实验：VPN-GETVPNKS1(config)#ipdomainnamewolf.com//为了产生密钥，要先配置域名KS1(config)#cryptokeygeneratersamodulus1024labelgetvpnexportableThenameforthekeyswillbe:getvpn//产生一个名字为getvpn，长度为1024，可导出RSA的密钥对密钥是不可导出的，打上exportable，让密钥可导KS1(config)#cryptokeyexportrsagetvpnpemterminal3deswolfccies//导出名字为getvpn的RSA密钥对，使用3des加密算法来加密导出后的私钥，加密密码为wolfcciesKS2(config)#cryptokeyimportrsagetvpnterminalwolfccies--------------------------------------产生RSA密钥并且在密钥服务器间同步之后，我们需要在首要密钥服务器上配置GETVPN配置GETVPN步骤过多，方便记忆分成：外三内三记忆法外一：配置ISAKMP第一阶段策略KS1(config)#cryptoisakmppolicy10KS1(config-isakmp)#authenticationpre-shareKS1(config)#cryptoisakmpkey0ciscoaddress172.16.1.1KS1(config)#cryptoisakmpkey0ciscoaddress172.16.1.2KS1(config)#cryptoisakmpkey0ciscoaddress172.16.1.102密钥服务器之间也可以使用ISAKMP第一阶段进行认证外二：配置感兴趣流KS1(config)#ipaccess-listextendedgetvpntrafficKS1(config-ext-nacl)#permitip10.0.0.00.255.255.25510.0.0.00.255.255.255企业内部需要保护网络可以被汇总为10.0.0.0/8外三：配置IPSECProfileKS1(config)#cryptoipsectransform-setgetvpn-setesp-desesp-md5-hmac以此转换集来加密感兴趣流KS1(config)#cryptoipsecprofilegetvpn-profileKS1(ipsec-profile)#settransform-setgetvpn-set内一：配置KS1为密钥服务器KS1(config)#cryptogdoigroupmygroup//配置GETVPN组的组名为“mygroup”KS1(config-gdoi-group)#identitynumber88888//配置GETVPN组ID为“88888”，所有组成员都需要使用相同的IDKS1(config-gdoi-group)#serverlocal//配置本地路由器KS1为密钥服务器KS1(gdoi-local-server)#addressipv4172.16.1.101//配置服务器地址内二：配置密钥更新1.单播（内二A）2.组播（内二B）GETVPN同时只能采用一种密钥更新传输方式，因此实际配置时需要选择其中一种KS1(gdoi-local-server)#rekeytransportunicast//这里使用单播传送密钥信息，默认为组播*Mar100:23:51.515:%GDOI-5-KS_REKEY_TRANS_2_UNI:GroupmygrouptransitionedtoUnicastRekey.KS1(gdoi-local-server)#rekeyauthenticationmypubkeyrsagetvpn//配置对密钥更新信息做签名的RSA密钥对“getvpn”KS1(gdoi-local-server)#rekeyalgorithmaes256//配置密钥更新信息的加密算法，可选KS1(gdoi-local-server)#rekeyaddressipv4106//定义组播密钥更新流量的ACL为多少KS1(config)#access-list106permitudphost172.16.1.101eq848host239.0.1.2eq848//密钥更新地址为239.0.1.2，这个地址可以按需分配内三：配置IPSEC安全关联KS1(config)#cryptogdoigroupmygroupKS1(config-gdoi-group)#serverlocalKS1(gdoi-local-server)#saipsec1//配置第一个IPSEC安全关联KS1(gdoi-sa-ipsec)#matchaddressipv4getvpntraffic//匹配感兴趣流KS1(gdoi-sa-ipsec)#profilegetvpn-profile//对感兴趣流使用profile进行保护KS1(gdoi-sa-ipsec)#replaytimewindow-size2//基于时间的防重放，窗口大小为2s--------------------------------------GM1：GETVPN配置配置GETVPN的组成员主要分为3个步骤1.配置ISAKMP第一阶段策略GM1(config)#cryptoisakmppolicy10GM1(config-isakmp)#authenticationpre-shareGM1(config)#cryptoisakmpkey0ciscoaddress172.16.1.101GM1(config)#cryptoisakmpkey0ciscoaddress172.16.1.102//需要配置与首要和次要密钥服务器进行认证的预共享密钥2.配置GETVPN组GM1(config)#cryptogdoigroupmygroupGM1(config-gdoi-group)#identitynumber88888//需要和密钥服务器配置相同的组IDGM1(config-gdoi-group)#serveraddressipv4172.16.1.101//GM1首先向172.16.1.101密钥服务器发起注册GM1(config-gdoi-group)#serveraddressipv4172.16.1.102//如果向172.16.1.101密钥服务器发起注册失败后，在去向172.16.1.102发起注册3.配置加密...