IPSEC是一个数据封装协议，定义了验证和加密的过程。在WIN SERVER和路由设备上都能设置

配置IPSec:
1. 配置变换组：
1） 配置AH以及ESP协议：
Router(cofnig)#crypto transform-set transform-name protocol1 protocol2 protocol3
transform-name word 变换组的名称
protocol ah-md5-hmac 使用AH-HMAC-MD5进行鉴别
ah-rfc1828 使用AH-MD5变换（RFC1828）鉴别
ah-sha-hmac 使用AH-HMAC-SHA变换进行鉴别
esp-des 使用ESP变换使用DES密码（56位）
esp-md5-hamc 使用ESP变换使用HMAC-MD5鉴别
esp-null 使用ESP变换W/O密码
esp-rfc1829 使用ESP-DES-CBC变换（RFC1829）
esp-sha-hmac 使用ESP变换使用HMAC-SHA鉴别

2） 变换组的配置模式：（默认情况下，在隧道模式中运行）
Router(cfg-crypto-trans)#mode mode-of-operation
mode-of-operation tunnel 变换组将在隧道模式中运行
transport 变换组将在传输模式中运行

2．手动配置IPSec SA密钥的密码映射：
1）建立密码映射条目：
Router(config-crypto-map)#crpto map name-of-map sequence-number ipsec-manual
name-of-map word 密码映射的名称
sequence-number 0-65535 为远程VPN对等设备标识特定目的的地址的唯一号码

2） 指定加密哪一个数据流：
Router(config-crypto-map)#match address access-list
access-list 100-199 标识将被加密的数据流的扩展访问列表

3） 指定对等设备路由器
Router(config-crypto-map)#set peer VPN-ip-address
VPN-ip-address x.x.x.x VPN对等设备的IP地址

4） 指定变换组：
Router(config-crypto-map)#set transform-set transform-set-name
transform-set-name word 现有的变换组的名称

5） 指定密钥：
使用IOS11。3T手动配置加密密钥：
Router(cofnig-crypto-map)#set security-association direction esp spi protocol key
direction inbound 使用此密钥来对分组进行解密
outbound 使用此密钥来对分组进行加密
spi 256-4294967295 spi使用的开始序列号码
protocol cipher 此密钥用于加密
authenticator 此密钥用于鉴别
key word 此密钥是十六进制格式的（没有定向的）0x)

使用IOS12。0及12。1手动配置加密密钥：
Router(config-crypto-map)#set session-key direction esp spi protocol key
(参数同上)

使用IOS11。3T手动配置鉴别密钥：
Router(config-crypto-map)#set security-association direction ah spi key
(参数同上)

使用IOS12。0及12。1手动配置鉴别密钥：
Router(config-crypto-map)#set session-key direction ah spi key
(参数同上)

每个加密算法最小的密钥长度
算法 最小的密钥长度（按位表示）
DES 16位十六进制位
MD5 32位十六进制位
SHA 40位十六进制位

6） 对接口应用密码映射：
Router(config-if)#crypto map name-of-map
name-of-map word 先前建立的密码映射的名称（对大小写敏感）

3．使用ISAKMP为IPSEC SA配置密码映射：
1）创建密码映射条目：
Router(config)#crypto map name-of-map sequence-number ipsec-isakmp
name-of-map word 密码映射的名称
sequence-number 0-65535 为远程VPN对等设备标识特定目的的地址的唯一号码

2) 指定加密哪一个数据流：
Router(config-crypto-map)#match address access-list
access-list 100-199 标识将被加密的数据流的扩展访问列表
3） 指定对等设备路由器
Router(config-crypto-map)#set peer VPN-ip-address
VPN-ip-address x.x.x.x VPN对等设备的IP地址

4） 指定变换组：
Router(config-crypto-map)#set transform-set transform-set-name
transform-set-name word 现有的变换组的名称

5） 配置ISAKMP：
打开ISAKMP：
Router(config)#crypto isakmp enable

创建ISAKMP策略：
Router(config)#crypto isakmp policy policy-number
policy-number 1-10000 策略号码的优先级

*要在ISAKMP策略内部定义散列：
Router(config-isakmp)#hash hash-protocol
hash-protocol md5 为散列算法使用消息摘要5
sha 为散列算法使用安全散列标准

