用的锐捷设备。

ipsec加密图用于对外接口上。

IPsec
使用IPSec对本部到各分部的数据流进行加密。要求使用动态隧道主模式，安全协议采用esp协议，加密算法采用3des，认证算法采用md5，以IKE方式建立IPsec SA。在R1上配置ipsec加密转换集名称为myset；动态ipsec加密图名称为dymymap；预共享密钥为明文123456；静态的ipsec加密图mymap

R1：

R1(config)#crypto isakmp policy 1 //创建新的isakmp策略

R1(isakmp-policy)#encryption 3des //指定使用3des进行加密

R1(isakmp-policy)#authentication pre-share //指定认证方式为“预共享密钥”，用的最多

R1(isakmp-policy)#hash md5 //认证hash算法采用md5认证

R1(isakmp-policy)#exit

R1(config)#crypto isakmp key 7 123456 address 0.0.0.0 0.0.0.0 //配置预共享密钥，指定邻居，0.0.0.0 0.0.0.0是任意匹配 7是不加密

R1(config)#crypto ipsec transform-set myset esp-3des esp-md5-hmac//配置ipsec加密转换集，名字为myset

R1(config)#crypto dynamic-map dymymap 5 //新建名为“dymymap"的动态ipsec加密图

R1(config-crypto-map)#set transform-set myset //指定加密转换集为”myset“

R1(config-crypto-map)#exit

R1(config)#crypto map mymap 10 ipsec-isakmp dynamic dymymap //将动态的”dymymap"ipsec加密图映射到静态的ipsec加密图”mymap“中

R1(config)#int vlan 20

R1(config-if-vlan20)#crypto map mymap//将加密图应用到外网接口上

R1(config)#intvlan 30

R1(config-if-vlan30)#crypto map mymap//将加密图应用到外网接口上

因为R1是双出口，多少会出现次优路径，指定总部内网访问各分支的优选路径

R1(config)#iproute 194.1.0.0 255.255.0.0 13.1.0.3

R1(config)#ip route 193.1.0.0 255.255.0.0 12.1.0.2

创建isakmp策略（密码类型）
    加密类型
    域共享密钥
    认证算法
配置域共享密钥和邻居
配置加密转换集
新建动态加密图
    把加密集转换集用于加密图
动态加密图转为静态加密图
把加密图应用在外接口上

EG1(config)#crypto isakmp policy 1   //创建新的isakmp策略

EG1(isakmp-policy)#encryption 3des //指定使用3des进行加密

EG1(isakmp-policy)#authentication pre-share //指定认证方式为“预共享密钥”，用的最多

EG1(isakmp-policy)#hash md5 //认证hash算法采用md5认证

EG1(isakmp-policy)#exit

EG1(config)#crypto isakmp key 7 123456 address 12.1.0.1 //配置预共享密钥。指定peer12.1.0.1的预共享密钥为”123456“该密钥与总部上指定该分支的密钥一致，如果使用数字证书/信封认证无需配置

EG1(config)#crypto isakmp keepalive 5 periodic //配置ipsec DPD探测功能，超过配置的时间后回主动发送DPD消息，最大重传5次

EG1(config)#crypto ipsec transform-set myset esp-3des esp-md5-hmac//配置ipsec加密转换集，名字为myset，没有指定就写R1一致的

EG1(config)#ip access-list extended 101

EG1(config-ext-nacl)#permit ip 193.1.0.0 0.0.255.255 11.1.0.21 0.0.0.0

EG1(config-ext-nacl)#permit ip 193.1.0.0 0.0.255.255 11.1.0.22 0.0.0.0 //需要访问ac不然，ap上线不了

EG1(config-ext-nacl)#permit ip 193.1.0.0 0.0.255.255 192.1.0.0 0.0.255.255 //允许分支的流量访问总部的网络，ip汇聚可以使用，现网中还是用子网会安全点

EG1(config-ext-nacl)#exit

EG1(config)#crypto map mymap 10 ipsec-isakmp //新建名称为”mymap“的加密图

EG1(config-crypto-map)#set peer 12.1.0.1 //指定peer地址

EG1(config-crypto-map)#set transform-set myset //指定加密转换集”myset“

EG1(config-crypto-map)#match address 101//匹配感兴趣流ACL101

EG1(config-crypto-map)#exit

EG1(config)#int g0/3

EG1(config-if-gigabitethernet0/3)#crypto map mymap //将加密图应用到接口

创建isakmp策略（密码类型）
    加密类型
    域共享密钥
    认证算法
配置域共享密钥和邻居
配置加密转换集
配置探测功能
配置ACL，放行到ac的流量
新建静态加密图
    指定peer邻居地址
    把加密集转换集用于加密图
    配置感兴趣流
把加密图应用在外接口上