配置IKE:

crypto isakmp enable    //启用IKE

crypto isakmp policy 20    //配置优先级为20的IKE策略。（取值大小在1-1000之间，数字越小，优先级越高）

    authentication pre-share    //指定验证为预共享

    encryption 3des    //指定加密算法为3des

    group 2    //指定加密位数，group 2安全性高，但是比较耗费CPU

    hash md5    //指定是散列算法为MD5（其他方式：sha，rsa）

    lifetime 86400    //指定生命周期

配置Keys

crypto isakmp key 123421aa address 10.1.1.6    //使用预共享秘钥为123421aa何设置对端IP地址

crypto ipsec transform-set 2s××× esp-des  esp-md5-hmac    //配置IPSec交换集2s×××

mode tunnel

ex

crypto ipsec security-association lifetime seconds 86400    //配置IPSec安全关联存活期（可不配置）

ip access-list extended CScore_×××    //通过扩展ACL，定义数据流

5 permit ip 10.1.1.0 0.0.0.63 10.0.0.0 0.0.255.255

配置IPSec加密映射

crypto map CS_××× 20 ipsec-isakmp    //创建加密图

match address CScore_×××    //定义匹配的ACL访问列表

set peer  10.1.1.6    //配置对等地址

set transform-set 2s×××    //指定加密图使用的交换集为2s×××

set pfs group2    //关联共享秘钥的交换方式

reverse-route    //注入×××路由

应用加密图到端口

interface dia10    //将加密图绑定到指定端口

crypto map 2CS_×××

本篇文章IPSec_×××配置可和PPPOE配置详情一起组成关于分支机构×××配置

关于××× Troubleshooting建议参考    By