Cisco路由器IPsec配置
以下为路由器A的配置，路由器B只需对相应配置作更改即可

1：配置IKE

router(config)# crypto isakmp enable #启用IKE(默认是启动的)
router(config)# crypto isakmp policy 1 #建立IKE策略,优先级为1
router(config-isakmp)# authentication pre-share #使用预共享的密码进行身份验证
router(config-isakmp)# encryption aes #使用aes加密方式
router(config-isakmp)# group 2 #指定密钥位数，group 2安全性更高，但更耗cpu
router(config-isakmp)# hash sha #指定hash算法为MD5(其他方式：sha，rsa)

router(config-isakmp)# lifetime 86400 #指定SA有效期时间。默认86400秒，两端要一致以上配置可通过show crypto isakmp policy显示。VPN两端路由器的上述配置要完全一样。

2：配置Keys

router(config)# crypto isakmp key cisco address 202.100.1.254
--(设置要使用的预共享密钥和指定vpn另一端路由器的IP地址)

3：配置IPSEC
router(config)# crypto ipsec transform-set myset esp-aes esp-sha-hmac

配置IPSec交换集

abc这个名字可以随便取，两端的名字也可不一样，但其他参数要一致。
router(config)# crypto ipsec security-association lifetime 86400

ipsec安全关联存活期，也可不配置，在下面的map里指定即可

router(config)# access-list 110 permit tcp 172.16.30.0 0.0.0.255 172.16.10.0 0.0.0.255

4.配置IPSEC加密映射
router(config)# crypto map mymap 100 ipsec-isakmp 创建加密图
router(config-crypto-map)# match address 110 用ACL来定义加密的通信
router(config-crypto-map)# set peer 202.100.1.254 标识对方路由器IP地址
router(config-crypto-map)# set transform-set myset 指定加密图使用的IPSEC交换集
router(config-crypto-map)# set security-association lifetime seconds 86400
router(config-crypto-map)# set pfs group2

5.应用加密图到接口
router(config)# interface G0/1
router(config-if)# crypto map mymap

查看

show crypto isakmp sa