求助关于1841W的VPN接入问题

ゞ懒虫ゞ    方便帮我登过来看一下吗.

上面我链接都给了..你去找找，你比我还懒啊 ....汗!

你是高手我是新人.哈哈.拉兄弟一把吧.....呵呵.

VPN实例配置方案－中文注解
: o  S3 J0 |  E: x  i$ jscreen.width*0.6) {this.width=screen.width*0.6;this.alt='';this.onmouseover=this.style.cursor='pointer';this.onclick=function(){window.open('http://www.hrbnt.cn/cisco/attachments/month_0510/fc5j_11111.jpg')}}" />
4 D8 g' d3 o$ p, cRouter:sam-i-am(VPN Server)
( P9 r' {* J  U' v6 }
Current configuration:
!
! N& H3 C, ?0 `2 q( K# @version 12.2
service timestamps debug uptime
4 ?, A: D1 Z8 u9 l# g) U, ~service timestamps log up time
no service password-encryption
!
, L, X0 I. B, k4 L! U# I( Vhostname sam-i-am
!
1 G0 [* D4 Y" N% f- \1 dip subnet-zero

5 b: S& R4 F" A0 Q0 x0 P4 k!--- IKE配置
5 b) M( ]- {: L( V3 q. h1 F$ S- c
- e) N9 N: ]/ \9 F6 t- _sam-i-am(config)#crypto isakmp policy 1 //定义策略为1
" [% B3 w% b# p1 x2 ?1 Psam-i-am(isakmp)#hash md5 //定义MD5散列算法
) T; `( w2 D  D, R" ]+ bsam-i-am(isakmp)#authentication pre-share //定义为预共享密钥认证方式
sam-i-am(config)#crypto isakmp key cisco123 address 0.0.0.0 0.0.0.0

6 R: d" l% T2 y7 m2 F% p!--- 配置预共享密钥为cisco123,对等端为所有IP
+ w& {6 Y% z" f- T  ]; J; u
3 Z" p, N" W8 H9 o+ }0 b2 `# _7 }!--- IPSec协议配置

- P- u' U3 L2 w  p3 msam-i-am(config)#crypto ipsec transform-set rtpset esp-des esp-md5-hmac
, w4 W9 M6 L" D+ M7 d  ^
1 e0 S# O) l4 j  L1 c4 U5 g!--- 创建变换集 esp-des esp-md5-hmac

/ K! R. c8 V+ N& ?4 S0 Q9 ?, asam-i-am(config)#crypto dynamic-map rtpmap 10 //创建动态保密图rtpmap 10
san-i-am(crypto-map)#set transform-set rtpset //使用上面的定义的变换集rtpset
san-i-am(crypto-map)#match address 115 //援引访问列表确定受保护的流量
  Y7 E8 ]  T7 O, q, Lsam-i-am(config)#crypto map rtptrans 10 ipsec-isakmp dynamic rtpmap
6 \9 ]; Y3 R; E2 [3 ]' [# e6 x6 r
. `+ V) g0 R7 B, E( D4 X: w5 k!--- 将动态保密图集加入到正规的图集中

  f7 h* B5 N+ n! X! z1 @+ [. ?!
interface Ethernet0
ip address 10.2.2.3 255.255.255.0
, c7 |4 _# N4 P0 X  nno ip directed-broadcast
ip nat inside
4 O# l( a+ y: `; N6 o# [
  B" f1 V2 K2 y1 Q7 a) \1 y) Fno mop enabled
: x- T) M8 \; \. H. J6 E* ]3 u$ E!
  i) I. H8 W  U4 E* [interface Serial0
ip address 99.99.99.1 255.255.255.0
no ip directed-broadcast
/ {; q  `8 K# lip nat outside
! ?* N, {* ^" i4 l0 D* G3 \crypto map rtptrans //将保密映射应用到S0接口上
5 A  p/ o* v: _+ E* e
!
* s' \8 {$ v' X9 lip nat inside source route-map nonat interface Serial0 overload
& `- l1 x9 Q3 k!--- 这个NAT配置启用了路由策略，内容为10.2.2.0到10.1.1.0的访问不进行地址翻译
, N3 K8 x+ g" w- |2 H) x3 q!--- 到其他网络的访问都翻译成SO接口的IP地址

