-i des esp log for orm key hmac 要求

一、實驗拓撲：

二、實驗要求：
還是用上個實驗拓撲來做
三、命令部署：
R1(config)#crypto isakmp policy 100
R1(config-isakmp)#authentication pre-share

R1(config)#crypto keyring abc
R1(conf-keyring)#pre-shared-key address 202.100.2.3 key cisco

R1(config)#cry isakmp profile aa //isakmp profile調用 keyring（輪廓、配置文件）
R1(conf-isa-prof)#match identity address 202.100.2.3 //通過match identity這種方式

R1(conf-isa-prof)#keyring abc //只要是202.100.2.3的IP地址，就跟你用秘鑰來做驗證，然後建立×××
總結：相當於多了isakmp profile替代了R1#crypto isakmp key 0 cisco address 202.100.2.3
轉換集等還是照做：
R1(config)#crypto ipsec transform-set cisco esp-aes esp-md5-hmac //默認就是隧道模式，所以下邊不寫了
配置Map：
R1(config)#crypto map ccie 10 ipsec-isakmp
R1(config-crypto-map)#set transform-set cisco
R1(config-crypto-map)#set isakmp-profile aa
R1(config-crypto-map)#set peer 202.100.2.3
R1(config-crypto-map)#set peer 202.100.2.4 //如果有多個peer，還可以增加；但是2.3、2.4、2.5驗證方式可能不一樣，因為可以在上邊配置多個keyring。
R1(config-crypto-map)#set peer 202.100.2.5
R1(config-crypto-map)#match address ***
驗證查看：
R1#show run | s crypto
crypto keyring abc
pre-shared-key address 202.100.2.3 key cisco
crypto isakmp policy 10
encr 3des
hash md5
authentication pre-share
group 5
crypto isakmp policy 100
authentication pre-share
crypto isakmp key cisco address 202.100.2.3
crypto isakmp profile aa
keyring abc
match identity address 202.100.2.3 255.255.255.255
crypto ipsec transform-set cisco esp-aes esp-md5-hmac
crypto map aa 10 ipsec-isakmp
set peer 202.100.2.3
set transform-set cisco
set pfs group1
match address ***
crypto map ccie 10 ipsec-isakmp
set peer 202.100.2.3
set peer 202.100.2.4
set peer 202.100.2.5
set transform-set cisco
set isakmp-profile aa
match address ***
crypto map aa
結論：可以配置多個keyring，然後在isakmp profile中調用多個keyring，感覺老師講的不對啊；
老師不建議這種方式，他覺得寫原來的多條比較好；

4-V P N：L2L V P N特性