哈哈.拉兄弟一把吧.....呵呵.

VPN实例配置方案－中文注解
" n. h' I! e  _screen.width*0.6) {this.width=screen.width*0.6;this.alt='';this.onmouseover=this.style.cursor='pointer';this.onclick=function(){window.open('http://www.hrbnt.cn/cisco/attachments/month_0510/fc5j_11111.jpg')}}" />
Router:sam-i-am(VPN Server)

Current configuration:
!
$ P- C7 p* \& E2 @1 S# d& _version 12.2
8 y; ^9 w+ a+ v( E6 ?service timestamps debug uptime
. `3 K; }; V/ d' Yservice timestamps log up time
5 L' y; C; s# |4 O& cno service password-encryption
) B! y# P/ C2 ?, @6 h!
2 d/ n% e) K; h( d" mhostname sam-i-am
!
ip subnet-zero
" O; H) Q! `9 Q+ n5 W" A
!--- IKE配置
# z- H$ I5 m( Z( t) D
sam-i-am(config)#crypto isakmp policy 1 //定义策略为1
( [- M9 p" i- J8 q2 @' ?7 s% U! gsam-i-am(isakmp)#hash md5 //定义MD5散列算法
* c" u! F1 j* y# J  z8 Ksam-i-am(isakmp)#authentication pre-share //定义为预共享密钥认证方式
) c1 d5 G& A% V4 d" Asam-i-am(config)#crypto isakmp key cisco123 address 0.0.0.0 0.0.0.0
9 o1 E/ E/ f+ b- v" M
3 g9 E9 I/ M, H!--- 配置预共享密钥为cisco123,对等端为所有IP
5 e. B) Y' g" J. d4 Z) S) d
' h. S. `: C; A/ A# ?; }!--- IPSec协议配置
' Z" L  a9 ]+ j0 m
2 m+ d2 \" W6 c3 W; Wsam-i-am(config)#crypto ipsec transform-set rtpset esp-des esp-md5-hmac

! N$ ~% q9 t$ n' W, L/ i!--- 创建变换集 esp-des esp-md5-hmac
7 O7 g! j( D. ?
9 m+ A8 L& O2 f! s* nsam-i-am(config)#crypto dynamic-map rtpmap 10 //创建动态保密图rtpmap 10
san-i-am(crypto-map)#set transform-set rtpset //使用上面的定义的变换集rtpset
san-i-am(crypto-map)#match address 115 //援引访问列表确定受保护的流量
sam-i-am(config)#crypto map rtptrans 10 ipsec-isakmp dynamic rtpmap
$ S0 Y% N- Z8 S4 B
!--- 将动态保密图集加入到正规的图集中
$ `* O" T) a. s* X7 \9 A5 l
' B  w( f' C& K!
interface Ethernet0
ip address 10.2.2.3 255.255.255.0
1 E. G) U( S1 A1 v$ e3 W2 Ono ip directed-broadcast
ip nat inside

) k! e& p6 `& c* ]3 p) ~9 }no mop enabled
!
interface Serial0
ip address 99.99.99.1 255.255.255.0
no ip directed-broadcast
ip nat outside
  M; d8 n2 [; I. |crypto map rtptrans //将保密映射应用到S0接口上
7 Q+ _+ b+ H  x
!
ip nat inside source route-map nonat interface Serial0 overload
+ p. d# ]1 Z( L3 T!--- 这个NAT配置启用了路由策略，内容为10.2.2.0到10.1.1.0的访问不进行地址翻译
!--- 到其他网络的访问都翻译成SO接口的IP地址
& [# W. O- j. N/ e0 g
ip classless
, |* \, w' N& [% {( rip route 0.0.0.0 0.0.0.0 Serial0 //配置静态路由协议
4 H1 G# F& R3 {: G# V6 H; l3 ]no ip http server
6 b* ]! ?# W+ c# f!
# l1 R8 H, g9 l0 ?. Waccess-list 115 permit ip 10.2.2.0 0.0.0.255 10.1.1.0 0.0.0.255
& ?" A# @* f2 h$ e; k% o  jaccess-list 115 deny ip 10.2.2.0 0.0.0.255 any
!
% ~# d2 v7 f$ L" v' U$ X/ xaccess-list 120 deny ip 10.2.2.0 0.0.0.255 10.1.1.0 0.0.0.255
access-list 120 permit ip 10.2.2.0 0.0.0.255 any
0 R7 Y6 p2 u( K# V5 K  g!
sam-i-am(config)#route-map nonat permit 10 //使用路由策略
/ L2 s; H  z+ i  Csam-i-am(router-map)#match ip address 120
!
5 @2 ]/ M1 a, X0 b/ `$ @. \line con 0
transport input none
& J2 A+ V0 i( R2 O5 ]line aux 0
line vty 0 4
0 |6 K' y& L) k6 h# jpassword ww
2 Y/ r) R3 a) o9 a. Klogin
" y( n# K* d* x" k0 _5 ?!
end
  y- k+ C8 f& X( r0 o; {

