如何實現IPSec VPN 技術，以下(xià)是一(yī)個案例，告訴大(dà)家怎樣去(qù)配置一(yī)個基于路由器實現IPSec VPN.

　　因工(gōng)作需要，要求在公司的A辦事處與B辦事處之間建立VPN聯接。A辦事處網絡設置：内網IP 10.1.1.0/24,外(wài)網IP 202.102.1.5/24;B辦事

處網絡設置：内網IP 10.1.2.0/24,外(wài)網IP 202.102.1.6/24.

　　在兩邊的路由器上都要進行以下(xià)配置步驟：

　　一(yī)、配置IKE中(zhōng)的加密算法

　　二、配置IKE密鑰方法

　　三、定義轉換集

　　四、建立加密圖

　　五、設置隧道端口

　　六、配置内網口

　　七、配置外(wài)網口

　　八、建立訪問列表

　　南(nán)京路由器配置如下(xià)：

　　!

　　service timestamps debug uptime

　　service timestamps log uptime

　　no service password-encryption

　　!

　　hostname Nanjing

　　!

　　enable cisco

　　一(yī)、配置IKE中(zhōng)的加密算法

　　crypto isakmp policy 1

　　注釋：生(shēng)成iskamp policy number 1.policy 1表示策略1,假如想多配幾個VPN,可以寫成policy 2、policy3 … …

　　encryption des

　　注釋：選擇用DES encryption也可用3DES指定三倍DES加密

　　hash sha

　　注釋：指定使用的散列算法，也可以是md5（二端保持一(yī)緻）

　　authentication pre-share

　　注釋：告訴路由器要使用預先共享的密碼。

　　group 1

　　注釋：指定爲Diffie-Hellman組。除非購買高端路由器，或是VPN通信比較少，否則最好使用group 1長度的密鑰，group命令有兩個參數值

：1和2.參數值1表示密鑰使用768位密鑰，參數值2表示密鑰使用1024位密鑰，顯然後一(yī)種密鑰安全性高，但消耗更多的CPU時間。

　　lifetime 14400

　　注釋：對生(shēng)成新SA的周期進行調整。這個值以秒爲單位，默認值爲86400,也就是一(yī)天。值得注意的是兩端的路由器都要設置相同的SA周期

，否則VPN在正常初始化之後，将會在較短的一(yī)個SA周期到達中(zhōng)斷。不設則爲默認值。

　　二、配置IKE密鑰方法

　　crypto isakmp identity address

　　注釋：指定與遠程路由器通信時使用isakmp标識

　　crypto isakmp key 654321 address 202.102.1.6

　　注釋：返回到全局設置模式确定要使用的預先共享密鑰和指向VPN另一(yī)端路由器IP地址，即目的路由器IP地址。相應地在另一(yī)端路由器配置

也和以上命令類似，隻不過把IP地址改成202.102.1.5.

　　crypto isakmp key 654321 address 192.168.1.2

　　注釋：對遠程路由器隧道端口192.168.1.2使用密鑰654321

　　三、定義轉換集

　　crypto ipsec transform-set test1 ah-md5-hmac esp-des esp-md5-hmac

　　注釋：這裏在兩端路由器唯一(yī)不同的參數是test1,這是爲這種選項組合所定義的名稱。在兩端的路由器上，這個名稱可以相同，也可以不

同。以上命令是定義所使用的IPSec參數。爲了加強安全性，要啓動驗證報頭。由于兩個網絡都使用私有地址空間，需要通過隧道傳輸數據，因

此還要使用安全封裝協議。最後，還要定義DES作爲保密密碼鑰加密算法。可以定義一(yī)個或多個轉換集

　　四、建立加密圖

　　crypto map cmap1 local-address serial 0

　　注釋：定義加密圖cmap1并指定s0爲本地地址

　　crypto map cmap1 1 ipsec-isakmp

　　注釋：用序号1設置加密圖

　　set peer 202.102.1.6

　　set peer 192.168.1.2

　　注釋：這是标識對方路由器的合法IP地址。在遠程路由器上也要輸入類似命令，隻是對方路由器地址應該是202.102.1.5.

