在配置中特别需要注意如下事宜:

1、 配置完成或者更改以后，用clear crypto sa命令来使IPSec和IKE的配置生效。

2、 需要有默认路由。

注:为什么需要默认路由?

准确的说，是需要到对端内网的路由(192.168.2.0/24)。原因是路由器在处理数据流的时候，是先路由，然

后经过访问列表过滤、NAT、IPSec等模块。因此，如果没有到对端内网的路由，报文在被IPSec模块处理

之前就会被路由器丢掉。如果报文到达了IPSec模块，IPSec模块发现需要对其进行加密，IPSec就会对其

加密并新封装一个IP头(新的IP头源地址是接口地址，目的地址对端网关地址，在本案例中源地址是

1.1.1.1，目的地址是2.2.2.1)，然后重新路由，重新经过访问列表过滤、NAT、IPSec等模块。

--------inside(内部网）----------site1（公司站点1）--------------internet------------site2（公司站点2）-------------

1.1.1.0/24 10.1.1.0/24 202.100.1.0/24 61.128.1.0/24 2。2.2.0/24

ip配置 loopback 0， interface ip

路由配置

1）加密设备（site1）网关router：

解决去往本地通信点1.1.1.0/24 的路由

解去往远端加密点 61.128.1.1/32 的路由

解决去往远端通信点2。2.2.0/24 的路由

2）互联网设备 ：

解决去往两个加密点路由

3）内部通信设备 insider lo0 1.1.1。1/24

去往远端通信点 2.2.2.0/24