Router:dr_whoovie(VPN Client)
5 d2 x: T& X) E( i
2 l% F% C2 o8 F0 I1 @) y
Current configuration:
!
version 12.2
- o% m- [% i" g6 y; gservice timestamps debug uptime
9 [/ x* w8 p' @* u/ Jservice timestamps log uptime
no service password-encryption
2 x& ~* w" G/ \! R7 ?2 [7 |" U0 q! J!
hostname dr_whoovie
!
: ]1 v7 H" E7 A/ g  S) h2 tip subnet-zero
; [; U% l! O/ a* J) m6 B!
* l/ d0 F# \$ d! k8 a! U: D/ Vdr_whoovie(config)#crypto isakmp policy 1 //定义策略为1
dr_whoovie(isakmp)#hash md5 //定义MD5散列算法
$ Q. L( H8 J, N- G, R$ o+ Zdr_whoovie(isakmp)#authentication pre-share //定义为预共享密钥认证方式
dr_whoovie(config)#crypto isakmp key cisco123 address 99.99.99.1

% j( ?) N! B+ w3 j: W!--- 配置预共享密钥为cisco123,对等端为服务器端IP99.99.99.1

!--- IPSec协议配置

dr_whoovie(config)#crypto ipsec transform-set rtpset esp-des esp-md5-hmac

!--- 创建变换集 esp-des esp-md5-hmac
) U6 O4 @. b% @) m3 U
3 E3 b; z5 B5 D' Z5 o; y# F3 w8 @dr_whoovie(config)#crypto map rtp 1 ipsec-isakmp

!--- 使用IKE创建保密图rtp 1
1 V, x% o/ h  x7 N, `* y
0 `; u; n7 j* a4 S7 hdr_whoovie(crypto-map)#set peer 99.99.99.1 //确定远程对等端
% P, h3 M# k5 @+ X/ Xdr_whoovie(crypto-map)#set transform-set rtpset //使用上面的定义的变换集rtpset
dr_whoovie(crypto-map)#match address 115 //援引访问列表确定受保护的流量

. h" ?: U4 }7 F3 N0 N2 k; K!
. e% u' z! ~2 ]4 o3 iinterface Ethernet0
7 J8 `2 i1 n. O* M$ B- s# Z- Zip address 10.1.1.1 255.255.255.0
# d% C% n$ r4 jno ip directed-broadcast
3 {3 x( s+ H& M2 Q8 }6 dip nat inside
$ ?& v" l; m# o% m- X" j! f+ J3 O$ T
no mop enabled
5 S$ b4 s  N5 k/ F# M!
* ?. ^, v8 C" ]0 ?$ ?interface Serial0
ip address negotiated //IP地址自动获取
no ip directed-broadcast
ip nat outside
) |( M  a6 C; i. _# B/ X1 lencapsulation ppp //S0接口封装ppp协议
! G: n" Y+ q/ d+ @6 d2 ^no ip mroute-cache
no ip route-cache
crypto map rtp //将保密映射应用到S0接口上

& o: s7 K4 E. B" g, o) S!
ip nat inside source route-map nonat interface Serial0 overload
9 h( q3 r& V7 M! L- K% ]!--- 这个NAT配置启用了路由策略，内容为10.1.1.0到10.2.2.0的访问不进行地址翻译
!--- 到其他网络的访问都翻译成SO接口的IP地址
/ E% R* p6 T! @( z& C' ~4 N( a
* T( H+ p+ T0 sip classless
8 z8 S% V. K# Aip route 0.0.0.0 0.0.0.0 Serial0 //配置静态路由协议
no ip http server
$ Y) Z5 ]0 h8 u; A1 a
!
. g3 U8 L9 S9 b3 o4 Jaccess-list 115 permit ip 10.1.1.0 0.0.0.255 10.2.2.0 0.0.0.255
" O$ l/ N; |! u, Q: a: i* @$ kaccess-list 115 deny ip 10.1.1.0 0.0.0.255 any

access-list 120 deny ip 10.1.1.0 0.0.0.255 10.2.2.0 0.0.0.255
0 {: R2 ?+ i% K+ Q' t% Paccess-list 120 permit ip 10.1.1.0 0.0.0.255 any

