以下为路由器A的配置，路由器B只需对相应配置做更改即可
1：配置IKE
router(config)# crypto isakmp enable         #启用IKE(默认是启动的)
router(config)# crypto isakmp policy 100     #建立IKE策略,优先级为100
router(config-isakmp)# authentication pre-share    #使用预共享的密码进行身份验证
router(config-isakmp)# encryption des      #使用des加密方式
router(config-isakmp)# group 1      #指定密钥位数，group 2安全性更高，但更耗cpu
router(config-isakmp)# hash md5       #指定hash算法为MD5(其他方式：sha，rsa)
router(config-isakmp)# lifetime 86400   #指定SA有效期时间。默认86400秒，两端要一致
以上配置可通过show crypto isakmp policy显示。VPN两端路由器的上述配置要完全一样。

2：配置Keys
router(config)# crypto isakmp key cisco1122 address 10.0.0.2
                 --(设置要使用的预共享密钥和指定vpn另一端路由器的IP地址)

3：配置IPSEC
router(config)# crypto ipsec transform-set abc esp-des  esp-md5-hmac  　
配置IPSec交换集
                abc这个名字可以随便取，两端的名字也可不一样，但其他参数要一致。
router(config)# crypto ipsec security-association lifetime 86400  
                ipsec安全关联存活期，也可不配置，在下面的map里指定即可
router(config)# access-list 110 permit tcp 172.16.1.0 0.0.0.255 172.16.2.0 0.0.0.255
router(config)# access-list 110 permit tcp 172.16.2.0 0.0.0.255 172.16.1.0 0.0.0.255

4.配置IPSEC加密映射
router(config)# crypto map mymap 100 ipsec-isakmp  创建加密图
router(config-crypto-map)# match address 110   用ACL来定义加密的通信
router(config-crypto-map)# set peer 10.0.0.2   标识对方路由器IP地址
router(config-crypto-map)# set transform-set abc  指定加密图使用的IPSEC交换集
router(config-crypto-map)# set security-association lifetime 86400
router(config-crypto-map)# set pfs group 1

5.应用加密图到接口
router(config)# interface ethernet0/1
router(config-if)# crypto map mamap


相关知识点：
对称加密或私有密钥加密：加密解密使用相同的私钥
DES--数据加密标准 data encryption standard
3DES--3倍数据加密标准 triple data encryption standard
AES--高级加密标准 advanced encryption standard

一些技术提供验证：
MAC--消息验证码  message authentication code
HMAC--散列消息验证码  hash-based message authentication code
MD5和SHA是提供验证的散列函数
对称加密被用于大容量数据，因为非对称加密站用大量cpu资源

非对称或公共密钥加密：
RSA   rivest-shamir-adelman
用公钥加密，私钥解密。公钥是公开的，但只有私钥的拥有者才能解密

两个散列常用算法：
HMAC-MD5 使用128位的共享私有密钥
HMAC-SHA-I  使用160位的私有密钥

ESP协议：用来提供机密性，数据源验证，无连接完整性和反重放服务，并且通过防止流量分析来限制流量的机密性，这些服务以来于SA建立和实现时的选择。
加密是有DES或3DES算法完成。可选的验证和数据完整性由HMAC，keyed SHA-I或MD5提供
IKE--internet密钥交换：他提供IPSEC对等体验证，协商IPSEC密钥和协商IPSEC安全关联

实现IKE的组件
1：des，3des 用来加密的方式
2：Diffie-Hellman  基于公共密钥的加密协议允许对方在不安全的信道上建立公共密钥，在IKE中被用来建立会话密钥。group 1表示768位，group 2表示1024位
3：MD5，SHA--验证数据包的散列算法。RAS签名--基于公钥加密系统

Tunnel通道可以看作是最简单的一种VPN形式，它的参数很简单只要配置Tunnel Source 和 Tunnel Destination两个参数就可以了。

在公司的南京办事处与上海办事处之间建立VPN联接
南京办事处网络设置：
内网IP 10.1.1.0/24
外网IP 202.102.1.5/24
上海办事处网络设置：
内网IP 10.1.2.0/24
外网IP 202.102.1.6/24