3 q3 `% S! h0 `ip classless
ip route 0.0.0.0 0.0.0.0 Serial0 //配置静态路由协议
) z3 H8 y) S1 P% R' qno ip http server
!
) ?0 Y/ Z* }. a# w# C$ U" Raccess-list 115 permit ip 10.2.2.0 0.0.0.255 10.1.1.0 0.0.0.255
$ ?) V% }4 K, V5 G: A& P( _access-list 115 deny ip 10.2.2.0 0.0.0.255 any
!
access-list 120 deny ip 10.2.2.0 0.0.0.255 10.1.1.0 0.0.0.255
access-list 120 permit ip 10.2.2.0 0.0.0.255 any
' j( e, K( L# p- q1 k- n2 @!
sam-i-am(config)#route-map nonat permit 10 //使用路由策略
sam-i-am(router-map)#match ip address 120
- ?. i6 _+ s/ g. W, t' Q, Q!
8 F. p/ i1 R. c( ~line con 0
2 @4 l+ T8 W6 N2 s& x* S) F6 Ztransport input none
line aux 0
line vty 0 4
, x9 n. v  S5 L  Q& l. Fpassword ww
login
!
end
( x9 c  |5 ]/ J4 R$ t
' R! p; \. x# l5 m
Router:dr_whoovie(VPN Client)
( j; b9 M! k. A- M, Z
* g# l1 |0 `( h# W
2 H6 d. O( j5 T' S; t% xCurrent configuration:
% h4 [+ V' n  }0 o, k" }!
2 C( d; Z- `0 B6 }: g, o: ?version 12.2
' ?* {$ K& x2 c4 `# Aservice timestamps debug uptime
/ E2 @5 W. w$ e# J  Eservice timestamps log uptime
no service password-encryption
0 \. {4 [! |0 J/ b!
2 P3 f8 [& b* Xhostname dr_whoovie
' P" S2 ]+ l* F- L8 ]; S!
ip subnet-zero
9 Y8 O, r2 k. K8 v- R/ m!
dr_whoovie(config)#crypto isakmp policy 1 //定义策略为1
dr_whoovie(isakmp)#hash md5 //定义MD5散列算法
" S" W2 r3 ]6 U0 cdr_whoovie(isakmp)#authentication pre-share //定义为预共享密钥认证方式
dr_whoovie(config)#crypto isakmp key cisco123 address 99.99.99.1
8 O! D8 `% m0 L, \( S
6 Q0 P1 C0 O: t) V) {!--- 配置预共享密钥为cisco123,对等端为服务器端IP99.99.99.1
& a, K; K: [& f( H2 R: J6 G
2 }) x, B* Q8 w" Z1 E7 {" v3 _/ _!--- IPSec协议配置
- H. x  R* F" `& j8 F, W
; p4 t: u/ q/ W, ldr_whoovie(config)#crypto ipsec transform-set rtpset esp-des esp-md5-hmac
% e2 f, ]* g5 `4 W
!--- 创建变换集 esp-des esp-md5-hmac

3 T7 Q( [5 g( H% X" E1 Sdr_whoovie(config)#crypto map rtp 1 ipsec-isakmp
; w! }( q4 Y- g+ ~4 m, b7 ^$ {
4 y8 Q6 E9 f3 L& d!--- 使用IKE创建保密图rtp 1

dr_whoovie(crypto-map)#set peer 99.99.99.1 //确定远程对等端
5 _2 U2 G3 G5 r: Rdr_whoovie(crypto-map)#set transform-set rtpset //使用上面的定义的变换集rtpset
& A! \$ Q7 |8 O: _8 \, V3 h" u; hdr_whoovie(crypto-map)#match address 115 //援引访问列表确定受保护的流量