配置ISAKMP策略以便使用密钥（RSA或pre-share）
Router(config-isakmp)#authentication auth-protocol
auth-protocol pre-share 使用per-share密钥
rsa-encr 使用RSA加密
rsa-sig 使用RSA签名

*为ISAKMP策略配置pre-share密钥：
Router(config)#crypto isakmp key key address ISMKMP-peer-ip-address
key word 用于加密过程的密钥
ISMKMP-peer-ip-address x.x.x.x ISAKMP对等设备的IP地址
或
Router(config)#crypto isakmp key key hostname ISMKMP-peer-name
key word 用于加密过程的密钥
ISMKMP-peer-ip-address word ISAKMP对等设备的名称（要求名称解释）

*为ISAKMP策略手动配置RSA密钥：
生成RSA密钥：
Router(config)#crypto key generate rsa option
option usage-keys 为信号传递以及加密产生不同的RSA密钥

定义ISAKMP身份：
Router(config)#crypto isakmp identity isakmp-identity
isakmp-identity address 使用IP地址作为ISAKMP的身份
hostname 使用主机名称作为ISAKMP的身份

指定ISAKMP对等设备的RSA公共密钥：
Router(config)#crypto key pubkey-chain rsa
Router(config-pubkey-chain)#named-key isakmp-identity option
isakmp-identity address 标识将要使用的ISAKMP对等设备
option encryption 仅用于加密（只与usage-key选项一起使用）
signature 仅用于签名（只与usage-key选项一起使用）

*使用CA服务器为ISAKMP策略配置RSA密钥：
生成RSA密钥：
Router(config)#crypto key generate rsa option
option usage-keys 为信号传递以及加密产生不同的RSA密钥

宣布证明授权：
步骤1：宣布CA将要宣布CA的域名：
Router(config)#crypto ca identity name
name word CA的域名

步骤2：宣布CA将要指定CA的URL，包括URL内部的任何cgi-bin脚本的位置：
Router(ca-identity)#enrollment url url
url word 指定CA的URL

步骤3：如果CA提供登记授权，则宣布CA将要指定RA模式：
Router(ca-identity)#enrollment mode ra

步骤4：宣布CA将要指定轻便目录访问协议（LDAP）服务器的位置：
Router(ca-identity)#query url url
url word 指定LDAP服务器的URL

改变重试时期：
Router(ca-identity)#enrollment retry period minutes
minutes word 在超时之前需要等待的分钟数

鉴别证明授权：
Router(config)#crypto ca authenticate name
name word CA的名称（与宣布CA时的名称相同）

请求证明：
Router(config)#crypto ca enroll name
name word CA的名称（与宣布CA时的名称相同）

6） 对接口应用密码映射：
Router(config-if)#crypto map name-of-map
name-of-map word 先前建立的密码映射的名称

4．动态的密码映射：
1）创建密码映射条目：
Router(config)#crypto dynamic-map name-of-map sequence-number
name-of-map word 密码映射名称
sequence-number 0-65535 为远程VPN对等设备标识特定于目的地址的唯一号码

2）指定变换组：
Router(config-crypto-map)#set transform transform-set-name
transform-set-name word 现有变换组的名称

3）对接口应用密码映射：
Router(config-if)#crypto map name-of-map
name-of-map word 先前建立的密码映射的名称

5．具有选择性的密码映射属性：
1）安全性关联生存期：（默认情况下，仅允许一个ISAKMP SA的时间达到86400秒，对于通过ISAKMP SA传递的通信量没有限制。在IPSEC SA结束之前，一个IPSEC SA将仅持续3600秒，或传输4500MB的通信量。）
Router(config-crypto-map)#set security-association lifetime seconds num-of-seconds
num-of-seconds 120-86400 用秒钟来表示的安全性关联持续时间

Router(config-crypto-map)#set security-association lifetime kilobytes num-of-kilobytes
num-of-kilobytes 2560-536870912 用流量表示安全性关联持续限制

2）完美转发秘密：
Router(config-crypto-map)#set pfs group
group group1 当使用PFS时，为DH使用768位密钥
group2 当使用PFS时，为DH使用1024位密钥

6．使用IPSEC的冗余接口：
Router(config-crypto-map)#crypto map name-of-map local-ip-address interface
name-of-map word 密码映射的名称
local-ip-address x.x.x.x VPN对等设备的IP地址
interface serialX 在前面的参数中已经指定其IP地址的接口