(1)確保路由器有主機名和域名

(global)hostname hostname

(global)ip domain-name domain

(2)產生RSA密鑰

(global)crypto key generate rsa

(3)使用向IPSec對等端發布證書的CA

－－設定CA的主機名

(global)crypto ca identity name

－－設定聯絡CA所使用的URL

(ca-identity)enrollment url url

URL應該采用http://ca-domain-nameort/cgi-bin-location的形式

－－（可選）使用RA模式

(ca-identity)enrollment mode ra

(ca-identity)query url url

－－（可選）設定注冊重試參數

(ca-identity)enrollment retry period minutes

(ca-identity)enrollment retry count number

minutes(1到60；默認為1) number(1到100；默認為0，代表無窮次)

－－（可選）可選的證書作廢列表

(ca-identity)crl optional

(4)（可選）使用可信的根CA

－－確定可信的根CA

(global)crypto ca trusted-root name

－－（可選）從可信的根請求CRL

(ca-root)crl query url

－－定義注冊的方法

(ca-root)root {CEP url TFTP server file PROXY url}

(5)認證CA

(global)crypto ca authenticate name

(6)用CA注冊路由器

(global)crypto ca enroll name

4、(rsa-encr)手工配置RSA密鑰（不使用CA）

(1)產生RSA密鑰

(global)crypto key generate rsa

(2)指定對等端的ISAKMP標識

(global)crypto isakmp identity {address hostname}

(3)指定其他所有對等端的RSA密鑰

－－配置公共密鑰鏈

(global)crypto key pubkey-chain rsa

－－用名字或地址確定密鑰

(pubkey-chain)named-key key-name [encryption signature]

(pubkey-chain)addressed-key key-name [encryption signature]

－－（可選）手工配置遠程對等端的IP地址

(pubkey-key)address ip-addr

－－指定遠程對等端的公開密鑰

(pubkey-key)key-string key-string

5、(preshare)配置預共享密鑰

(global)crypto isakmp key key-string {addrss hostname} {peer-address peer-hostname}

注釋：返回到全局設置模式確定要使用的預先共享密鑰和指歸VPN另一端路由器IP地址，即目的路由器IP地址。相應地在另一端路由器配置也和以上命令類似

6、（可選）使用IKE模式

(1)定義要分發的“內部”或者受保護IP地址庫

(global)ip local pool pool-name start-address end-address

(2)啟動IKE模式協商

(global)crypto isakmp client configuration address-pool local pool-name

--------------IPSec配置----------------

IPSec 使用加密、數據完整性、源發鑒別以及拒絕重演分組來保護和認證網絡層對等端之間的IP分組

IPSec對于構建內因網、外因網以及遠程用戶接入VPN來說非常有用處

IPSec支持以下標準

--Internet協議的安全體系結構

--IKE(Internet密鑰交換)

--DES(數據加密標準)

--md5

--SHA

--AH(Authentication Header，認證首部)數據認證和反重演(anti-reply)服務

--ESP(Encapsulation Security Payload，封裝安全凈荷)數據隱私、數據驗證以及反重演(anti-reply)服務

敏感流量由訪問列表所定義，并且通過crypto map(保密圖)集被應用到接口上。

配置

1、為密鑰治理配置IKE

2、（可選）定義SA的全局生命期

(global)crypto ipsec security-association lifetime seconds seconds

(global)crypto ipsec security-association lifetime killobytes kilobytes

3、定義保密訪問列表來定義受保護的流量

(global)access-list access-list-number ....

或者

(global)ip access-list extended name

擴展的訪問列表必須定義由IPSec保護哪種IP流量。保密圖(crypto map)援引這個訪問列表來確定在接口上要保護的流量。

4、定義IPSec交換集

(1)創建變換集

(global)crypto ipsec transform-set name [transform1 transform2 transform3]

可以在一個保密圖(crypto map)中定義多個變換集。假如沒有使用IKE，那么只能定義一種變換集。用戶能夠選擇多達三種變換。

（可選）選擇一種AH變換

--ah-md5-hmac

--ah-sha-hmac

--ah-rfc-1828

（可選）選擇一種ESP加密編號

--esp-des

--esp-3des

--esp-rfc-1829

--esp-null

以及這些驗證方法之一

--esp-md5-hmac

--esp-sha-hmac

（可選）選擇IP壓縮變換

--comp-lzs

(2)（可選）選擇變換集的模式

(crypto-transform)mode {tunnel transport}

5、使用IPSec策略定義保密映射

保密圖(crypto map)連接了保密訪問列表，確定了遠程對等端、本地地址、變換集和協商方法。

(1)（可選）使用手工的安全關聯（沒有IKE協商）

--創建保密圖

(global)crypto map map-name sequence ipsec-manual

--援引保密訪問列表來確定受保護的流量

(crypto-map)match address access-list

--確定遠程的IPSec對等端

(crypto-map)set peer {hostname ip_addr}

--指定要使用的變換集

(crypto-map)set transform-set name

變換集必須和遠程對等端上使用的相同

--（僅適用于AH驗證）手工設定AH密鑰

(crypto-map)set session-key inbound ah spi hex-key-data

(crypto-map)set session-key outbound ah spi hex-key-data

--（僅適用于ESP驗證）手工設定ESP SPI和密鑰

(crypto-map)set session-key inbound ah spi hex-key-data [authenticator hex-key-data]

(crypto-map)set session-key outbound ah spi hex-key-data [authenticator hex-key-data]

(2)（可選）使用IKE建立的安全關聯

--創建保密圖

(global)crypto map map-name sequence ipsec-isakmp

--援引保密訪問列表來確定受保護的流量

(crypto-map)match address access-list

--確定遠程的IPSec對等端

(crypto-map)set peer {hostname ip_addr}

--指定要使用的變換集

(crypto-map)set transform-set name

變換集必須和遠程對等端上使用的相同

--（可選）假如SA生命期和全局默認不同，那么定義它：

(crypto-map)set security-association lifetime seconds seconds

(crypto-map)set security-association lifetime kilobytes kilobytes

--（可選）為每個源/目的主機對使用一個獨立的SA

(crypto-map)set security-association level per-host

--（可選）對每個新的SA使用完整轉發安全性

(crypto-map)set pfs [group1 group2]

(3)（可選）使用動態安全關聯

--創建動態的保密圖

(global)crypto dynamic-map dyn-map-name dyn-seq-num

--（可選）援引保密訪問列表確定受保護的流量

(crypto-map)match address access-list

--（可選）確定遠程的IPSec對等端

(crypto-map)set peer {hostname ip_addr}

--（可選）指定要使用的變換集

(crypto-map)set transform-set tranform-set-name

--（可選）假如SA生命期和全局默認不同，那么定義它：

(crypto-map)set security-association lifetime seconds seconds

(crypto-map)set security-association lifetime kilobytes kilobytes

--（可選）對每個新的SA使用完整轉發安全性

(crypto-map)set pfs [group1 group2]

--將動態保密圖集加入到正規的圖集中

(global)crypto map map-name sequence ipsec-isakmp dynamic dyn-map-name [discover]

--（可選）使用IKE模式的客戶機配置

(global)crypto map map-name client configuration address [initiate respond]

--（可選）使用來自AAA服務器的預共享IKE密鑰

(global)crypto map map-name isakmp authorization list list-name

6、將保密映射應用到接口上

(1)指定要使用的保密映射

(interface)crypto map map-name

(2)（可選）和其他接口共享保密映射

(global)crypto map map-name local-address interface-id