以下为路由器A 的配置,路由器B 只需对相应配置做更改即可 1:配置IKE router(config)# crypto isakmp enable #启用IKE(默认是启动的) router(config)# crypto isakmp policy 100 #建立IKE 策略,优先级为100 router(config-isakmp)# authentication pre-share #使用预共享的密码进行身份验证 router(config-isakmp)# encryption des #使用des 加密方式 router(config-isakmp)# group 1 #指定密钥位数,group 2 安全性更高,但更耗cpu router(config-isakmp)# hash md5 #指定hash 算法为MD5(其他方式:sha,rsa) router(config-isakmp)# lifetime 86400 #指定SA 有效期时间。默认86400 秒,两端要一致 以上配置可通过 show crypto isakmp policy显示。VPN 两端路由器的上述配置要完全一样。 2:配置Keys router(config)# crypto isakmp key cisco1122 address 10.0.0.2 --(设置要使用的预共享密钥和指定vpn 另一端路由器的IP 地址) 3:配置IPSEC router(config)# crypto ipsec transform-set abc esp-des esp-md5-hmac 配置IPSec 交换集 abc 这个名字可以随便取,两端的名字也可不一样,但其他参数要一致。 router(config)# crypto ipsec security-association lifetime 86400 ipsec 安全关联存活期,也可不配置,在下面的map 里指定即可 router(config)# access-list 110 permit tcp 172.16.1.0 0.0.0.255 172.16.2.0 0.0.0.255 router(config)# access-list 110 permit tcp 172.16.2.0 0.0.0.255 172.16.1.0 0.0.0.255 4.配置IPSEC 加密映射 router(config)# crypto map mymap 100 ipsec-isakmp 创建加密图 router(config-crypto-map)# match address 110 用ACL 来定义加密的通信 router(config-crypto-map)# set peer 10.0.0.2 标识对方路由器IP 地址 router(config-crypto-map)# set transform-set abc 指定加密图使用的IPSEC 交换集 router(config-crypto-map)# set security-association lifetime 86400 router(config-crypto-map)# set pfs group 1 5.应用加密图到接口 router(config)# interface ethernet0/1 router(config-if)# crypto map mamap 相关知识点: 对称加密或私有密钥加密:加密解密使用相同的私钥 DES--数据加密标准 data encryption standard 3DES--3 倍数据加密...