!
interface Ethernet0
ip address 10.1.1.1 255.255.255.0
! R) S% F0 k( p. Bno ip directed-broadcast
! j# Z0 O  C1 E: \; X4 A% m& Xip nat inside
' r- w* e) Z' t9 T* n
no mop enabled
0 [) G/ `, D+ _" ^; h6 ]+ w!
interface Serial0
4 C- D  j* V9 lip address negotiated //IP地址自动获取
3 a/ X1 P; @: Y, g( s% S; Mno ip directed-broadcast
ip nat outside
8 |6 V5 v2 g" S4 uencapsulation ppp //S0接口封装ppp协议
1 E4 \# I- U4 t# \3 ^no ip mroute-cache
no ip route-cache
. l) L. ]1 T* a2 P" e4 p. dcrypto map rtp //将保密映射应用到S0接口上
! l0 {3 ?: R7 {( [( C9 Y, Z5 Q
!
9 k2 j6 B# r8 ?/ H. Kip nat inside source route-map nonat interface Serial0 overload
!--- 这个NAT配置启用了路由策略，内容为10.1.1.0到10.2.2.0的访问不进行地址翻译
!--- 到其他网络的访问都翻译成SO接口的IP地址

- e6 l2 y5 V4 ?4 X/ ~, Dip classless
ip route 0.0.0.0 0.0.0.0 Serial0 //配置静态路由协议
  o) G" @! A0 a4 @/ E3 Lno ip http server
; a$ C3 S& n  J4 b  A6 O
!
access-list 115 permit ip 10.1.1.0 0.0.0.255 10.2.2.0 0.0.0.255
% J& C+ {+ W; \3 z# g1 oaccess-list 115 deny ip 10.1.1.0 0.0.0.255 any

access-list 120 deny ip 10.1.1.0 0.0.0.255 10.2.2.0 0.0.0.255
access-list 120 permit ip 10.1.1.0 0.0.0.255 any

. x& Z  U7 D* n& \6 r!
dialer-list 1 protocol ip permit
dialer-list 1 protocol ipx permit
/ r) b, g1 n- R! yroute-map nonat permit 10 //使用路由策略
+ O/ P; q$ i2 A% G# l/ ]match ip address 120
5 {. |. c( N8 C!
line con 0
  f% K( i( P* y- ]" q& htransport input none
% D- \9 X& s" i7 o7 z- p' K4 w( kline aux 0
line vty 0 4
% D/ O, B6 _5 E8 N/ o5 Q7 e$ tpassword ww
9 g  \4 W; y7 @4 K8 e! \. \login
!
end

0 ?2 _5 t" ?+ U; l. f$ I8 @
3 Y# k  K! X9 ^) J: E' W
5 ^5 _; Y* S( `4 N6 d3 z6 q6 b-----------IKE配置----------------

IPSec VPN对等端为了建立信任关系，必须交换某种形式的认证密钥。
  X2 f2 }* I* K$ c) u; X3 ?Internet 密钥交换(Internet Key Exchange，IKE)是一种为IPSec管理和交换密钥的标准方法。
, p$ t+ [' i3 Y* f6 p5 L一旦两个对等端之间的IKE协商取得成功，那么IKE就创建到远程对等端的安全关联(security association，SA)。SA是单向的；在两个对等端之间存在两
3 x5 K" F- a  N7 Z) l0 I个SA。
4 {/ R2 N: M# I1 HIKE使用UDP端口500进行协商，确保端口500不被阻塞。
' C& {6 D6 r; {2 W+ d
配置
) ?, L* g5 _$ g# O& q
1、（可选）启用或者禁用IKE
5 ?: }2 |7 \2 U3 q(global)crypto isakmp enable
  d! o6 N& {& ^& _或者
  d! `, }( v6 N0 @& r! ?(global)no crypto isakmp enable
# v  C& }! F9 Z' a+ Y. r  i默认在所有接口上启动IKE
2 L+ S8 U( z2 W2 B1 q, S& n
2、创建IKE策略
& K% s" W. m8 j! Q% v2 \8 a(1)定义策略
: y8 S; `" \2 H' J  s(global)crypto isakmp policy priority
3 V7 s, V: ]$ p注释：policy 1表示策略1，假如想多配几个VPN，可以写成policy 2、policy3┅
  m- a* W; |/ ?( T3 p& R& M) }
(2)（可选）定义加密算法
! a0 a2 ?9 w- I* j/ S; F(isakmp)encryption {des | 3des}
加密模式可以为56位的DES-CBC(des，默认值)或者168位的3DES(3des)
1 u! |) l; D' S6 o6 ?: M
; j$ v; y; y- O, m, e1 [5 m  y- x(3)（可选）定义散列算法
(isamkp)hash {sha | md5}
默认sha
  e- C& l- n3 b7 t8 m
(4)（可选）定义认证方式
" z( A1 b# _8 H9 S5 }(isamkp)authentication {rsa-sig | rsa-encr | pre-share}
  \# M1 w! n2 A! t( U$ z2 ]/ }' zrsa-sig 要求使用CA并且提供防止抵赖功能；默认值
6 ^) A. i% j; f- i! U8 Wrsa-encr 不需要CA，提供防止抵赖功能
pre-share 通过手工配置预共享密钥

