概念：

IKE：因特网密钥交换

实验目标：pc1与pc2互通

步骤1：R1与R3配置默认路由

R1：

ip route-static 0.0.0.0 0.0.0.0 12.1.1.2

R2：

ip route-static 0.0.0.0 0.0.0.0 23.1.1.2

步骤2：配ACL,定义需要IPSec保护的数据流

R1：

acl number 3000  
 rule 5 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.3.0 0.0.0.255 

R3：

acl number 3000  
 rule 5 permit ip source 192.168.3.0 0.0.0.255 destination 192.168.1.0 0.0.0.255 

步骤3:配置IPSec安全提议，定义保护方法

R1/R3:

ipsec proposal p1    \\创建安全提议，名称P1

 encapsulation-mode tunnel    \\选择隧道模式（封装新Ip头实现VPN功能）
 esp authentication-algorithm sha2-512    \\认证算法
 esp encryption-algorithm aes-256    \\加密算法

步骤4：配置IKE协商和对等体

R1：

ike proposal 1    \\创建IKE协商提议
 encryption-algorithm aes-cbc-256    \\加密算法
 dh group14    \\密钥交换算法                               
 authentication-algorithm aes-xcbc-mac-96    \\认证算法
#
ike peer R3 v2    \\创建IKE对等体，名称R3，版本V2
 pre-shared-key cipher huawei    \\配置预共享密钥
 ike-proposal 1    \\调用IKE协商
 local-address 12.1.1.1    \\本端地址
 remote-address 23.1.1.3    \\对端地址

R3：

ike proposal 1
 encryption-algorithm aes-cbc-256
 dh group14                               
 authentication-algorithm aes-xcbc-mac-96
#
ike peer R1 v2
 pre-shared-key cipher huawei
 ike-proposal 1
 local-address 23.1.1.3
 remote-address 12.1.1.1

步骤5：配置安全策略，调用ACL和IPSec安全提议和IKE对等体

R1：

ipsec policy s1 10 isakmp    \\创建IPSec安全策略，名称s1，序号10，自动协商
 security acl 3000    \\调用ACL    
 ike-peer R3    \\调用对等体，完成密钥材料交换和对称密钥计算
 proposal p1    \\调用IKE安全提议

R3：

ipsec policy s1 10 isakmp
 security acl 3000
 ike-peer R1
 proposal p1

步骤6：接口调用安全策略

R1：

interface GigabitEthernet0/0/1
 ip address 12.1.1.1 255.255.255.0 
 ipsec policy s1

R3:

interface GigabitEthernet0/0/0
 ip address 23.1.1.3 255.255.255.0 
 ipsec policy s1
 

测试：

补充：

dis ike sa v2  \\查看isk sa

RD：代表成功建立

ST：主动发起一方