在PIX防火墻上實現VPN的配置步驟

在PIX防火墻用預共享密鑰配置IPSec加密主要涉及到4個關鍵任務：
    一、為IPSec做準備
    為IPSec做準備涉及到確定詳細的加密策略，包括確定我們要保護的主機和網絡，選擇一種認證方法，確定有關IPSec對等體的詳細信息，確定我們所需的IPSec特性，并確認現有的訪問控制列表允許IPSec數據流通過；
    步驟1：根據對等體的數量和位置在IPSec對等體間確定一個IKE（IKE階段1，或者主模式）策略；
    步驟2：確定IPSec（IKE階段2，或快捷模式）策略，包括IPSec對等體的細節(jié)信息，例如IP地址及IPSec變換集和模式；
    步驟3：用”write terminal”、”show isakmp”、”show isakmp policy”、”show crypto map “命令及其他”show”命令來檢查當前的配置；
    步驟4：確認在沒有使用加密前網絡能夠正常工作，用”ping”命令并在加密前運行測試數據流來排除基本的路由故障；
    步驟5：確認在邊界路由器和PIX防火墻中已有的訪問控制列表允許IPSec數據流通過，或者想要的數據流將可以被過濾出來。
    二、配置IKE
    配置IKE涉及到啟用IKE（和isakmp是同義詞），創(chuàng)建IKE策略，和驗證我們的配置；
    步驟1：用”isakmp enable”命令來啟用或關閉IKE；
    步驟2：用”isakmp policy”命令創(chuàng)建IKE策略；
    步驟3：用”isakmp key”命令和相關命令來配置預共享密鑰；
    步驟4：用”show isakmp [policy]”命令來驗證IKE的配置。
    三、配置IPSec
    IPSec配置包括創(chuàng)建加密用訪問控制列表，定義變換集，創(chuàng)建加密圖條目，并將加密集應用到接口上去；
    步驟1：用access-list命令來配置加密用訪問控制列表；
    例如：
    access-list acl-name {permit　deny} protocol src_addr src_mask
     [operator port [port]] dest_addr dest_mask [operator prot [port]]
    步驟2：用crypto ipsec transform-set 命令配置變換集；
    例如：
    crypto ipsec transform-set transform-set-name transform1 [transform2 [transform3]]
    步驟3：（任選）用crypto ipsec security-association lifetime命令來配置全局性的IPSec 安全關聯(lián)的生存期；
    步驟4：用crypto map 命令來配置加密圖；
    步驟5：用interface 命令和crypto map map-name interface應用到接口上；
    步驟6：用各種可用的show命令來驗證IPSec的配置。
    四、測試和驗證IPSec
    該任務涉及到使用"show " 、"debug"和相關的命令來測試和驗證IPSec加密工作是否正常，并為之排除故障。