(5)（可选）定义Diffie-Hellman标识符
(isakmp)group {1 | 2}
1 I  X  z3 J9 _9 y% R/ Q- l注释：除非购买高端路由器，或是VPN通信比较少，否则最好使用group 1长度的密钥，group命令有两个参数值：1和2。参数值1表示密钥使用768位密钥，
3 _" p+ N& T4 a8 O! {8 l! p- W参数值2表示密钥使用1024位密钥，显然后一种密钥安全性高，但消耗更多的CPU时间。
+ [& \2 c5 y# u, z: w7 f: g
: A2 H! c% c; b(6)（可选）定义安全关联的生命期
(isakmp)lifetime seconds
( c* t6 w! S  z注释：对生成新SA的周期进行调整。这个值以秒为单位，默认值为86400，也就是一天。值得注意的是两端的路由器都要设置相同的SA周期，否则VPN在正
常初始化之后，将会在较短的一个SA周期到达中断。

3、(rsa-sig)使用证书授权(CA)
(1)确保路由器有主机名和域名
(global)hostname hostname
* P' E! E  j/ h% ^& a(global)ip domain-name domain

+ y5 p# S& M( i9 s(2)产生RSA密钥
(global)crypto key generate rsa
, H) s) n/ y) V5 m5 Q5 \
/ [1 T  [) a' U- o! e% g, ~(3)使用向IPSec对等端发布证书的CA
－－设定CA的主机名
(global)crypto ca identity name
－－设定联络CA所使用的URL
2 w7 y6 r+ T. S(ca-identity)enrollment url url
6 T  j0 X9 P- u1 n2 C9 ZURL应该采用http://ca-domain-nameort/cgi-bin-location的形式
- `. v/ \! K/ ~; ~0 [7 i: t－－（可选）使用RA模式
7 ^+ N$ q& P6 [  @0 l! C(ca-identity)enrollment mode ra
6 M* O& _( U$ F' i+ ~( B! g(ca-identity)query url url
－－（可选）设定注册重试参数
(ca-identity)enrollment retry period minutes
: C( u$ }& b- d(ca-identity)enrollment retry count number
# j5 _. D, Y0 R/ @. Zminutes(1到60；默认为1) number(1到100；默认为0，代表无穷次)
4 z$ T8 E# q0 o0 g4 J－－（可选）可选的证书作废列表
' g- n$ V8 N8 c- m5 G(ca-identity)crl optional
6 a6 v2 E" e/ ?, A
% p$ x/ }( B& M3 F/ V( X( o(4)（可选）使用可信的根CA
1 ?  M4 u: K& c: a) t; i－－确定可信的根CA
/ B5 k! \" ^1 h1 H4 u+ m(global)crypto ca trusted-root name
－－（可选）从可信的根请求CRL
6 G8 @" |- [% ~(ca-root)crl query url
－－定义注册的方法
/ L# c2 q4 ]: g9 ^. M(ca-root)root {CEP url | TFTP server file | PROXY url}

