锐捷设备

一对多情况下，中心节点使用动态ipsec，来应对多个ipsec客户端。分支节点使用静态ipsec和中心节点建立连接

动态ipsec：

创建新的isakmp策略，数字表示优先级，越小，优先级越大。(一阶段认证策略)

crypto isakmp policy 1

encryption 3des

authentication pre-share

hash md5

group 2

配置预密钥密钥，IPSEC客户端密钥相同，对端的IP是多数，使用 0.0.0.0 代表所有ipsec客户端

crypto isakmp key 0 Test@123 address 0.0.0.0 0.0.0.0

配置ipsec加密转换集，指定使用esp封装des加密，md5检测（二阶段协商认证）

crypto ipsec transform-set myset esp-des esp-md5-hmac

配置动态ipsec加密图，指定加密转换集为myset（配置加密图，并调用在接口上面）

crypto dynamic-map dymymap 1

set transform-set myset

将动态加密图映射到静态加密图中

crypto map mymap 1 ipsec-isakmp dynamic dymymap

接口应用加密图

int gi0/0

crypto map mymap

静态ipsec（1）：

需要加密特定流量，使用acl来匹配特定的流量

创建acl，匹配流量

ip access-list ex 101

permit ip 17.1.1.2 0.0.0.0 12.1.1.2 0.0.0.0

创建新的isakmp策略

crypto isakmp policy 10

authentication pre-share

encryption 3des

hash md5

group 2

!

crypto isakmp key 0 Test@123 address 12.1.1.2 255.255.255.248

!

crypto ipsec transform-set myset esp-des esp-md5-hmac

配置静态ipsec加密图

crypto map mymap 10 ipsec-isakmp

match address 101

set peer 12.1.1.2

set transform-set myset

!

int gi 0/0

crypto map mymap

静态ipsec（2）：

不需要加密特定流量，默认该设备所有接口都应用静态加密图，不需要在接口上面做配置。

创建新的isakmp策略

crypto isakmp policy 1

encryption 3des

authentication pre-share

hash md5

group 2

对端为需要建立ipsec连接的IP，即中心节点IP

crypto isakmp key 0 Test@123 address 12.1.1.2

!

crypto ipsec transform-set myset esp-des esp-md5-hmac

创建ipsec配置文件，指定加密转换集为myset

crypto ipsec profile mymap

set transform-set myset