IPsec加密和验证算法所使用的密钥可以手工配置，也可以通过因特网密钥交换IKE协议动态协商，IKE协议建立在internet安全联盟和密钥管理协议ISAKMP框架之上，采用DH算法在不安全的网络上安全的分发密钥，验证身份，以保证数据传输的安全性。IKE协议可提升密钥的安全性，并降低 IPsec管理复杂度。

1.IPsec两个安全协议
2.密钥管理协议IKE
IKE SA：主模式和野蛮模式：安全性低已被模板模式取代。
IPSEC SA：快速模式

IPsec VPN配置步骤：
1.定义要保护的数据流
acl number 3000
rule permit ip source 50.50.50.0 0.0.0.255 destination 60.60.60.0 0.0.0.255
RB的配置与RA类似，省略。

2.配置Ipsec安全协议（封装模式，安全协议，加密算法和验证算法）
iPsec proposal tran1
进入ipsec安全提议视图

Encapsulation-mode tunnel

Transform esp

esp encyption-algorithm AES-256

esp authentication-algorithm sha2-256

quit

RB与RA配置相同

3.配置IKE对等体

ike peer peer1
pro-shared-key simple Huawei
remote address 20.20.20.1
quit
RB配置类似，指定对端Ip。

还可以配置IKE提议：
ike proposal 数字 越小级别越高
encryption-algorithm 算法des……默认AES-256
authentication-method pre-share /rsa-signature
encryption-algorithm md5……默认sha2-256验证算法

dh group……1
默认group1
sa duration seconds

4.配置IKE安全策略
iosec policy csaimap 1 isakmp
proposal tran 1
security acl 3000
ike-peer peer1
quit

5.接口应用安全策略
interface0/0
ipsec policy csaimap