一、一些基本命令。R1(config)#crypto ?dynamic-map Specify a dynamic crypto map template/创建或修改一个动态加密映射表ipsec Configure IPSEC policy/创建 IPSec 安全策略isakmp Configure ISAKMP policy/创建 IKE 策略key Long term key operations/为路由器的 SSH 加密会话产生加密密钥。后面接数值，是 key modulus size，单位为 bitmap Enter a crypto map/创建或修改一个普通加密映射表Router(config)#crypto dynamic-map ?WORD Dynamic crypto map template tag/WORD 为动态加密映射表名Router(config)#crypto ipsec ?security-association Security association parameters/ ipsec 安全关联存活期，也可不配置，在 map 里指定即可transform-set Define transform and settings/定义一个 ipsec 变换集合（安全协议和算法的一个可行组合）Router(config)#crypto isakmp ?client Set client configuration policy/建立地址池enable Enable ISAKMP/启动 IKE 策略，默认是启动的key Set pre-shared key for remote peer/设置密钥policy Set policy for an ISAKMP protection suite/设置 IKE 策略的优先级Router(config)#crypto key ?generate Generate new keys/生成新的密钥zeroize Remove keys/移除密钥Router(config)#crypto map ?WORD Crypto map tag/WORD 为 map 表名二、一些重要命令。Router(config)#crypto isakmp policy ?Priority of protection suite/设置 IKE 策略， policy 后面跟 1-10000 的数字，这些数字代表策略的优先级。Router(config)#crypto isakmp policy 100 /进入 IKE 策略配置模式，以便做下面的配置Router(config-isakmp)#encryption ? /设置采用的加密方式，有以下三种3des Three key triple DESaes AES - Advanced Encryption Standarddes DES - Data Encryption Standard (56 bit keys).Router(config-isakmp)#hash ? /采用的散列算法，MD5 为 160 位，sha 为 128 位。md5 Message Digest 5sha Secure Hash StandardRouter(config-isakmp)#authentication pre-share /采用预共享密钥的认证方式Router(config-isakmp)#group ? /指定密钥的位数，越往下安全性越高，但加密速度越慢1 Diffie-Hellman group 12 Diffie-Hellman group 25 Diffie-Hellman group 5Router(config-isakmp)#lifetime ? /指定安全关联生存期，为 60-86400 秒lifetime in secondsRouter(config)#crypto isakmp key * address XXX.XXX.XXX.XXX/设置 IKE 交换的密钥， *表示密钥组成，XXX.XXX.XXX.XXX 表示对方的 IP 地址Router(config)#crypto ipsec transform-set zx ?/设置 IPsec 交换集，设置加密方式和认证方式，zx 是交换集名称，可以自己设置，两端的名字也可不一样，但其他参数要一致。ah-md5-hmac AH-HMAC-MD5 transformah-sha-hmac AH-HMAC-SHA transformesp-3des ESP transform using 3DES(EDE) cipher (168 bits)esp-aes ESP transform using AES cipheresp-des ESP transform using DES cipher (56 bits)esp-md5-hmac ESP transform using HMAC-MD5 authesp-sha-hmac ESP transform using HMAC-SHA auth例：Router(config)#crypto ipsec transform-set zx esp-des esp-md5-hmacRouter(config)#crypto map map_zx 100 ipsec-isakmp/建立加密映射表，zx 为表名，可以自己定义，100 为优先级（可选范围 1-65535） ，如果有多个表，数字越小的越优先工作。Router(config-crypto-map)#match address ? /用 ACL 来定义加密的通信IP access-list numberWORD Access-list nameRouter(config-crypto-map)#set ?peer Allowed Encryption/Decryption peer. /标识对方路由器 IP 地址pfs Specify pfs settings /指定上面定义的密钥长度，即 groupsecurity-association Security association parameters /指定安全关联的生存期transform-set Specify list of transform sets in priority order /指定加密图使用的 IPSEC 交换集router(config-if)# crypto map zx/进入路由器的指定接口，应用加密图到接口，zx 为加密图名。三、一个配置实验。实验拓扑图：1.R1 上的配置。RouterenableRouter#config terminalEnter configuration commands, one per line. End with CNTL/Z.Router(config)#hostname R1/配置 IKE 策略R1(config)#crypto isakmp enableR1(config)#crypto isakmp policy 100R1(config-isakmp)#encryption desR1(config-isakmp)#hash md5R1(config-isakmp)#authentication pre-shareR1(config-isakmp)#group 1R1(config-isakmp)#lifetime 86400R1(config-isakmp)#exit/配置 IKE 密钥R1(config)#crypto isakmp key 123456 address 10.1.1.2/创建 IPSec 交换集R1(config)#crypto ipsec transform-set zx esp-des esp-md5-hmac/创建映射加密图R1(config)#crypto map zx_map 100 ipsec-isakmp R1(config-crypto-map)#match address 111R1(config-crypto-map)#set peer 10.1.1.2R1(config-crypto-map)#set transform-set zxR1(config-crypto-map)#set security-association lifetime seconds 86400R1(config-crypto-map)#set pfs group1R1(config-crypto-map)#exit/配置 ACLR1(config)#access-list 111 permit ip 192.168.1.10 0.0.0.255 192.168.2.10 0.0.0.255/应用加密图到接口R1(config)#interface s1/0R1(config-if)#crypto map zx_map2.R2 上的配置。与 R1 的配置基本相同，只需要更改下面几条命令：R1(config)#crypto isakmp key 123456 address 10.1.1.1R1(config-crypto-map)#set peer 10.1.1.1R1(config)#access-list 111 permit ip 192.168.2.10 0.0.0.255 192.168.1.10 0.0.0.2553.实验调试。在 R1 和 R2 上分别使用下面的命令，查看配置信息。R1#show crypto ipsec ?sa IPSEC SA tabletransform-set Crypto transform setsR1#show crypto isakmp ?policy Show ISAKMP protection suite policysa Show ISAKMP Security Associations四、相关知识点。对称加密或私有密钥加密：加密解密使用相同的私钥DES-数据加密标准 data encryption standard3DES-3 倍数据加密标准 triple data encryption standardAES-高级加密标准 advanced encryption standard一些技术提供验证：MAC-消息验证码 message authentication codeHMAC-散列消息验证码 hash-based message authentication codeMD5 和 SHA 是提供验证的散列函数对称加密被用于大容量数据，因为非对称加密站用大量 cpu 资源非对称或公共密钥加密：RSA rivest-shamir-adelman用公钥加密，私钥解密。公钥是公开的，但只有私钥的拥有者才能解密两个散列常用算法：HMAC-MD5 使用 128 位的共享私有密钥HMAC-SHA-I 使用 160 位的私有密钥ESP 协议：用来提供机密性，数据源验证，无连接完整性和反重放服务，并且通过防止流量分析来限制流量的机密性，这些服务以来于 SA 建立和实现时的选择。加密是有 DES 或 3DES 算法完成。可选的验证和数据完整性由 HMAC，keyed SHA-I 或MD5 提供IKE-