演示：基于思科IOS路由器场对场的IPSec-VPN的配置

演示目标：基于思科IOS路由器完成场对场IPSec-VPN的配置。
演示环境：如下图8.125所示的演示环境。

演示背景：如上图8.125所示的演示环境，已经明确区分出私有网络A和B，以及Internet网部分，现在要求在路由器R1和R2上使用环回接口192.168.1.1和192.168.2.1来模拟两个私网的IP地址，要求私网A192.168.1.0/24与私网B192.168.2.0/24的通信经过IPSec-VPN进行加密，要求IPSec的AH使用哈希SHA；ESP使用AES完成加密；IKE的安全策略集的加密方式为AES；Hash验证为SHA；对等端的认证方式为预共享；使用1536比特素数的Diffie-Hellman组；要求IKE的生存周期为40000。根据上述安全参数的要求配置路由器R1和R2基于IOS的IPSec-VPN。
演示步骤：
第一步：首先在路由器R1、ISP、R2上完成VPN之前的基础配置，其中包括为各个网络设备配置接口IP，启动路由，确保公共网络部分的路由学习正常。
路由器R1的基本配置：
R1(config)#interfacee1/0
R1(config-if)#ipaddress202.202.1.1255.255.255.0
R1(config-if)#noshutdown
R1(config)#interfaceloopback1
R1(config-if)#ipaddress192.168.1.1255.255.255.0
R1(config)#routerrip
R1(config-router)#noauto-summary
R1(config-router)#version2
R1(config-router)#network202.202.1.0

注意：现在私络A192.168.1.0无法与私网B192.168.2.0通信，在实际工程应用中也是如此，因为这两个网络没有被动态路由协议所公告，事实上，在实际工程应用中，也不会在路由器上使用动态路由来公告这两个子网，因为它们是RFC1918所定义的私有网络专用地址，这样做是为了让实验环境更真实！
第三步：开始配置路由器R1和R2上的IPSec-VPN，在这里给出一个配置思路：
n首先定义一个IPSec的变换集。
n然后定义一个IKE的安全策略集。
n由于IKE的安全策略集使用了预共享密钥，所以这里需要配置预共享密钥的字符串。
n然后通过ACL列表定义感兴趣的加密流量。
n然后定义一个加密图，将IPSec的变换集、IKE的安全策略集、感兴趣的加密流量、VPN的对端IP地址全部关联到加密图中。
n指定VPN的静态路由。
n将加密图应用到对应的物理接口。
在路由器R1上定义IPSec的变换集：
R1(config)#cryptoipsectransform-setvpnah-sha-hmacesp-aes
*定义IPsec的变换集,AH安全算法为sha-hmac；ESP使用AES完成加密。
在路由器R1上定义IKE的安全策略集：
R1(config)#cryptoisakmppolicy1*定义IKE安全策略集1.
R1(config-isakmp)#encryptionaes*IKE的加密方式为AES。

注意：在这里必须使用扩展的ping命令来完成VPN的检测，其主要目标在于申明源地址为192.168.1.1；如果不使用扩展的ping，那么路由器R1将使用距离目标192.168.2.2最近接口上的IP地址来作为源地址（202.202.1.1），那么，这样就不满足VPN中感兴趣的加密条件，达不到测试VPN的目的。
在完成上述的测试后，可以在路由器R1上通过执行showcryptoipsecsa来查看IPSecSA的状态，以及路由器执行加解密数据的情况，如下图8.128所示，可看出分别已经有9个数据包被加解密。然后，可以通过执行showcryptoisakmpsa来查看IKE的SA状态，如下图8.129所示，可以看出两个VPN隧道端点的IP地址，以及隧道协商成功的状态。最后可以通过在路由器R1和R2上执行showcryptoisakmppolicy来查看两台路由器正在使用的安全策略，如下图8.130所示，两台路由器使用的IKE安全策略完全一致，当然，这也是必须的，否则，基于IPSec的VPN无法正常工作。

第五步：现在可以通过捕获建立IPSec-VPN后的通信数据帧，来验证发送的数据包将会被IPSec验证与加密，如下图8.131所示，是成功通信的9个ping包，被ESP封装的状态，因为ping是一种往返通信过程，所以9个ping包将产生18个ESP的封装；拆分任意一个ESP包文，可以得到如下图8.132所示的报文，可看出ping（ICMP）没有被申明，因为它被加密，已经具备私密性。