Cisco路由器上手工方式VPN的实现 Cisco路由器上VPN的实现：1、软件要求：需要ENTERPRISEPLUSIPSEC56的IOS，目前使用的比较稳定版本是12.07T2、硬件要求：8MBFlashand40MBRAM在DownloadIOS版本时，会提示所Download的IOS版本的软硬件要求。3、IPSec手工方式的注意事项：（1）加密通道一旦建立，就不再断开（2）ManualKey不提供anti-replay的功能（3）在ManualKey方式时，access-list中只有1条permit起作用，其他都被忽略。（4）在ManualKey方式下，两边的transformset的名字必须一样。4、VPN手工方式需要的主要命令：（1）access-list设置access-list，有对符合什么样条件的IP包进行加密。（2）cryptoisakmp默认是使用cryptoisakmp方式，所以在手工方式下，需要禁止此选项。（3）cryptoipsec配置IPSec的加密方式，选择manual方式（4）cryptomap配置IPSec的加密方式a)setpeer设置远程VPN网关b)setsecurity-association设置安全联盟，主要有inbound和outboundc)settransform-set设置加密形式d)matchaddress对匹配access-list的进行加密。5、VPN的手工实现方式：（1）配置access-list，对哪些包建立VPN连接。access-list101permitiphost192.168.0.1host192.168.1.1（2）取消VPN的自动协商方式nocryptoisakmpenable（3）建立一个IPSec的封装方式—两边的路由器需要一样的名称。在举例中是encry-descryptoipsectransform-setencry-desesp-des（4）建立一个VPN连接需要的各种条件—这里是ipsec-manual方式cryptomapvpntest8ipsec-manual（5）在上一步用cryptomap进入crypto配置模式a)配置远程的VPN网关setpeer202.106.185.2b)配置进出的安全联盟setsecurity-associationinboundesp1000cipher21authenticator01配置入境联盟加密方式顺序号setsecurity-associationoutboundesp1001cipher12authenticator01c)设置IPSec的加密方式settransform-setencry-desd)对匹配地址进行加密matchaddress101（6）在路由器外部网口上绑定加密方式inte0/1ipaddr202.106.185.1255.255.255.0cryptomapvpntest6、注意事项（1）在两端的access-list要互为相反,如在A路由器上写：access-list101permitiphost192.168.0.1host192.168.1.1则在B路由器上写：access-list101permitiphost192.168.1.1host192.168.0.1（2）在两端的transformset名称要一致如都写cryptoipsectransform-setencry-desesp-des（3）在一端的inbound就是应该相反。另一端的outboud，一端的outbound是另一端的inboud。因此他们的序列好如在A路由器上写：setsecurity-associationinboundesp1000cipher21authenticator01setsecurity-associationoutboundesp1001cipher12authenticator01则在B路由器上写：setsecurity-associationinboundesp1001cipher12authenticator01setsecurity-associationoutboundesp1000cipher21authenticator01（4）总之在使用手工方式时，在两端的配置应该尽量一样或相对。7、应用条件我认为在路由器上做VPN主要有以下几种应用：（1）可以使用在电信中二级节点和一级节点讯量比较大，不建议使用VPN方式。而且为了减低地判断SourceIP，DestinationIP。进行远程管理认证时使用。而一级节点和骨干节点由于通负载只有在传输特殊应用时建议使用VPN，不是只是简单（2）移动用户在跟自己公司的服务器进行连接时使用。（3）对于分公司、母公司这种