[Secpath1-beijing]

ike peer 1

配置IKE參數

 pre-shared-key 12345                          

配置預共享字。兩端必須一致。

有些路由器版本需要加”extrange main”啟動主模式。一般，默認即為主模式。

remote-address 202.38.1.2

配置隧道對端地址。

#

ipsec proposal p1

創建安全提議，可采用默認安全提議內容。默認為：ESP隧道封裝，DES加密，MD5驗證。

通過”display ipsec proposal”可以查看提議內容。包括加密方法、數據認證方法等。如需更改，則在安全提議模式下更改

#

ipsec policy policy1 1 isakmp

創建ipsec策略，其安全內容采用IKE自動協商。

security acl 3000

指定哪些數據流需要加密

ike-peer 1

引用IKE對等體

proposal p1

引用安全提議

#

interface Ethernet0/0/0

ip address 202.38.1.1 255.255.255.0

ipsec policy policy1

在外網接口上啟用IPSEC策略，加密相關私網數據

#

acl number 3000

rule 0 permit ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255

指定去往對端私網的數據流

rule 1 deny ip

#

ip route-static 0.0.0.0 0.0.0.0 202.38.2.2 preference 60

注意：一定要有去往對端的路由，包括公網和私網地址。也就是說，設備需要知道去往10.1.2.0的路徑，通過路由發到公網口上。

#

[Secpath2-wuhan]

ike peer 1

配置IKE參數

 pre-shared-key 12345                          

配置預共享字。兩端必須一致。

有些路由器版本需要加”extrange main”啟動主模式。

remote-address 202.38.1.1

配置隧道對端地址。

#

ipsec proposal p1

創建安全提議，可采用默認安全提議內容。通過”display ipsec proposal”可以查看提議內容。包括加密方法、數據認證方法等。如需更改，則在安全提議模式下更改

#

ipsec policy policy1 1 isakmp

創建ipsec策略，其安全內容采用IKE自動協商。

security acl 3000

指定哪些數據需要加密

ike-peer 1

引用IKE對等體

proposal p1

引用安全提議

#

interface Ethernet0/0/0

ip address 202.38.1.2 255.255.255.0

ipsec policy policy1

在外網接口上啟用IPSEC策略，加密相關私網數據

#

acl number 3000

rule 0 permit ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.255

指定去往對端私網的數據流，注意與對端的ACL應為鏡像，這樣雙方才能互相對數據加解密。

rule 1 deny ip

#

ip route-static 0.0.0.0 0.0.0.0 202.38.2.1 preference 60

注意：一定要有去往對端的路由