!
) Q4 i& n9 _3 }dialer-list 1 protocol ip permit
& _6 ]# |7 \: ?( u4 D7 w' Sdialer-list 1 protocol ipx permit
route-map nonat permit 10 //使用路由策略
2 [! M$ Z, M) A6 f$ t* rmatch ip address 120
!
; K6 ^5 Z- p! pline con 0
transport input none
$ s$ U4 j( M: z: f" [8 V; aline aux 0
. f! A2 M3 m: }. a& Oline vty 0 4
- G, h) T0 ^0 \4 [% Q9 P9 d/ |password ww
7 a. v0 ]. m9 Qlogin
; ^9 R  R/ O4 B!
& t! u3 D$ d+ L7 e3 J6 @end


  n  Z% E! M# D: ~! c# n$ q
-----------IKE配置----------------
7 V$ n; C! m* S! b
" X  T/ Y1 c3 Y5 FIPSec VPN对等端为了建立信任关系，必须交换某种形式的认证密钥。
Internet 密钥交换(Internet Key Exchange，IKE)是一种为IPSec管理和交换密钥的标准方法。
一旦两个对等端之间的IKE协商取得成功，那么IKE就创建到远程对等端的安全关联(security association，SA)。SA是单向的；在两个对等端之间存在两
  l1 q% P. I, h/ e+ F个SA。
9 F- @1 \* Z7 w' h, }+ m3 xIKE使用UDP端口500进行协商，确保端口500不被阻塞。
5 n! j, p, [' A% W1 C/ _
配置
/ {% ]6 T& W( K: }
1、（可选）启用或者禁用IKE
(global)crypto isakmp enable
或者
5 U! F) d( Q% l(global)no crypto isakmp enable
) A3 l2 [. S) p9 `默认在所有接口上启动IKE

- j0 k0 V- {, q8 x) q9 ^0 W2、创建IKE策略
(1)定义策略
(global)crypto isakmp policy priority
注释：policy 1表示策略1，假如想多配几个VPN，可以写成policy 2、policy3┅
5 v  U3 Q6 f4 f; L% I+ t7 y
0 L( {; I) g& F& |(2)（可选）定义加密算法
(isakmp)encryption {des | 3des}
& q! p/ v/ {8 v2 d7 R: z加密模式可以为56位的DES-CBC(des，默认值)或者168位的3DES(3des)

(3)（可选）定义散列算法
(isamkp)hash {sha | md5}
  B( n* m: K2 B3 j1 Q3 T/ b默认sha
0 l7 A+ C, U* d& x0 Y& P4 p" b; k
(4)（可选）定义认证方式
(isamkp)authentication {rsa-sig | rsa-encr | pre-share}
2 R+ s3 g* h. Wrsa-sig 要求使用CA并且提供防止抵赖功能；默认值
/ Q" h6 ^  B1 H0 K: xrsa-encr 不需要CA，提供防止抵赖功能
5 Q% x& W* c4 q. U7 u! fpre-share 通过手工配置预共享密钥

8 w$ G$ s: ]6 ~# e1 ~" q(5)（可选）定义Diffie-Hellman标识符
% N* m% b3 O8 A9 [, l(isakmp)group {1 | 2}
7 I( U# S* g2 F  x6 a+ a注释：除非购买高端路由器，或是VPN通信比较少，否则最好使用group 1长度的密钥，group命令有两个参数值：1和2。参数值1表示密钥使用768位密钥，
参数值2表示密钥使用1024位密钥，显然后一种密钥安全性高，但消耗更多的CPU时间。
# d4 A4 y0 v; K
(6)（可选）定义安全关联的生命期
(isakmp)lifetime seconds
6 k* n' P0 v7 A4 \注释：对生成新SA的周期进行调整。这个值以秒为单位，默认值为86400，也就是一天。值得注意的是两端的路由器都要设置相同的SA周期，否则VPN在正
6 f7 {3 E3 _4 q# f6 g, ~- W2 B常初始化之后，将会在较短的一个SA周期到达中断。

