路由器配置IPSec.VPN
/v_show/id_XMjA2MTg0MTQ0.html
设备上启用/禁用对IPSec的支持。

默认是支持IPsec的
配置IP第一阶段交换：
数据包完整性：SHA or MD5
DH用Group1（加密级别768位），Group2（加密级别1024位）
若身份验证方法是Pre-share
标示对方的方法是ip 地址还是hostname.
若用hostname, 那下面需要配置IP和主机名的映射关系。

对端的地址到底是什么，密码到底是什么。

配置密码：
第一阶段，双方初始身份认证，建立最基本的安全通道，以便协商以后真正对数据加密。

例子：
第二组里面没定义的情况下使用默认值。

Encryption: DES
Hash: MD5
DH: group 1
两端配置的策略必须要保持一致。

第二阶段：
指定变换集名称，变换集具体内容（可以指定3个具体条目）。

变换集配置模式：mode，传输还是隧道模式（有没有指定隧道接口来决定是不是用隧道模式）。

变换集：
AH：身份认证和完整性验证。

ESP：也能做完整性验证。

Esp-null: 不加密
Example:
Crypto ipsec transform-set myset1 ah-sha-hmac esp-3des esp-md5-hmac
Crypto ipsec transform-set myset2 esp-3des
Crypto ipsec transform-set myset3 ah-sha-hmac
Crypto ipsec transform-set myset4 esp-md5-hmac
一个路由器上可以定义多个变换集。

什么样的方式对传送的数据进行完整性校验和加密处理。

第二阶段生成的SA的生存时间。

可以以时间或流量位单位。

用户不用对所有的包用IPSec加密，影响速度。

只对感兴趣的数据流进行加密。

Access-list-number: 101-199 防空值列表都是扩展列表。

前面设置过SA的生存期的话这边就不用设置。

Pfs：向前密钥保护方式
例子：
显示变换集
实验：。