Cisco 路由器上VPN的实现：
　　1、软件要求：
　　需要ENTERPRISE PLUS IPSEC 56的IOS，目前使用的比较稳定版本是12.07T
　　2、硬件要求：
　　8 MB Flash and 40 MB RAM
　　在Download IOS版本时，会提示所Download的IOS版本
　　的软硬件要求。
　　3、IPSec手工方式的注意事项：
　　（1）加密通道一旦建立，就不再断开
　　（2）Manual Key不提供anti-replay的功能
　　（3）在Manual Key方式时，access-list中只有1条permit起作用，其他都被忽略。
　　（4）在Manual Key方式下，两边的transform set的名字必须一样。
　　4、VPN手工方式需要的主要命令：
　　（1）access-list
　　设置access-list，有对符合什么样条件的IP包进行加密。
　　（2）crypto isakmp
　　默认是使用crypto isakmp方式，所以在手工方式下，需要禁止此选项。
　　（3）crypto ipsec
　　配置IPSec的加密方式，选择manual方式
　　（4）crypto map
　　配置IPSec的加密方式
　　a)set peer
　　设置远程VPN网关
　　b)set security-association
　　设置安全联盟，主要有inbound和outbound
　　c)set transform-set
　　设置加密形式
　　d)match address
　　对匹配access-list的进行加密。
　　
　　5、VPN的手工实现方式：
　　（1）配置access-list，对哪些包建立VPN连接。
　　access-list 101 permit ip host 192.168.0.1 host
　　192.168.1.1
　　（2）取消VPN的自动协商方式
　　no crypto isakmp enable
　　（3）建立一个IPSec的封装方式—两边的路由器需要一样的名称。在举例中是encry-des
　　crypto ipsec transform-set encry-desesp-des
　　（4）建立一个VPN连接需要的各种条件—这里是ipsec-manual方式
　　crypto map vpntest 8 ipsec-manual
　　（5）在上一步用crypto map进入crypto配置模式
　　a) 配置远程的VPN网关
　　set peer 202.106.185.2
　　b) 配置进出的安全联盟
　　set security-association inbound esp 1000 cipher 21 authenticator 01
　　配置入境联盟 加密方式 顺序号
　　set security-association outbound esp 1001 cipher 12 authenticator 01
　　c)设置IPSec的加密方式
　　set transform-set encry-des
　　d)对匹配地址进行加密
　　match address 101
　　（6）在路由器外部网口上绑定加密方式
　　int e 0/1
　　ip addr 202.106.185.1 255.255.255.0
　　crypto map vpntest
　　
　　6、注意事项
　　（1）在两端的access-list要互为相反,如在A路由器上写：
　　access-list 101 permit ip host 192.168.0.1 host 192.168.1.1
　　则在B路由器上写：
　　access-list 101 permit ip host 192.168.1.1 host 192.168.0.1
　　
　　（2）在两端的transform set名称要一致
　　如都写crypto ipsec transform-set encry-des esp-des
　　
　　（3）在一端的inbound就是另一端的outboud，一端的outbound是另一端的inboud。因此他们的序列好应该相反。
　　如在A路由器上写：
　　set security-association inbound esp 1000 cipher 21 authenticator 01
　　set security-association outbound esp 1001 cipher 12 authenticator 01
　　则在B路由器上写：
　　set security-association inbound esp 1001 cipher 12 authenticator 01
　　set security-association outbound esp 1000 cipher 21 authenticator 01
　　
　　（4）总之在使用手工方式时，在两端的配置应该尽量一样或相对。
　　7、应用条件
　　我认为在路由器上做VPN主要有以下几种应用：
　　（1）可以使用在电信中二级节点和一级节点进