3、(rsa-sig)使用证书授权(CA)
+ c" n, T2 k: Y9 X(1)确保路由器有主机名和域名
(global)hostname hostname
# F( Q0 j, p7 T8 y7 @(global)ip domain-name domain

(2)产生RSA密钥
2 X6 Q6 R4 `: Y$ X$ Y. I3 ~(global)crypto key generate rsa

(3)使用向IPSec对等端发布证书的CA
－－设定CA的主机名
# }( S6 G; k. x) b7 K' X- K) v* K* P(global)crypto ca identity name
, A! x2 q, k8 ^8 K9 ^－－设定联络CA所使用的URL
(ca-identity)enrollment url url
/ m3 s% m% A" B( f/ D" yURL应该采用http://ca-domain-nameort/cgi-bin-location的形式
0 e! f$ r9 n. h+ u; o－－（可选）使用RA模式
(ca-identity)enrollment mode ra
/ ]2 I- c: Z. I; P- z" x(ca-identity)query url url
$ ?+ y" h- F" i0 ]0 @－－（可选）设定注册重试参数
+ I% E- m6 b, {2 T, |1 A(ca-identity)enrollment retry period minutes
(ca-identity)enrollment retry count number
/ b: V, t5 T& u% xminutes(1到60；默认为1) number(1到100；默认为0，代表无穷次)
－－（可选）可选的证书作废列表
; }! b* o9 X; \0 w& m" Z(ca-identity)crl optional
; `; i$ y( ?5 V1 z$ x& }% u9 H
(4)（可选）使用可信的根CA
－－确定可信的根CA
0 Z2 C3 z' E# \! }(global)crypto ca trusted-root name
－－（可选）从可信的根请求CRL
0 u$ m2 Z3 F1 f! F( ]3 P(ca-root)crl query url
－－定义注册的方法
(ca-root)root {CEP url | TFTP server file | PROXY url}
- D' M9 ^+ T' ?9 t
) i4 ?8 [% b, W8 L; A9 o. F" Z2 @' _# S(5)认证CA
(global)crypto ca authenticate name
  R4 @3 H/ z; H# B/ _2 p3 }3 }
(6)用CA注册路由器
(global)crypto ca enroll name

4、(rsa-encr)手工配置RSA密钥（不使用CA）
. ^% }. ?" s; K6 G8 g) r5 f. U(1)产生RSA密钥
(global)crypto key generate rsa
5 T, V" h( b4 _* S
7 G& m9 r9 M: h7 |$ A(2)指定对等端的ISAKMP标识
$ U; Q" Y9 T# |( g+ Q/ @# t(global)crypto isakmp identity {address | hostname}
$ j4 I. t: }1 `6 K0 y
! {' T0 n, ?0 ^0 V# J9 P' K(3)指定其他所有对等端的RSA密钥
－－配置公共密钥链
. h5 ]2 N  C: \8 Q; i3 x(global)crypto key pubkey-chain rsa
9 \9 z( f; I# X! H4 e& ^: P! |
* u; Z9 `0 e2 p: v# Y+ T0 p1 |－－用名字或地址确定密钥
1 y8 {1 i- \& S6 B, Z(pubkey-chain)named-key key-name [encryption | signature]
' ]1 d* K( P) N1 s4 l) s8 O(pubkey-chain)addressed-key key-name [encryption | signature]
3 B- e/ t+ \% k$ [! m, j
－－（可选）手工配置远程对等端的IP地址
' x- D  m8 Z: C, ?/ ~3 o- V(pubkey-key)address ip-addr

; u0 M+ b. \& m! G% r2 h+ @( H－－指定远程对等端的公开密钥
(pubkey-key)key-string key-string
6 o% @) x7 l/ V0 ~% ~( Q) x: v8 R5 ~$ K
5、(preshare)配置预共享密钥
(global)crypto isakmp key key-string {addrss | hostname} {peer-address | peer-hostname}
注释：返回到全局设置模式确定要使用的预先共享密钥和指归VPN另一端路由器IP地址，即目的路由器IP地址。相应地在另一端路由器配置也和以上命令类
似

1 `1 t5 S0 p* |- D) W# N6、（可选）使用IKE模式
(1)定义要分发的“内部”或者受保护IP地址库
! U; U1 k9 B+ q0 E  u1 N9 s4 B(global)ip local pool pool-name start-address end-address

(2)启动IKE模式协商
(global)crypto isakmp client configuration address-pool local pool-name
, [, W/ j2 }5 @  w
2 g: |0 B! }! p4 G" x--------------IPSec配置----------------

