--(可选)如果SA生命期和全局默认不同,那么定义它: (crypto-map)set security-association lifetime seconds seconds (crypto-map)set security-association lifetime kilobytes kilobytes --(可选)对每个新的SA使用完整转发安全性 (crypto-map)set pfs [group1 | group2] --将动态保密图集加入到正规的图集中
(global)crypto map map-name sequence ipsec-isakmp dynamic dyn-map-name [discover] --(可选)使用IKE模式的客户机配置
(global)crypto map map-name client configuration address [initiate | respond] --(可选)使用来自AAA服务器的预共享IKE密钥
(global)crypto map map-name isakmp authorization list list-name 6、将保密映射应用到接口上 (1)指定要使用的保密映射 (interface)crypto map map-name
(2)(可选)和其他接口共享保密映射
(global)crypto map map-name local-address interface-id