EASY IPSEC 协商过程：

　　1、Remote可以是cisco vpn client，server端可以是路由器，其IOS要求高于或等于12.2(8)T

　　2、Easy VPN由client触发，cisco vpn client中内置了多个IKE policy，client触发EasyVPN后，会把内置的IKE policy全部发送到server端

　　3、server 把client 发送来的IKE policy 与自己的policy相比较，找到匹配值后成功建立IKESA

　　4、配置了的扩展认证Xauth发生作用，server 端将要求client端 发送用户名/口令进行身份认证

　　5、身份认证通过后，client将向server请求其余的配置参数，Server向client推送的参数至少要包含分配给client的IP地址

　　6、Server进行反向路由注入(Reverse RouteInjeciton，RRI)，为刚分配的client端IP地址产生一条静态路由，以便正确地路由发送给client端的数据包。

　　7、Client收到配置参数，双方建立IPSec SA

　　配置过程：

　　1、创建IKE策略集，该策略集至少要能与vpn client的一个内置策略集相匹配，以便在server和client之间建立IKESA

　　2、定义要推送给client的组属性，其中包含分配给client的地址池、pre-share key等

　　3、定义IPSec变换集(只用于client触发建立IPSec SA时，如果是server触发建立IPSecSA就不需要使用)

　　4、启用DPD死亡对端检测

　　5、配置Xauth扩展认证

　　6、把crypto map应用到路由器端口上

　　上述转载自：http：//bbs.net130.com/printthread.php？t=163614

　　配置如下：

　　username test password 702050D480809

　　本地认证授权数据库账户

　　aaa new-model

　　！

　　！

　　aaa authentication login ciscolocal AAA本地用户接入验证

　　aaa authorization network defaultlocal AAA网络接入授权

　　！

　　crypto isakmp policy 10 定义IKE策略－第一阶段

　　hash md5

　　authentication pre-share

　　group 2

　　crypto isakmp keepalive 20 10

　　crypto isakmp client configuration address-pool local abc

　　crypto isakmp xauth timeout 20

　　！

　　crypto isakmp client configuration group meeting配置客户端推送策略

　　key meet

　　pool abc

　　acl 101隧道分离ACL

　　！

　　！

　　crypto ipsec transform-set KQ3745 esp-desesp-md5-hmac 创建IPSec变换集

　　！

　　！

　　crypto dynamic-map easyvpn10 由于远程用户是移动的，所以要定义动态MAP

　　set transform-set KQ3745

　　reverse-route 开启反向路由注入，指向动态分配客户端网络的地址，下一跳为vpn peer地址

　　！

　　！

　　crypto map vpnmap clientauthentication list ciscoXauth认证方式与crypto map关联

　　crypto map vpnmap isakmpauthorization list default

　　crypto map vpnmap clientconfiguration addressrespond 配置路由器响应client的IP地址申请

　　crypto map vpnmap 1ipsec-isakmp dynamic easyvpn将动态crypt map与静态MAP结合

　　！

　　！

　　！

　　interface FastEthernet0/0

　　ip address 192.168.1.11 255.255.255.0

　　duplex auto

　　speed auto

　　！

　　interface FastEthernet0/1

　　ip address 11.11.11.11 255.255.255.0

　　duplex auto

　　speed auto

　　crypto map vpnmap接口下应用加密图

　　！

　　ip local pool abc 10.14.1.110.14.1.200 定义本地为远程用户自动分配的地址池范围

　　ip http server

　　no ip http secure-server

　　ip classless

　　ip route 0.0.0.0 0.0.0.0 11.11.11.1

　　！

　　！

　　！

　　access-list 101 permit ip 192.168.103.0 0.0.0.255 10.14.1.00.0.0.255

　　access-list 101 permit tcp 192.168.103.0 0.0.0.255 eq 338910.40.1.0 0.0.0.255 eq 3389

　　access-list 101 permit icmp 192.168.103.0 0.0.0.255 10.14.1.00.0.0.255

　　！

　　！

　　！

　　！

　　！

　　line con 0

　　line aux 0

　　line vty 0 4

　　login authentication cisco

　　！

　　end

　　配置完成，本人在配置的过程中遇到"Secure vpn connection terminated by theclient.Reason412：the remote peer is no longerresponding"的错误，后来发现时本地AAA网络授权方式和crypto map vpnmap isakmpauthorization中不一样，本配置中我后来全部改为default，连接成功。