0 k/ q0 J, Q) S& x% G8 j(5)认证CA
+ H1 k( c/ }2 J# J3 H(global)crypto ca authenticate name

(6)用CA注册路由器
- K) S' T8 W* X1 h(global)crypto ca enroll name
' @( Q/ r+ B* F  ]# }  T3 n6 ?
. g& a" _$ Z) z: [4、(rsa-encr)手工配置RSA密钥（不使用CA）
(1)产生RSA密钥
(global)crypto key generate rsa

  E( d- A" Y2 g. v. y$ y: x(2)指定对等端的ISAKMP标识
' B! u  @- K4 \4 F& Q/ c" Z: c2 [(global)crypto isakmp identity {address | hostname}
% H- b. S  A! \6 Y
(3)指定其他所有对等端的RSA密钥
9 L. }+ H& z  w－－配置公共密钥链
(global)crypto key pubkey-chain rsa
/ F, G- N' c7 @1 M; s1 z/ |
－－用名字或地址确定密钥
9 h7 v7 t1 i  I) {$ m(pubkey-chain)named-key key-name [encryption | signature]
(pubkey-chain)addressed-key key-name [encryption | signature]

－－（可选）手工配置远程对等端的IP地址
(pubkey-key)address ip-addr
2 q0 i# X; B. j8 V% T3 _' h
6 Z* ]* b  E0 ^' G# [－－指定远程对等端的公开密钥
(pubkey-key)key-string key-string
. x& J3 [9 W$ j/ R- h
" g" a7 J6 L5 h5 \" p6 C9 F5、(preshare)配置预共享密钥
(global)crypto isakmp key key-string {addrss | hostname} {peer-address | peer-hostname}
+ h% P! N+ H- \8 j注释：返回到全局设置模式确定要使用的预先共享密钥和指归VPN另一端路由器IP地址，即目的路由器IP地址。相应地在另一端路由器配置也和以上命令类
; T1 J! i& _% A1 G& ?0 g+ o0 e似

6、（可选）使用IKE模式
6 B+ Q& P" U% {$ v! m6 G- u(1)定义要分发的“内部”或者受保护IP地址库
(global)ip local pool pool-name start-address end-address
! A2 g1 f# E" a
(2)启动IKE模式协商
(global)crypto isakmp client configuration address-pool local pool-name
8 ~9 A& Q2 `7 e7 N/ u
--------------IPSec配置----------------
; b% O) F$ F  e2 z  y
5 N5 T" l1 ?6 {3 [  V3 jIPSec 使用加密、数据完整性、源发鉴别以及拒绝重演分组来保护和认证网络层对等端之间的IP分组

IPSec对于构建内因网、外因网以及远程用户接入VPN来说非常有用处
2 h3 [3 u5 |) y( Z
7 P3 t( n' P0 h9 D0 O( W# aIPSec支持以下标准
) U& ]$ w* s( x# G* v' L8 {--Internet协议的安全体系结构
2 ^3 ?+ ^; ?+ L; ?. S7 A. m--IKE(Internet密钥交换)
--DES(数据加密标准)
6 O. S. X+ A) P! c2 z5 ~--MD5
--SHA
--AH(Authentication Header，认证首部)数据认证和反重演(anti-reply)服务
6 F6 v8 U5 A. k* Y$ x( G/ k7 b$ Z, P, _--ESP(Encapsulation Security Payload，封装安全净荷)数据隐私、数据验证以及反重演(anti-reply)服务
/ I9 E+ X1 U$ Q( W3 ]4 T
4 }+ p; o* r8 ~' e4 w; I敏感流量由访问列表所定义，并且通过crypto map(保密图)集被应用到接口上。

