在IOS路由器上实现IPsec VPN涉及到许多不同的配置元素。除了ISAKMP/IKE配置和转换集定义外，密码图也是配置支持Cisco软件VPN客户端连接网关的组成部分。

当我们进行VPN网关路由器配置时，很快就会发现它包含了IPsec策略配置的。密码图是各个关联元素的聚集点。它是所有不同的配置组件、安全协议和算法相互作用的接口，并且在它上面应用这些元素以支持路由器上的IPsec服务。由于有一个IPsec节点关联的存在，两个相关的节点必须有使用一套一致的安全参数上，以便阶段1和阶段2的协商能成功。如果有一个通用协议集不能达成一致，那么IPsec节点协商就会失败。因此，非常重要的是你的CM配置能够提供了所需要的多样化协议来支持远程节点的需要。

IOS支持两种不同类型的CM：静态的和动态的。如果所有用于建立一个IPsec节点关系的变量都在VPN网关和相关远程节点之间的协商之前定义，静态CM就会用于定义远程节点关系的。而动态CM的使用则是使用在仅仅有一些远程节点参数在VPN网关协商之前定义的时候。从另一方面看，静态CM是在永久的节点关联中使用的，比如在使用VPN来支持固定位置的Network-to-network拓扑时。而动态CM一般多数是用来支持Client-to-network的拓扑。最常见的Client-to-network IPsec VPN配置问题是客户的IP地址是未知的或者不停改变的，以及/或者节点关联是暂时的。

这两种类型的密码图的创建与写新闻报道非常相似，都需要具备五要素（人物、事件、地点、时间和起因）让故事言之有理（可以运行）。让我们来看看CM故事中不一样的元素：

人物：配置始于CM的定义。CM至少需要一个有效的记录。CM是用这个全局配置命令创建的：<crypto map {static map name} {1-65535} {ipsec-isakmp}>。CM是一系列的相同名称但有不同序列号码的记录。CM记录是从低数位到高数位的记录计算的。以上的语法是用于创建或者添加静态CM记录的。

动态CM是附着在静态CM上；它们并不直接应用在路由器接口上的。动态CM是由一个不同的命令创建的：<crypto dynamic-map {dynamic map name} {1-65535}>。一旦创建，动态CM就会被用相同的选项添加到静态CM上：<crypto map {static map name} {1-65535} {ipsec-isakmp} {dynamic} {dynamic map name}>。静态CM可以有多动态CM。而动态CM只有先被创建后，才可以被附着到静态CM上。

通常我们会为每一个远程节点或者节点的每一个流量策略创建一个CM序列定义。每个静态CM远程节点记录都由这个子命令定义的：<set peer {x.x.x.x | hostname}>。对于冗余，可能在一个CM序列里定义了多个远程节点。当定义冗余远程节点时，每个远程节点都必须支持相同的镜像策略。

事件：CM序列需要有一个流量匹配策略。匹配策略定义源到目标的安全流量。匹配策略是使用这个子命令定义的：<match address {access-list-id}>。在远程节点的CM命名上，每个匹配ACL记录都必须在远程节点的CM定义中有一个镜像匹配策略图ACL记录。CM匹配策略ACL可以使用命名或者数字扩展的ACL创建。在ACL中，Network-to-network、Host-to-host或者混合主机与网络模式都可能被定义。流量匹配策略最主要的一个方面是每个序列都需要属于它的唯一的ACL，而且最重要的是ACL有重复的的匹配流量记录。如果可能，最好避免出现交差命名。

如果不同的序列使用了相同的流量ACL，或者交差流量定义后面的序列定义比它更加明确，那么一个低位数序列会总是首先修饰流量。在构造一个IPsec节点拓扑时，分清流量和从强到弱的明确流量交差是很重要的。如果序列顺序是错误的，那么流量将无法正确地受到保护甚至可能被整个丢弃。

地点：CM的位置对于保证安全策略地的正确操作是很重要的。CM是使用这个接口子命令应用到接口上的：<crypto map {static map name}>。记住，所有穿越应用了CM的接口的流量都会被CM进行修正。通过这种方式，CM可以打开或者响应IKE请求和去往确定节点的安全流量。如果路由器接口与一个非安全的网络连接，那么除CM外，还需要一个流量过滤ACL。这个ACL必须允许通往“非安全的”接口IP地址的IP流量，比如ISAKMP和ESP IP的UDP 500 (IKE) 或者UDP 4500 (NAT 穿越)，以及任何可能支持Compound TCP 隧道的端口。

时间：为了保证通讯完整性，节点间的SA必须周期性地刷新。而刷新的停止可以根据时间或者数据量来决定。SA寿命是使用子命令定义的。另外，可以通过使用这个命令来设置删除空闲SA的时钟：<set security-association idle-time {60-86400}>。

原因：为什么要保证流量安全呢？原因有很多。为了使节点能建立一个SA，它们必须确定达成一致的是：什么样的流量要受到保护，以及如何保护这些流量。受保护的流量是由流量限制策略定义的。如何保护流量则是由转换集和CM记录一起定义的。两个节点间实际使用的协议和算法在ISAKMP阶段2协商上达成一致的。为了使阶段2协商能完成，至少要有一个转换集定义，但是你最多可以定义六个。这些定义是使用这个子命令设置的：<set transform-set transform-set-name1 {transform-set-name2...transform-set-name6}>。

下面是一个关于基本CM配置的例子：

在监控方面，有很多显示命令可用于获取IPsec策略信息。最常使用的命令是：<show crypto ipsec sa>，它可以提供激活的SA的信息和统计数据。