'我们知道ipsec VPN是一种网络安全保障机制，ipsec可以提供访问控制机密性，完整性校验，数据源验证，拒绝重播报文等安全功能，而且ipsec引入多种验证算法，加密算法和密钥管理机制，但是ipsec还有配置复杂消耗运算资源较多，增加延迟，不支持组播等缺点。今天主要来看一看如何在V7设备中设置ipsec VPN拓扑图：我们用三台路由器来模仿公网，我们使用自己的环回口来模仿我们的私网，我们使用ipsec VPN来使我们的私网能够正常通信。IPsec VPN的配置[RT1]ike keychain h3c//定义一个名为h3c的IKE Keychain[RT1-ike-keychain-h3c]pre-shared-key address 20.2.2.2 key simple 123//定义预共享密钥为123，进行预共享密钥认证的远端地址为20.2.2.2[RT1]ike proposal 1//创建一个IKE提议，默认情况下IKE提议存在默认的安全参数，因此可以不用额外设置[RT1]ike profile 1//定义一个名为1的IKE框架[RT1-ike-profile-1]keychain h3c//调用keychain[RT1-ike-profile-1]proposal 1//调用IKE提议[RT1-ike-profile-1]local-identity address 20.1.1.1//定义本地身份认证的标识为IP地址[RT1-ike-profile-h3c]match remote identity address 20.2.2.2//定义远端身份认证的标识为IP地址[RT1]acl advanced 3000[RT1-acl-ipv4-adv-3000]rule 0 permit ip source 10.1.1.1 0.0.0.255 destination 10.2.2.2 0.0.0.255//定义IPsec的感兴趣流[RT1]ipsec transform-set h3c//定义一个名为h3c的IPsec转换集[RT1-ipsec-transform-set-h3c]esp encryption-algorithm 3des//定义ESP的加密算法为3DES[RT1-ipsec-transform-set-h3c]esp authentication-algorithm sha1//定义ESP的认证算法为sha1默认IPsec的转换集工作在隧道模式[RT1]ipsec policy 1 1 isakmp//定义名为1的IPsec策略，使用IKE动态协商安全参数 [RT1-ipsec-policy-isakmp-1-1]security acl 3000//调用安全ACL[RT1-ipsec-policy-isakmp-1-1]transform-set h3c//调用转换集[RT1-ipsec-policy-isakmp-1-1]ike-profile 1//调用IKE框架[RT1-ipsec-policy-isakmp-1-1]remote-address 20.2.2.2//定义VPN远端地址[RT1-GigabitEthernet0/0]ipsec apply policy 1//在公网接口上调用IPsec策略在RT2上进行相同的操作通过查看命令我们可以发现我们可以发现此时的Ike阶段已经建立完成可以发现ipsec sa也已经建立完成，这就是如何在我们V7设备上设置ipsec VPN的操作，但是我们的ipsec vpn不支持组播，那么在ipsec vpn两端是不运行动态路由协议的，比如我们的ospf就是通过组播地址224.0.0.5和224.0.0.6来进行邻居关系建立的，我们的RIP是通过224.0.0.9来传输路由的，那么我们如何解决这个问题呢，我们会在下期给大家详细讲解。',

(注：文字来源于网络，若有侵权，请联系zhiban@fang.com删除)