1 @, h3 w' o0 t* k, b! w配置

1、为密钥管理配置IKE
$ z0 C& h  Z  j$ [$ u1 F9 q
  E; H) A6 X; d* G9 ~' c$ q' o2、（可选）定义SA的全局生命期
(global)crypto ipsec security-association lifetime seconds seconds
(global)crypto ipsec security-association lifetime killobytes kilobytes
) p2 d0 k* y+ R) M! A7 i
3、定义保密访问列表来定义受保护的流量
(global)access-list access-list-number ....
1 i! o9 s9 z8 v. y' ^8 }/ q或者
; Q3 i8 r) W5 R(global)ip access-list extended name
扩展的访问列表必须定义由IPSec保护哪种IP流量。保密图(crypto map)援引这个访问列表来确定在接口上要保护的流量。
/ E/ |3 [6 K' U7 Y
/ z, \2 q4 d) @6 c0 G8 D4、定义IPSec交换集
(1)创建变换集
(global)crypto ipsec transform-set name [transform1 | transform2 | transform3]
' ]! U+ G; l" f7 k% U可以在一个保密图(crypto map)中定义多个变换集。如果没有使用IKE，那么只能定义一种变换集。用户能够选择多达三种变换。
% {5 s  ~% Q: [/ [: J+ C/ B（可选）选择一种AH变换
1 _- y' C0 Z/ H0 B) W: g5 \--ah-md5-hmac
--ah-sha-hmac
--ah-rfc-1828
& q- L: d! n" ]' R2 N2 n7 O（可选）选择一种ESP加密编号
--esp-des
--esp-3des
. R% ]4 @4 F' X  y8 p0 s8 {( [$ S2 E--esp-rfc-1829
9 t* ~/ z) r: [5 c5 D--esp-null
以及这些验证方法之一
( f+ b) Q5 l; K% a0 @. v--esp-md5-hmac
--esp-sha-hmac
, t" k3 }' W! G9 J8 f* v2 I（可选）选择IP压缩变换
--comp-lzs

6 L. }* [' P7 {& m(2)（可选）选择变换集的模式
$ H& S  y9 W( _' r2 N(crypto-transform)mode {tunnel | transport}
2 y; T) ^- Q- q% }% Q# b
5、使用IPSec策略定义保密映射
保密图(crypto map)连接了保密访问列表，确定了远程对等端、本地地址、变换集和协商方法。
& J) D6 N# ~/ t! E4 y# r
(1)（可选）使用手工的安全关联（没有IKE协商）
--创建保密图
(global)crypto map map-name sequence ipsec-manual
9 d8 R: u2 c/ L% F
--援引保密访问列表来确定受保护的流量
: x: ~+ {8 R. o. e  k$ g7 r8 M(crypto-map)match address access-list

4 D2 L" X# H! s) j! W8 f--确定远程的IPSec对等端
(crypto-map)set peer {hostname | ip_addr}
: j  f% B# C# o8 i/ z9 G7 |
/ n5 k! m/ j: S6 f& {& l--指定要使用的变换集
( {& G4 X! V2 a6 O8 Y5 H(crypto-map)set transform-set name
变换集必须和远程对等端上使用的相同
  N9 u8 L# O8 @; ~) N8 d
$ G! J: A! y0 ?3 z  m& m--（仅适用于AH验证）手工设定AH密钥
% y& }# h! g. g8 S/ C% ](crypto-map)set session-key inbound ah spi hex-key-data
. t4 Z  n. K, H+ y+ k4 t8 ^(crypto-map)set session-key outbound ah spi hex-key-data

0 A* l- H% L0 k/ `--（仅适用于ESP验证）手工设定ESP SPI和密钥
8 K& Y, u+ }0 i2 o# t- H, K(crypto-map)set session-key inbound ah spi hex-key-data [authenticator hex-key-data]
(crypto-map)set session-key outbound ah spi hex-key-data [authenticator hex-key-data]

9 P/ ?  w& n6 Q(2)（可选）使用IKE建立的安全关联
- v8 D8 \, @8 k+ c% |--创建保密图
+ p! B2 w2 f6 Q3 Q/ e* `% U(global)crypto map map-name sequence ipsec-isakmp
, v  w( \, t8 Z: s/ m
% e0 @8 q, Y7 N1 }9 D1 p' w--援引保密访问列表来确定受保护的流量
(crypto-map)match address access-list

