Current configuration:

　!

　version 12.2

　service timestamps debug uptime

　service timestamps log up time

　no service passWord-encryption

　!

　hostname sam-i-am

　!

　ip subnet-zero

　!--- IKE配置

　sam-i-am(config)#crypto isakmp policy 1 //定義策略為1

　sam-i-am(isakmp)#hash md5 //定義MD5散列算法

　sam-i-am(isakmp)#authentication PRe-share //定義為預共享密鑰認證方式

　sam-i-am(config)#crypto isakmp key cisco123 address 0.0.0.0 0.0.0.0

　!--- 配置預共享密鑰為cisco123,對等端為所有IP

　!--- IPSec協議配置

　sam-i-am(config)#crypto ipsec transform-set rtpset esp-des esp-md5-hmac

　!--- 創建變換集 esp-des esp-md5-hmac

　sam-i-am(config)#crypto dynamic-map rtpmap 10 //創建動態保密圖rtpmap 10

　san-i-am(crypto-map)#set transform-set rtpset //使用上面的定義的變換集rtpset

　san-i-am(crypto-map)#match address 115 //援引訪問列表確定受保護的流量

　sam-i-am(config)#crypto map rtptrans 10 ipsec-isakmp dynamic rtpmap

　!--- 將動態保密圖集加入到正規的圖集中

　!

　interface Ethernet0

　ip address 10.2.2.3 255.255.255.0

　no ip directed-broadcast

　ip nat inside

　no mop enabled

　!

　interface Serial0

　ip address 99.99.99.1 255.255.255.0

　no ip directed-broadcast

　ip nat outside

　crypto map rtptrans //將保密映射應用到S0接口上

　!

　ip nat inside source route-map nonat interface Serial0 overload

　!--- 這個NAT配置啟用了路由策略，內容為10.2.2.0到10.1.1.0的訪問不進行地址翻譯

　!--- 到其他網絡的訪問都翻譯成SO接口的IP地址

　ip classless

　ip route 0.0.0.0 0.0.0.0 Serial0 //配置靜態路由協議

　no ip http server

　!

　access-list 115 permit ip 10.2.2.0 0.0.0.255 10.1.1.0 0.0.0.255

　access-list 115 deny ip 10.2.2.0 0.0.0.255 any

　!

　access-list 120 deny ip 10.2.2.0 0.0.0.255 10.1.1.0 0.0.0.255

　access-list 120 permit ip 10.2.2.0 0.0.0.255 any

　!

　sam-i-am(config)#route-map nonat permit 10 //使用路由策略

　sam-i-am(router-map)#match ip address 120

　!

　line con 0

　transport input none

　line aux 0

　line vty 0 4

　password ww

　login

　!

　end

　Router:dr_whoovie(VPN Client)

　Current configuration:

　!

　version 12.2

　service timestamps debug uptime

　service timestamps log uptime

　no service password-encryption

　!

　hostname dr_whoovie

　!

　ip subnet-zero

　!

　dr_whoovie(config)#crypto isakmp policy 1 //定義策略為1

　dr_whoovie(isakmp)#hash md5 //定義MD5散列算法

　dr_whoovie(isakmp)#authentication pre-share //定義為預共享密鑰認證方式

　dr_whoovie(config)#crypto isakmp key cisco123 address 99.99.99.1

　!--- 配置預共享密鑰為cisco123,對等端為服務器端IP99.99.99.1

　!--- IPSec協議配置

　dr_whoovie(config)#crypto ipsec transform-set rtpset esp-des esp-md5-hmac

　!--- 創建變換集 esp-des esp-md5-hmac

　dr_whoovie(config)#crypto map rtp 1 ipsec-isakmp

　!--- 使用IKE創建保密圖rtp 1

　dr_whoovie(crypto-map)#set peer 99.99.99.1 //確定遠程對等端

　dr_whoovie(crypto-map)#set transform-set rtpset //使用上面的定義的變換集rtpset

　dr_whoovie(crypto-map)#match address 115 //援引訪問列表確定受保護的流量

　!

