- Создание политики isakmp :
crypto isakmp policy 10
encr aes
authentication pre-share
group 2
- Ключ для соединения с пиром :
crypto isakmp key secret address xxx.xxx.xxx.xxx
- Выбор transform-set :
crypto ipsec transform-set SET esp-des
mode tunnel
- Настройка access-list-ов. Принцип настройки листа — весь трафик должен быть deny, кроме трафика, который должен шифроваться, например для двух роутеров Cisco с сетями приватная сеть : 192.168.0.1/24, публичный ip: 1.1.1.1 (локальный), и 192.168.1.1/24 и 2.2.2.2 (удаленная сторона), это будет выглядеть так :
ip access-list extended ACL_IPSEC
permit ip 192.168.0.0 0.0.0.255 192.168.1.0 0.0.0.255
permit ip 192.168.1.0 0.0.0.255 192.168.0.0 0.0.0.255
permit ip host 1.1.1.1 host 2.2.2.2
permit ip host 2.2.2.2 host 1.1.1.1
deny ip any any
- Создаем crypto-map :
crypto map IPSEC 10 ipsec-isakmp
set peer xxx.xxx.xxx.xxx
set transform-set SET
match address ACL_IPSEC
- На заключительном этапе, данный crypto-map привязывается с требуемому внешнему интерфейсу с помощью : crypto map IPSEC
- Ставим роутинги для сетей :
ip route 192.168.1.0 255.255.255.0 2.2.2.2