IPSec  ××× 的配置实现 如图所示，某软件开发公司在中小城市建立了分支公司，

分支公司开发项目小组所在网络地址为 172.16.10.0/24，

根据上述需求，网络管理员需要在分支公司的网关路由器上配置 ×××。

1．分支公司的网关路由器

路由方面的配置

R1(config)#ip route 0.0.0.0 0.0.0.0 100.0.0.2

配置 ISAKMP 策略

R1(config)#crypto isakmp policy 1        R1(config-isakmap)#encryption 3des        R1(config-isakmap)#hash sha        R1(config-isakmap)#authentication pre-share        R1(config-isakmap)#group 2        R1(config)#crypto isakmp key tedu address 200.0.0.1

配置 ACL

R1(config)#access-list 100 permit ip 172.16.10.0 0.0.0.255 10.10.33.0 0.0.0.255

配置 IPSec 策略（转换集）

R1(config)#crypto ipsec transform-set yf-set ah-sha-hmac esp-des

配置加密映射集

R1(config)#crypto map yf-map 1 ipsec-isakmp        R1(config-crypto-map)#set peer 200.0.0.1        R1(config-crypto-map)#set transform-set yf-set        R1(config-crypto-map)#match address 100

将映射集应用在接口

R1(config)#interface f0/0        R1(config-if)#crypto map yf-map

2．总公司的网关路由器

路由方面的配置

R2(config)#ip route 0.0.0.0 0.0.0.0 200.0.0.2

IPSec ××× 方面的配置

R2(config)#crypto isakmp policy 1        R2(config-isakmap)#encryption 3des        R2(config-isakmap)#hash sha        R2(config-isakmap)#authentication pre-share        R2(config-isakmap)#group 2        R2(config)#crypto isakmp key tedu address 100.0.0.1        R2(config)#access-list 100 permit ip 10.10.33.0 0.0.0.255 172.16.10.0 0.0.0.255        R2(config)#crypto ipsec transform-set yf-set ah-sha-hmac esp-des            //加密和认证算法要与分公司匹配        R2(config)#crypto map yf-map 1 ipsec-isakmp        R2(config-crypto-map)#set peer 100.0.0.1        R2(config-crypto-map)#set transform-set yf-set         R2(config-crypto-map)#match address 100        R2(config)#interface f0/0        R2(config-if)#crypto map yf-map        R3config)#ip route172.16.10.0  255.255.255.0  100.1.1.1        R3(config)#ip route10.10.33.0   255.255.255.0   200.1.1.1

测试：

Ping 或访问 Web 服务。