CCNA第七天（IPsec配置）

第一步 配置IKE协商

R1(config)#crypto isakmp policy 1   //建立IKE协商策略  R1(config-isakmap)# hash md5    //设置密钥验证所用的算法  R1(config-isakmap)# authentication pre-share   //设置路由要使用的预先共享的密钥  R1(config)#   crypto isakmp key   123   address 192.168.1.2   //设置共享密钥和对端地址 123是密钥  R2(config)#crypto isakmp policy 1    R2(config-isakmap)# hash md5     R2(config-isakmap)# authentication pre-share    R2(config)#   crypto isakmp key   123   address 192.168.1.1 

第二步 配置IPSEC相关参数

R1(config)# crypto ipsec transform-set cfanhome ah-md5-hmac esp-des   //配置传输模式以及验证的算法和加密的的算法   cfanhome这里是给这个传输模式取个名字  R1(config)# access-list 101 permit ip   any any //这里是定义访问控制列表  R2(config)# crypto ipsec transform-set cfanhome ah-md5-hmac esp-des   //两边的传输模式的名字要一样  R2(config)# access-list 101 permit ip   any any   

第三步 应用配置到端口 假设2个端口都是s0/0

R1(config)# crypto map cfanhomemap 1 ipsec-isakmp //采用IKE协商，优先级为1 这里的cfanhomemap是一个表的名字  R1(config-crypto-map)#   set peer 192.168.1.2 //指定VPN链路对端的IP地址  R1(config-crypto-map)#   set transform-set   cfanhome   //指定先前所定义的传输模式  R1(config-crypto-map)#   match address 101 //指定使用的反问控制列表 R1(config)# int s0/0  R1(config-if)# crypto map cfanhomemap //应用此表到端口   

调试命令

show crypto map 看映射表
show crypto ipsec transform-set 看校验和加密
show crypto isakmp sa 看sa（安全连接）的状态