　　set transform-set test1

　　注釋：标識用于這個連接的轉換集

　　match address 111

　　注釋：标識用于這個連接的訪問列表。

　　process-max-time 200

　　五、設置隧道端口

　　interface Tunnel0

　　ip address 192.168.1.1 255.255.255.0

　　tunnel source 202.102.1.5

　　tunnel destination 202.102.1.6

　　crypto map cmap

　　六、設置内網口

　　interface Ethernet0

　　ip address 10.1.1.1 255.255.255.0

　　七、設置外(wài)網口

　　interface serial0

　　ip address 202.102.1.5 255.255.255.0

　　no ip mroute-cache

　　no fair-queue

　　crypto map cmap

　　注釋：将剛才定義的密碼圖應用到路由器的外(wài)部接口。

　　ip classless

　　八、建立訪問列表

　　access-list 111 permit ip host 202.102.1.5 host 202.102.1.6

　　access-list 111 permit ip host 202.102.1.6 host 202.102.1.5

　　access-list 111 permit ip 10.1.1.0 0.0.0.255 202.102.1.0 0.0.0.255

　　access-list 111 permit ip 10.1.2.0 0.0.0.255 202.102.1.0 0.0.0.255

　　access-list 111 permit ip 10.1.1.0 0.0.0.255 10.1.2.0 0.0.0.255

　　access-list 111 permit ip 10.1.2.0 0.0.0.255 10.1.1.0 0.0.0.255

　　注釋：在這裏使用的訪問列表号不能與任何過濾訪問列表相同，應該使用不同的訪問列表号來标識VPN規則。

　　!

　　line con 0

　　line aux 0

　　line vty 0 4

　　==============================

　　password cisco

　　login

　　!

　　end

　　!

B路由器配置如下(xià)：

　　!

　　service timestamps debug uptime

　　service timestamps log uptime

　　no service password-encryption

　　!

　　hostname shanghai

　　!

　　enable cisco

　　!

　　!

　　!------以下(xià)配置加密--------

　　crypto isakmp policy 1

　　生(shēng)成iskamp policy number 1

　　encryption des 選擇用DES encryption也可用3DES指定三倍DES加密

　　hash sha 指定使用的散列算法，也可以是md5（二端保持一(yī)緻）

　　authentication pre-share

　　group 1 指定爲Diffie-Hellman組，1表示768位，2表示1024位

　　lifetime 14400 指定安全關聯的有效期，不設就爲默認值

　　------以下(xià)配置密鑰方法-----

　　crypto isakmp identity address 指定與遠程路由器通信時使用isakmp标識

　　crypto isakmp key 654321 address 202.102.1.5 對遠程路由器端口202.102.1.6使用密鑰654321

　　crypto isakmp key 654321 address 202.102.1.6 對遠程路由器端口202.102.1.6使用密鑰654321

　　crypto isakmp key 654321 address 192.168.1.1 對遠程路由器隧道端口192.168.1.2使用密鑰654321

　　!
　　------以下(xià)定義一(yī)個轉換集-----

　　crypto ipsec transform-set tset1 ah-md5-hmac esp-des esp-md5-hmac 可以定義一(yī)個或多個集

　　!

　　!
　　-------以下(xià)建立加密圖------

　　crypto map cmap1 local-address serial 0 定義加密圖cmap1并指定s0爲本地地址

　　crypto map cmap1 1 ipsec-isakmp 用序号1設置加密圖

　　set peer 202.102.1.5 設定目标地址

　　set peer 202.102.1.6

　　set peer 192.168.1.1

　　set transform-set test1 指定轉換集

　　match address 111 指定加密訪問列表111中(zhōng)的地址

　　!

　　!

　　process-max-time 200

　　!
　　-------以下(xià)設置隧道端口------

　　interface Tunnel0

　　ip address 192.168.1.2 255.255.255.0

　　tunnel source 202.102.1.6

　　tunnel destination 202.102.1.5

　　crypto map cmap

　　!
　　-------以下(xià)設置内網口------

　　interface Ethernet0

　　ip address 10.1.2.1 255.255.255.0

　　!
　　-------以下(xià)設置外(wài)網口------

　　interface serial0

　　ip address 202.102.1.6 255.255.255.0

　　no ip mroute-cache

　　no fair-queue

　　crypto map cmap

　　!

　　ip classless

　　!
　　-------以下(xià)建立訪問列表111------

　　access-list 111 permit ip host 202.102.1.5 host 202.102.1.6

　　access-list 111 permit ip host 202.102.1.6 host 202.102.1.5

　　access-list 111 permit ip 10.1.1.0 0.0.0.255 202.102.1.0 0.0.0.255

　　access-list 111 permit ip 10.1.2.0 0.0.0.255 202.102.1.0 0.0.0.255

　　access-list 111 permit ip 10.1.1.0 0.0.0.255 10.1.2.0 0.0.0.255

　　access-list 111 permit ip 10.1.2.0 0.0.0.255 10.1.1.0 0.0.0.255

　　!

　　line con 0

　　line aux 0

　　line vty 0 4

　　==============================

　　password cisco

　　login

　　!

　　end

　　!

　　最後,測試這個VPN的連接，并且确保通信是按照預期規劃進行的。

然後,保存運行配置。