--确定远程的IPSec对等端
( T+ x* r- b5 p5 z; ?7 z& X# c% N" [(crypto-map)set peer {hostname | ip_addr}
, o4 ]4 P1 r3 j9 [- ^0 Z1 F
! E2 N) p$ v. K' [7 I--指定要使用的变换集
/ A" C! I/ x& N1 Q* a* W(crypto-map)set transform-set name
变换集必须和远程对等端上使用的相同

--（可选）如果SA生命期和全局默认不同，那么定义它：
" w/ b: T0 W' P(crypto-map)set security-association lifetime seconds seconds
/ u$ h; @% M" |(crypto-map)set security-association lifetime kilobytes kilobytes

9 a# z2 d- }2 r% v$ D% g  w8 [--（可选）为每个源/目的主机对使用一个独立的SA
, q* z: s; E# H4 f(crypto-map)set security-association level per-host
( a, D) i1 ^8 s4 _
--（可选）对每个新的SA使用完整转发安全性
: f0 e# e" U! s2 J) X. J& u6 l' j(crypto-map)set pfs [group1 | group2]
% ^; l9 h+ a- t: o
(3)（可选）使用动态安全关联
2 h% ~; s- c1 B2 v" p1 Q--创建动态的保密图
5 W' Q3 i; {& Y5 W$ x9 u/ K0 ](global)crypto dynamic-map dyn-map-name dyn-seq-num
1 F& B1 E) J3 A' w
0 _3 p" P4 {0 n1 Z--（可选）援引保密访问列表确定受保护的流量
(crypto-map)match address access-list

--（可选）确定远程的IPSec对等端
" V. m* `8 x" r* m. J4 z(crypto-map)set peer {hostname | ip_addr}

* ^$ y7 B3 o6 G* ?--（可选）指定要使用的变换集
' r3 L: ~" `& O$ [(crypto-map)set transform-set tranform-set-name
0 z! s7 R1 \7 I- g+ x# q2 N
# u$ M5 T9 C' q3 Z& G/ T--（可选）如果SA生命期和全局默认不同，那么定义它：
; G+ ^5 \" Y+ m4 {" G; C) e' L(crypto-map)set security-association lifetime seconds seconds
(crypto-map)set security-association lifetime kilobytes kilobytes

--（可选）对每个新的SA使用完整转发安全性
4 o- w1 P) I$ L(crypto-map)set pfs [group1 | group2]
! G* ?) |& r" l( W6 y
+ ?9 M# j' L) Y. Z8 S, a# J9 o8 o--将动态保密图集加入到正规的图集中
(global)crypto map map-name sequence ipsec-isakmp dynamic dyn-map-name [discover]

. Y# g$ f4 y1 m4 q1 Q--（可选）使用IKE模式的客户机配置
6 b5 V( p# [' J" ]) z(global)crypto map map-name client configuration address [initiate | respond]

0 B! z1 O9 X; {8 S9 P' @--（可选）使用来自AAA服务器的预共享IKE密钥
(global)crypto map map-name isakmp authorization list list-name
4 N9 N2 n6 ^: d4 `( e5 `
6、将保密映射应用到接口上
: H' R+ o+ J5 W# J# M% k
4 [' Q9 _' g/ u(1)指定要使用的保密映射
(interface)crypto map map-name
( u/ Z1 s; ?7 B: y
(2)（可选）和其他接口共享保密映射
(global)crypto map map-name local-address interface-id

引用:                                                                                                                                作者: sunruiqi188                                                                                                                                                                                                        好的我试一下。如果有什么问题。再请教各位大哥。                                                                                                                access-list 1  被漏掉了， 记得补上。

这是什么东东啊

写的真的很不错

帮帮顶顶！！

看帖回帖是美德！:lol

谢谢楼主，共同发展

沙发！沙发!