因为本篇文章，就是IPsec的实验配置的话，它们两端的IP地址是固定的 那么就用第一阶段的主模式（Main Mode） 和第二阶段的快速模式（Quick Mode）就好啦 因为对端是动态地址接入，就是它的地址不固定，这个时候就需要用到动态安全策略啦

为什么要用动态安全策略？ 因为，对端就是R3，可以是通过PPPoE拨号来获取到IP地址，这个时候的话，它是有一个租期的，那到了时间，R3的公网地址就会改变，而我R1的话，是可以按照动态安全策略来进行动态调整，就不会像地址固定那样的被动

还有，对于R1来说，对端R3的IP地址并不知道，这个时候就不能从R1这端主动发起建立IPsec VPN隧道的请求，得让R3来进行请求。

而且，R1的话，它的远端对等体IP地址就是 0.0.0.0 ，这样子只需要我的预共享密钥一致，就能够匹配成功，这样子也可以实现动态调整。 并且，R1这边是不用去设置ACL的，等到它建立起IPsec VPN隧道的时候，在IPsec SA的信息中，就携带着需要保护的流量，可以往下翻翻看啦

R1为企业总部网关，R3为企业分部网关，分部与总部通过公网建立通信。分部子网为202.101.23.0/24，总部子网为202.101.12.0/24。

企业希望对分部子网与总部子网之间相互访问的流量进行安全保护。分部与总部通过公网建立通信，可以在分部网关与总部网关之间建立一个IPSec隧道来实施安全保护。

基础配置，实现全网互通（命名 + IP地址 + 静态路由）保证两端路由可达

第一阶段 IKE SA ① 设置IKE的策略，里面包含开启预共享密钥的认证、加密算法、DH组等内容 ② 配置预共享密钥和远端对等体地址 对于R1的远端对等体地址，我们要设置为 0.0.0.0

第二阶段 IPsec SA R1：（固定地址） 因为不知道R3的IP地址，就不用去配置ACL和对等体IP地址 ① 转换集 ② 创建动态安全策略dynamic-map，调用转换集 ③ 配置安全策略组map，封装动态的安全策略，并在接口上调用 R3：（动态地址接入） 和固定地址的一样，因为已知对端R1的IP地址 ① 转换集 ② ACL ： 匹配保护的流量，即定义需要IPSec保护的数据流 ③ 配置安全策略组map，并引用ACL、IPSec转换集和对等体IP地址，确定对何种数据流采取何种保护方法

在接口上应用安全策略组map，使接口具有IPSec的保护功能

IPsec VPN 本质：阶段一保护阶段二 阶段二保护数据

配置R1的基础配置，再用默认路由实现公网可达

协商出IKE SA ，对第二阶段IPsecSA的协商过程做保护

在阶段1建立的IKE SA的保护下完成IPSec SA的协商

配置R3的基础配置，再用默认路由实现公网可达

协商出IKE SA ，对第二阶段IPsecSA的协商过程做保护

在阶段1建立的IKE SA的保护下完成IPSec SA的协商

因为我是在EVE中来操作思科模拟器，所以我就用路由器来模拟PC电脑，就需要关闭路由功能

因为R3是动态地址分配，这个时候R1是不清楚R3的具体IP地址的，所以PC1 是不能拿来触发IPsec VPN隧道的，如下图所示，PC1 ping 不通PC2的 IP地址

那这个时候，我们就要用R3主动去Ping R1，因为R3是知道R1的准确的IP地址，所以，必须得要用动态获取地址的一端主动发起通信过程，才能成功坚持IPsec VPN

里面主模式交换六个报文，成功协商IKE SA 而快速模式的三个报文，就成功的协商IPsec SA 这两个出来就成功建立了 IPsec VPN，对流量实施了加密啦~

① 查看IKE SA的基本信息

R1#show crypto isakmp sa

② 查看IPsec SA的基本信息

R1# show crypto ipsec sa

从图中我们就可以知道： 远端的IP地址： 202.101.23.3

需要保护的流量（ACL）： 本地：192.168.10.0/24 → 远端： 192.168.20.0/24

为什么要清楚掉IKE / IPsec呢？ 因为，这个IPsec VPN它是按照第一次配置的代码来执行的，当我们想改一下传输模式或者加密方式等等，就需要先清除掉之前的SA信息，就是IPsec SA和IKE SA，这样子才能去完成修改，切记哦

清除 IKE SA的命令：

R1#clear crypto isakmp 清除 IPsec VPN的命令：

R1#clear crypto sa

R1

R3