VPN Site to Site con Entidad Certificadora CA

#################################################
#  Generamos las claves para cifrar los datos #
#################################################

ip domain-name xxx
hostname xxx
crypto key generate rsa usage-key modulus 1024



#################################################
#   TRUSTPOINT                                  #
#################################################

crypto pki trustpoint TRUSTPOINT
enrollment retry count 3
enrollment mode ra
enrollment url http://@ip/certsrv/mscep/mscep.dll
usage ike  //En este caso especificamos que sera para intercambio de claves
usage ssl-server
usage ssl-client
serial-number
fqdn NombreRouter   //Nombre completo del router
subject-name CN= rotuer,OU=,O=,C=ES,St=,L=
revocation-check none  //No utilizaremos CRL
source interface GigabitEthernet0/1
rsakeypair xx 1024 1024   //El primero 1024 es la clave para encriptar i el otro sera la claver para autenticar



#################################################
#                  Descargamos la CA en que confiamos                          #
#################################################

Primero comprovamos que tenemos la hora actualizada
 sh clock

Ahora vamos a authenticarmos y descarregarnos el certificado de la CA si confiamos.
crypto pki authenticate TRUSTPOINT



#################################################
# ENROLLMENT                                                                            #
#################################################

Es el procedimiento en que la Entidad Certificadora (CA) signara las claves

crypto pki enroll TRUSTPOINT





###########################
#     1a FASE (ISAKMP)    #
###########################

/*Definimos la politica */

crypto isakmp policy 10
encr aes 256
group 2
lifetime 3600
crypto isakmp identity dn
crypto isakmp keepalive 15 5
crypto isakmp nat keepalive 10
crypto isakmp xauth timeout 30



###########################
#    2a FASE (IPSec)      #
###########################

/*Definir la transformada*/
crypto ipsec transform-set TRANSFORM esp-aes esp-sha-hmac

crypto map CLIENT local-address FastEthernet0/0

/*Creamos un crypto map donde aplicaremos la transformada i la ACL que agrupa las IPs que se encriptaran*/
crypto map CLIENT 10 ipsec-isakmp
set peer x.x.x.x
set transform-set TRANSFORM
match address CRYPTO

/*Assignamos el crypto map en la interface deseada*/
interface FastEthernet0/0
ip address 1.1.1.1 255.255.255.252
ip nat outside
crypto map CLIENT



Lo mismo ser haria para el otro extremo de la VPN.