舉列：一公司和其分公司需要經(jīng)常的數(shù)據(jù)交換，為了達(dá)到數(shù)據(jù)傳輸?shù)陌踩?，保密性，采取了站點(diǎn)之間的VPN搭建，其技術(shù)是基于IPSEC的VPN   雖然在現(xiàn)實(shí)生活中用的并不多。

比如 總公司的出口路由是R1   ip=192.168.1.1   分公司的出口路由是R2   ip=192.168.1.2

2個路由上均配置了默認(rèn)路由

R1#   ip route 0.0.0.0 0.0.0.0 192.168.1.1   R2# ip route 0.0.0.0 0.0.0.0 192.168.1.2 

以上步驟完成后，兩個公司之間就可以正常通信了

下面開始VPN的配置    2個路由均為CISCO 3640系列

第一步   配置IKE協(xié)商

R1(config)#crypto isakmp policy 1   建立IKE協(xié)商策略  
R1(config-isakmap)# hash md5    設(shè)置密鑰驗證所用的算法  
R1(config-isakmap)# authentication pre-share   設(shè)置路由要使用的預(yù)先共享的密鑰  
R1(config)#   crypto isakmp key   123   address 192.168.1.2   設(shè)置共享密鑰和對端地址 123是密鑰  
 
R2(config)#crypto isakmp policy 1    
R2(config-isakmap)# hash md5     
R2(config-isakmap)# authentication pre-share    
R2(config)#   crypto isakmp key   123   address 192.168.1.1 

第二步 配置IPSEC相關(guān)參數(shù)

R1(config)# crypto ipsec transform-set cfanhome ah-md5-hmac esp-des   配置傳輸模式以及驗證的算法和加密的的算法   cfanhome這里是給這個傳輸模式取個名字  
R1(config)# access-list 101 permit ip   any any 我這里簡單的寫   但是大家做的時候可不能這樣寫  
這里是定義訪問控制列表  
R2(config)# crypto ipsec transform-set cfanhome ah-md5-hmac esp-des   兩邊的傳輸模式的名字要一樣  
R2(config)# access-list 101 permit ip   any any   

第三步 應(yīng)用配置到端口   假設(shè)2個端口都是s0/0

R1(config)# crypto map cfanhomemap 1 ipsec-isakmp 采用IKE協(xié)商，優(yōu)先級為1 這里的cfanhomemap是一個表的名字  
R1(config-crypto-map)#   set peer 192.168.1.2 指定VPN鏈路對端的IP地址  
R1(config-crypto-map)#   set transform-set   cfanhome   指定先前所定義的傳輸模式  
R1(config-crypto-map)#   match address 101 指定使用的反問控制列表   這里的MATCH是匹配的意思  
R1(config)# int s0/0  
R1(config-if)# crypto map cfanhomemap 應(yīng)用此表到端口   

R2和R1在最后的配置基本一樣   這里就不一一寫出來了