南京路由器配置
!
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname nanjing
!
enable cisco
!
!
!------以下配置加密--------
crypto isakmp policy 1 生成iskamp policy number 1
encryption des 选择用DES encryption也可用3DES指定三倍DES加密
hash sha 指定使用的散列算法，也可以是md5(二端保持一致)
authentication pre-share
group 1 指定为Diffie-Hellman组,1表示768位,2表示1024位
lifetime 14400 指定安全关联的有效期，不设就为默认值
------以下配置密钥方法-----
crypto isakmp identity address 指定与远程路由器通信时使用isakmp标识
crypto isakmp key 654321 address 202.102.1.6 对远程路由器端口202.102.1.6使用密钥654321
crypto isakmp key 654321 address 192.168.1.2 对远程路由器隧道端口192.168.1.2使用密钥654321
!
------以下定义一个转换集-----
crypto ipsec transform-set tset1 ah-md5-hmac esp-des esp-md5-hmac 可以定义一个或多个集
!
!
-------以下建立加密图------
crypto map cmap1 local-address serial 0 定义加密图cmap1并指定s0为本地地址
crypto map cmap1 1 ipsec-isakmp 用序号1设置加密图
set peer 202.102.1.6 设定目标地址
set peer 192.168.1.2
set transform-set test1 指定转换集
match address 111 指定加密访问列表111中的地址
!
!
process-max-time 200
!
-------以下设置隧道端口------
interface Tunnel0
ip address 192.168.1.1 255.255.255.0
tunnel source 202.102.1.5
tunnel destination 202.102.1.6
crypto map cmap
!
-------以下设置内网口------
interface Ethernet0
ip address 10.1.1.1 255.255.255.0
!
-------以下设置外网口------
interface serial0
ip address 202.102.1.5 255.255.255.0
no ip mroute-cache
no fair-queue
crypto map cmap
!
ip classless
!
-------以下建立访问列表111------
access-list 111 permit ip host 202.102.1.5 host 202.102.1.6
access-list 111 permit ip host 202.102.1.6 host 202.102.1.5
access-list 111 permit ip 10.1.1.0 0.0.0.255 202.102.1.0 0.0.0.255
access-list 111 permit ip 10.1.2.0 0.0.0.255 202.102.1.0 0.0.0.255
access-list 111 permit ip 10.1.1.0 0.0.0.255 10.1.2.0 0.0.0.255
access-list 111 permit ip 10.1.2.0 0.0.0.255 10.1.1.0 0.0.0.255
!
line con 0
line aux 0
line vty 0 4
password cisco
login
!
end
!

上海路由器配置
!
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname shanghai
!
enable cisco
!
!
!------以下配置加密--------
crypto isakmp policy 1 生成iskamp policy number 1
encryption des 选择用DES encryption也可用3DES指定三倍DES加密
hash sha 指定使用的散列算法，也可以是md5(二端保持一致)
authentication pre-share
group 1 指定为Diffie-Hellman组,1表示768位,2表示1024位
lifetime 14400 指定安全关联的有效期，不设就为默认值
------以下配置密钥方法-----
crypto isakmp identity address 指定与远程路由器通信时使用isakmp标识
crypto isakmp key 654321 address 202.102.1.5 对远程路由器端口202.102.1.6使用密钥654321
crypto isakmp key 654321 address 202.102.1.6 对远程路由器端口202.102.1.6使用密钥654321
crypto isakmp key 654321 address 192.168.1.1 对远程路由器隧道端口192.168.1.2使用密钥654321
!
------以下定义一个转换集-----
crypto ipsec transform-set tset1 ah-md5-hmac esp-des esp-md5-hmac 可以定义一个或多个集
!
!
-------以下建立加密图------
crypto map cmap1 local-address serial 0 定义加密图cmap1并指定s0为本地地址
crypto map cmap1 1 ipsec-isakmp 用序号1设置加密图
set peer 202.102.1.5 设定目标地址
set peer 202.102.1.6
set peer 192.168.1.1
set transform-set test1 指定转换集
match address 111 指定加密访问列表111中的地址
!
!
process-max-time 200
!
-------以下设置隧道端口------
interface Tunnel0
ip address 192.168.1.2 255.255.255.0
tunnel source 202.102.1.6
tunnel destination 202.102.1.5
crypto map cmap
!
-------以下设置内网口------
interface Ethernet0
ip address 10.1.2.1 255.255.255.0
!
-------以下设置外网口------
interface serial0
ip address 202.102.1.6 255.255.255.0
no ip mroute-cache
no fair-queue
crypto map cmap
!
ip classless
!
-------以下建立访问列表111------
access-list 111 permit ip host 202.102.1.5 host 202.102.1.6
access-list 111 permit ip host 202.102.1.6 host 202.102.1.5
access-list 111 permit ip 10.1.1.0 0.0.0.255 202.102.1.0 0.0.0.255
access-list 111 permit ip 10.1.2.0 0.0.0.255 202.102.1.0 0.0.0.255
access-list 111 permit ip 10.1.1.0 0.0.0.255 10.1.2.0 0.0.0.255
access-list 111 permit ip 10.1.2.0 0.0.0.255 10.1.1.0 0.0.0.255
!
line con 0
line aux 0
line vty 0 4
password cisco
login
!
end