工作原理：一边服务器的网络子网为192.168.1.0/24路由器为100.10.15.1另一边的服务器为192.168.10.0/24路由器为200.20.25.1.执行下列步骤：
　　
    1. 确定一个预先共享的密钥（保密密码）（以下例子保密密码假设为noIP4u）
　　
    2. 为SA协商过程配置IKE.
　　
    3. 配置IPSec.
 
    配置IKE：
　　
    Shelby（config）#crypto isakmp policy 1
　　
    注释：policy 1表示策略1，假如想多配几个VPN，可以写成policy   
    2、policy3┅
　　
    Shelby（config-isakmp）#group 1
    注释：除非购买高端路由器，或是VPN通信比较少，否则最好使用group 1长度的密钥，group命令有两个参数值：1和2.参数值1表示密钥使用768位密钥，参数值2表示密钥使用1024位密钥，显然后一种密钥安全性高，但消耗更多的CPU时间。
　　
    Shelby（config-isakmp）#authentication pre-share
    注释：告诉路由器要使用预先共享的密码。
    Shelby（config-isakmp）#lifetime 3600
    注释：对生成新SA的周期进行调整。这个值以秒为单位，默认值为86400，也就是一天。值得注意的是两端的路由器都要设置相同的SA周期，否则VPN在正常初始化之后，将会在较短的一个SA周期到达中断。
　　
    Shelby（config）#crypto isakmp key noIP4u address 200.20.25.1
    注释：返回到全局设置模式确定要使用的预先共享密钥和指归VPN另一端路由器IP地址，即目的路由器IP地址。相应地在另一端路由器配置也和以上命令类似，只不过把IP地址改成100.10.15.1.
 
    配置IPSec
　　
    Shelby（config）#access-list 130 permit ip 192.168.1.0 0.0.0.255 172.16.10.0 0.0.0.255
   
    注释：在这里使用的访问列表号不能与任何过滤访问列表相同，应该使用不同的访问列表号来标识VPN规则。

    Shelby（config）#crypto ipsec transform-set vpn1 ah-md5-hmac esp-des esp-md5-hmac

    注释：这里在两端路由器唯一不同的参数是vpn1，这是为这种选项组合所定义的名称。在两端的路由器上，这个名称可以相同，也可以不同。以上命令是定义所使用的IPSec参数。为了加强安全性，要启动验证报头。由于两个网络都使用私有地址空间，需要通过隧道传输数据，因此还要使用安全封装协议。最后，还要定义DES作为保密密码钥加密算法。

    Shelby（config）#crypto map shortsec 60 ipsec-isakmp

    注释：以上命令为定义生成新保密密钥的周期。如果攻击者破解了保密密钥，他就能够解使用同一个密钥的所有通信。基于这个原因，我们要设置一个较短的密钥更新周期。比如，每分钟生成一个新密钥。这个命令在VPN两端的路由器上必须匹配。参数shortsec是我们给这个配置定义的名称，稍后可以将它与路由器的外部接口建立关联。

    Shelby（config-crypto-map）#set peer 200.20.25.1

    注释：这是标识对方路由器的合法IP地址。在远程路由器上也要输入类似命令，只是对方路由器地址应该是100.10.15.1.

    Shelby（config-crypto-map）#set transform-set vpn1
    Shelby（config-crypto-map）#match address 130
    注释：这两个命令分别标识用于这个连接的传输设置和访问列表。
    Shelby（config）#interface s0
    Shelby（config-if）#crypto map shortsec
    注释：将刚才定义的密码图应用到路由器的外部接口。

    现在剩下的部分是测试这个VPN的连接，并且确保通信是按照预期规划进行的。
　　
    最后一步是不要忘记保存运行配置，否则所作的功劳白费了。
　　
    附：参照网络安全范围，VPN硬件设备应放置以下四个地点：
　　
    ● 贒MZ的防火墙之外
    ● 连接到防火墙的第三个网卡（服务网络）
    ● 在防火墙保护的范围之内
    ● 与防火墙集成

免责声明：本网站（http://www.ciotimes.com/）内容主要来自原创、合作媒体供稿和第三方投稿，凡在本网站出现的信息，均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性，但不保证有关资料的准确性及可靠性，读者在使用前请进一步核实，并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏，概不负任何法律责任。
本网站刊载的所有内容（包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等）版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时，请及时通知本站，予以删除。