基于cisco ios证书的L2L ×××

拓扑：

 加密点和通信点

加密点10.1.1.1---10.1.1.2，通信点，1.1.1.1-2.2.2.2

说明：看这篇文章的前提是 ，你已经知道了怎么样申请证书。已经初步了解了证书的基本原理和一些域名的知识。这些细节，需要的可以百度相关命令。

配置CA：

hostname CA//配置主机名
!
clock timezone GMT +8 //时区
!
ip domain name ipsec.net //域名
!
CRYpto key generate rsa usage-keys label CA modulus 1024//这个步骤是可选的，不配置自动执行
!
crypto pki server CA // 证书服务器配置
database level complete//证书的层次 默认是最小
issuer-name cn=CA.ipsec.net// 域名
grant auto //自动办法证书
!
interface FastEthernet0/0
ip address 10.1.1.254 255.255.255.0
duplex auto
speed auto
!
ip http server//启动HTTP 服务

ntp master //NTP master

R1配置：

hostname R1
clock timezone GMT 8

ip domain name ipsec.net
!

crypto pki trustpoint R1
enrollment url http://10.1.1.254:80
serial-number
fqdn R2.ipsec.net
subject-name cn=R1.ipsec.net
revocation-check crl
!
crypto isakmp policy 10
!
!
crypto ipsec transform-set trans esp-des esp-md5-hmac
!
crypto map smap 10 ipsec-isakmp
set peer 10.1.1.2
set transform-set trans
match address ***
!
interface Loopback0
ip address 1.1.1.1 255.255.255.0
!
interface FastEthernet0/0
ip address 10.1.1.1 255.255.255.0
duplex auto
speed auto
crypto map smap
!
ip route 2.2.2.0 255.255.255.0 10.1.1.2
!
ip access-list extended ***
permit ip 1.1.1.0 0.0.0.255 2.2.2.0 0.0.0.255

ntp server 10.1.1.254

R2配置：

hostname R2
!
memory-size iomem 5
clock timezone GMT 8
ip domain name ipsec.net
!
crypto pki trustpoint R2
enrollment url http://10.1.1.254:80
serial-number //包括***
fqdn R2.ipsec.net
subject-name cn=R2.ipsec.net
revocation-check crl
!
crypto isakmp policy 10
!
!
crypto ipsec transform-set trans esp-des esp-md5-hmac
!
crypto map smap 10 ipsec-isakmp
set peer 10.1.1.1
set transform-set trans
match address ***
!
interface Loopback0
ip address 2.2.2.2 255.255.255.0
!
interface FastEthernet0/0
ip address 10.1.1.2 255.255.255.0
duplex auto
speed auto
crypto map smap
!
ip route 1.1.1.0 255.255.255.0 10.1.1.1
!
permit ip 2.2.2.0 0.0.0.255 1.1.1.0 0.0.0.255
!
ntp server 10.1.1.254

说明：证书对时间非常敏感，一定注意时间问题.，可以使用SHOW NTP ST命令查看时间已经同步以后再做客户端配置。
验证：