+ z- Q9 k: `  S  j* Q  OIPSec 使用加密、数据完整性、源发鉴别以及拒绝重演分组来保护和认证网络层对等端之间的IP分组

3 G  Q6 v9 B8 y3 Y8 L( t& rIPSec对于构建内因网、外因网以及远程用户接入VPN来说非常有用处
  c  G  y! S, \' l
: t* b4 ]  N6 G* h( HIPSec支持以下标准
--Internet协议的安全体系结构
2 H+ r  }' p2 @2 K: D4 Q--IKE(Internet密钥交换)
--DES(数据加密标准)
--MD5
--SHA
--AH(Authentication Header，认证首部)数据认证和反重演(anti-reply)服务
  f) B! x& ]8 h9 X" y* m--ESP(Encapsulation Security Payload，封装安全净荷)数据隐私、数据验证以及反重演(anti-reply)服务
/ @! c. \. b2 G* b. x7 E
敏感流量由访问列表所定义，并且通过crypto map(保密图)集被应用到接口上。
: p7 S" J0 T4 J. ^
* ~" J7 u' K& T6 w: l; e+ t. n: I配置
, L. J, w: o3 k
1、为密钥管理配置IKE
+ f1 d0 P% _  {* ~0 @. @
" `  V% `0 b" v, X4 e9 [6 l' ~, `0 N2、（可选）定义SA的全局生命期
(global)crypto ipsec security-association lifetime seconds seconds
(global)crypto ipsec security-association lifetime killobytes kilobytes

3、定义保密访问列表来定义受保护的流量
& e. f0 y0 v# c  j5 ?(global)access-list access-list-number ....
2 g5 {/ u8 L5 r或者
; ~" T1 o0 t: i. [: R; {(global)ip access-list extended name
扩展的访问列表必须定义由IPSec保护哪种IP流量。保密图(crypto map)援引这个访问列表来确定在接口上要保护的流量。

; V: }0 }$ q8 j7 f/ u/ W9 w4、定义IPSec交换集
(1)创建变换集
6 ]  q, ?' {, U* d: C7 n; u" N' R(global)crypto ipsec transform-set name [transform1 | transform2 | transform3]
# P7 c$ ^7 C8 c4 f: p, \2 Z可以在一个保密图(crypto map)中定义多个变换集。如果没有使用IKE，那么只能定义一种变换集。用户能够选择多达三种变换。
（可选）选择一种AH变换
--ah-md5-hmac
--ah-sha-hmac
--ah-rfc-1828
  O1 V  M& E5 j# b4 a& e（可选）选择一种ESP加密编号
--esp-des
--esp-3des
--esp-rfc-1829
--esp-null
以及这些验证方法之一
7 T: Y2 T6 M2 V+ c--esp-md5-hmac
--esp-sha-hmac
（可选）选择IP压缩变换
" H! I5 b7 e7 A0 A' V1 B) ?--comp-lzs

& W  J) I* O6 F8 i# `; Q6 Z+ ?(2)（可选）选择变换集的模式
(crypto-transform)mode {tunnel | transport}
, N. }1 F5 K( X9 r0 |
. q7 ]- h  ~, G& [5、使用IPSec策略定义保密映射
保密图(crypto map)连接了保密访问列表，确定了远程对等端、本地地址、变换集和协商方法。

(1)（可选）使用手工的安全关联（没有IKE协商）
9 e6 R8 I3 D( ?) X3 ?5 @; W--创建保密图
( o$ r/ |5 ?0 x& P$ m# R; |" y5 L(global)crypto map map-name sequence ipsec-manual
9 U1 P+ e/ X8 I, D, G9 R4 @
% v# @* K) O) S4 A1 N3 {--援引保密访问列表来确定受保护的流量
(crypto-map)match address access-list
9 H! a* G& @; G6 D
--确定远程的IPSec对等端
( d1 K3 [! c% ~- j8 Z4 j; f  E: ^! F(crypto-map)set peer {hostname | ip_addr}
6 K% G; Q/ W, I
--指定要使用的变换集
/ d7 J1 c2 d* r(crypto-map)set transform-set name
变换集必须和远程对等端上使用的相同
: i% {5 ^/ v) N
--（仅适用于AH验证）手工设定AH密钥
(crypto-map)set session-key inbound ah spi hex-key-data
(crypto-map)set session-key outbound ah spi hex-key-data

