如图所示，某软件开发公司在中小城市建立了分支公司，分支公司开发项目小组所在网

络地址为 172.16.10.0/24，该网络的主机可以通过 ××× 访问总公司开发数据服务器

（10.10.33.0/24）。

根据上述需求，网络管理员需要在分支公司的网关路由器上配置 ×××。

实验拓扑及地址规划：

1．分支公司的网关路由器

路由方面的配置

R1(config)#ip route 0.0.0.0 0.0.0.0 100.0.0.1

配置 ISAKMP 策略

R1(config)#crypto isakmp policy 1

R1(config-isakmap)#encryption 3des

R1(config-isakmap)#hash sha

R1(config-isakmap)#authentication pre-share

R1(config-isakmap)#group 2

R1(config)#crypto isakmp key tedu address 200.0.0.2

配置 ACL

R1(config)#access-list 100 permit ip 172.16.10.0 0.0.0.255 10.10.33.0 0.0.0.255

配置 IPSec 策略（转换集）

R1(config)#crypto ipsec transform-set yf-set esp-des ah-sha-hmac

配置加密映射集

R1(config)#crypto map yf-map 1 ipsec-isakmp

R1(config-crypto-map)#set peer 200.0.0.2

R1(config-crypto-map)#set transform-set yf-set

R1(config-crypto-map)#match address 100

将映射集应用在接口

R1(config)#interface f0/0

R1(config-if)#crypto map yf-map

2．总公司的网关路由器

路由方面的配置

R2(config)#ip route 0.0.0.0 0.0.0.0 200.0.0.1

IPSec ××× 方面的配置

R2(config)#crypto isakmp policy 1

R2(config-isakmap)#encryption 3des

R2(config-isakmap)#hash sha

R2(config-isakmap)#authentication pre-share

R2(config-isakmap)#group 2

R2(config)#crypto isakmp key tedu address 100.0.0.1

R2(config)#access-list 100 permit ip 10.10.33.0 0.0.0.255 172.16.10.0 0.0.0.255

R2(config)#crypto ipsec transform-set yf-set esp-des ah-sha-hmac

//加密和认证算法要与分公司匹配

R2(config)#crypto map yf-map 1 ipsec-isakmp

R2(config-crypto-map)#set peer 100.0.0.1

R2(config-crypto-map)#set transform-set yf-set

R2(config-crypto-map)#match address 100

R2(config)#interface f0/0

R2(config-if)#crypto map yf-map

测试：

Ping 或访问 Web 服务。