　interface Ethernet0

　ip address 10.1.1.1 255.255.255.0

　no ip directed-broadcast

　ip nat inside

　no mop enabled

　!

　interface Serial0

　ip address negotiated //IP地址自動獲取

　no ip directed-broadcast

　ip nat outside

　encapsulation ppp //S0接口封裝ppp協議

　no ip mroute-cache

　no ip route-cache

　crypto map rtp //將保密映射應用到S0接口上

　!

　ip nat inside source route-map nonat interface Serial0 overload

　!--- 這個NAT配置啟用了路由策略，內容為10.1.1.0到10.2.2.0的訪問不進行地址翻譯

　!--- 到其他網絡的訪問都翻譯成SO接口的IP地址

　ip classless

　ip route 0.0.0.0 0.0.0.0 Serial0 //配置靜態路由協議

　no ip http server

　!

　access-list 115 permit ip 10.1.1.0 0.0.0.255 10.2.2.0 0.0.0.255

　access-list 115 deny ip 10.1.1.0 0.0.0.255 any

　access-list 120 deny ip 10.1.1.0 0.0.0.255 10.2.2.0 0.0.0.255

　access-list 120 permit ip 10.1.1.0 0.0.0.255 any

　!

　dialer-list 1 protocol ip permit

　dialer-list 1 protocol ipx permit

　route-map nonat permit 10 //使用路由策略

　match ip address 120

　!

　line con 0

　transport input none

　line aux 0

　line vty 0 4

　password ww

　login

　!

　end

　-----------IKE配置----------------

　IPSec VPN對等端為了建立信任關系，必須交換某種形式的認證密鑰。

　Internet 密鑰交換(Internet Key Exchange，IKE)是一種為IPSec治理和交換密鑰的標準方法。

　一旦兩個對等端之間的IKE協商取得成功，那么IKE就創建到遠程對等端的安全關聯(security association，SA)。SA是單向的；在兩個對等端之間存在兩個SA。

　IKE使用UDP端口500進行協商，確保端口500不被阻塞。

　配置

　1、（可選）啟用或者禁用IKE

　(global)crypto isakmp enable

　或者

　(global)no crypto isakmp enable

　默認在所有接口上啟動IKE

　2、創建IKE策略

　(1)定義策略

　(global)crypto isakmp policy priority

　注釋：policy 1表示策略1，假如想多配幾個VPN，可以寫成policy 2、policy3┅

　(2)（可選）定義加密算法

　(isakmp)encryption {des 3des}

　加密模式可以為56位的DES-CBC(des，默認值)或者168位的3DES(3des)

　(3)（可選）定義散列算法

　(isamkp)hash {sha md5}

　默認sha

　(4)（可選）定義認證方式

　(isamkp)authentication {rsa-sig rsa-encr pre-share}

　rsa-sig 要求使用CA并且提供防止抵賴功能；默認值

　rsa-encr 不需要CA，提供防止抵賴功能

　pre-share 通過手工配置預共享密鑰

　(5)（可選）定義Diffie-Hellman標識符

　(isakmp)group {1 2}

　注釋：除非購買高端路由器，或是VPN通信比較少，否則最好使用group 1長度的密鑰，group命令有兩個參數值：1和2。參數值1表示密鑰使用768位密鑰，

　參數值2表示密鑰使用1024位密鑰，顯然后一種密鑰安全性高，但消耗更多的CPU時間。

　(6)（可選）定義安全關聯的生命期

　(isakmp)lifetime seconds

　注釋：對生成新SA的周期進行調整。這個值以秒為單位，默認值為86400，也就是一天。值得注重的是兩端的路由器都要設置相同的SA周期，否則VPN在正

　常初始化之后，將會在較短的一個SA周期到達中斷。