3 D+ K* p+ y3 x, d! s/ Q--（仅适用于ESP验证）手工设定ESP SPI和密钥
(crypto-map)set session-key inbound ah spi hex-key-data [authenticator hex-key-data]
, Z1 ^9 D3 G7 g  F( ~2 {(crypto-map)set session-key outbound ah spi hex-key-data [authenticator hex-key-data]

(2)（可选）使用IKE建立的安全关联
--创建保密图
. Q0 c' b" V: ~2 n" Y9 P(global)crypto map map-name sequence ipsec-isakmp

--援引保密访问列表来确定受保护的流量
" V4 L) m9 |7 @3 P1 Q(crypto-map)match address access-list

  A) \! q. K% i' b8 R0 L--确定远程的IPSec对等端
: |( C9 J. [0 L% b7 ?8 x(crypto-map)set peer {hostname | ip_addr}

6 \) S9 s2 w4 b--指定要使用的变换集
(crypto-map)set transform-set name
! f# E; p% \/ s  X& P变换集必须和远程对等端上使用的相同
9 `2 a" G$ j( i7 S  K
) j8 w  T6 U2 M4 {. i. i--（可选）如果SA生命期和全局默认不同，那么定义它：
(crypto-map)set security-association lifetime seconds seconds
( u8 [2 `0 F+ ^( n, [; @6 D, q(crypto-map)set security-association lifetime kilobytes kilobytes
( M$ Q5 A* Q; E, l% U$ R
! x7 D; a& M) |5 x' L) i6 C# e! Q- s--（可选）为每个源/目的主机对使用一个独立的SA
* s2 J; @( N% h, G" H(crypto-map)set security-association level per-host
) u8 i5 k+ Y0 S% Q# U1 r, r
5 C: |+ W5 |/ f% P5 Q6 `& \1 h1 J* v--（可选）对每个新的SA使用完整转发安全性
(crypto-map)set pfs [group1 | group2]

. [# l- v( P8 c; f, F5 X, Z(3)（可选）使用动态安全关联
, m# A" @" o4 Y8 {9 I9 \- K# p- @--创建动态的保密图
(global)crypto dynamic-map dyn-map-name dyn-seq-num

--（可选）援引保密访问列表确定受保护的流量
! U. F! e- H* G5 o% d, i" K(crypto-map)match address access-list

--（可选）确定远程的IPSec对等端
(crypto-map)set peer {hostname | ip_addr}
# Q( M0 J  m5 l0 E
--（可选）指定要使用的变换集
(crypto-map)set transform-set tranform-set-name
3 \" _$ `3 t1 t
6 z' B/ O; f% ~* ^/ w--（可选）如果SA生命期和全局默认不同，那么定义它：
5 H+ S% x$ J' l0 M$ J(crypto-map)set security-association lifetime seconds seconds
(crypto-map)set security-association lifetime kilobytes kilobytes
) V: s4 U8 p% B$ c
% f; m2 ^- ?, W--（可选）对每个新的SA使用完整转发安全性
6 O  [+ s/ s' }5 B; J8 |3 l, L(crypto-map)set pfs [group1 | group2]
+ F& ^* b, ?: N
, e* \3 ^9 N$ @0 h9 b* w--将动态保密图集加入到正规的图集中
(global)crypto map map-name sequence ipsec-isakmp dynamic dyn-map-name [discover]

--（可选）使用IKE模式的客户机配置
(global)crypto map map-name client configuration address [initiate | respond]

--（可选）使用来自AAA服务器的预共享IKE密钥
/ g2 y* r( r1 G- r, r! ]9 ](global)crypto map map-name isakmp authorization list list-name

: A( m. ~* d0 G2 o6、将保密映射应用到接口上
# P  _9 v; y, P: R4 N# c, `) s7 C; l
(1)指定要使用的保密映射
& I' A. c' Y# ^8 {9 t(interface)crypto map map-name

+ K% Y, ?2 I2 I% x(2)（可选）和其他接口共享保密映射
(global)crypto map map-name local-address interface-id

引用:                                                                                                                                作者: sunruiqi188                                                                                                                                                                                                        好的我试一下。如果有什么问题。再请教各位大哥。                                                                                                                access-list 1  被漏掉了， 记得补上。

这是什么东东啊

写的真的很不错

帮帮顶顶！！

看帖回帖是美德！:lol

谢谢楼主，共同发展

沙发！沙发!