在PIX防火墻用預(yù)共享密鑰配置IPSec加密主要涉及到4個(gè)關(guān)鍵任務(wù)：

一、為IPSec做準(zhǔn)備

為IPSec做準(zhǔn)備涉及到確定詳細(xì)的加密策略，包括確定我們要保護(hù)的主機(jī)和網(wǎng)絡(luò)，選擇一種認(rèn)證方法，確定有關(guān)IPSec對(duì)等體的詳細(xì)信息，確定我們所需的IPSec特性，并確認(rèn)現(xiàn)有的訪問(wèn)控制列表允許IPSec數(shù)據(jù)流通過(guò)；

步驟1：根據(jù)對(duì)等體的數(shù)量和位置在IPSec對(duì)等體間確定一個(gè)IKE（IKE階段1，或者主模式）策略；

步驟2：確定IPSec（IKE階段2，或快捷模式）策略，包括IPSec對(duì)等體的細(xì)節(jié)信息，例如IP地址及IPSec變換集和模式；

步驟3：用”write terminal”、”show isakmp”、”show isakmp policy”、”show crypto map “命令及其他”show”命令來(lái)檢查當(dāng)前的配置；

步驟4：確認(rèn)在沒(méi)有使用加密前網(wǎng)絡(luò)能夠正常工作，用”ping”命令并在加密前運(yùn)行測(cè)試數(shù)據(jù)流來(lái)排除基本的路由故障；

步驟5：確認(rèn)在邊界路由器和PIX防火墻中已有的訪問(wèn)控制列表允許IPSec數(shù)據(jù)流通過(guò)，或者想要的數(shù)據(jù)流將可以被過(guò)濾出來(lái)。

二、配置IKE

配置IKE涉及到啟用IKE（和isakmp是同義詞），創(chuàng)建IKE策略，和驗(yàn)證我們的配置；

步驟1：用”isakmp enable”命令來(lái)啟用或關(guān)閉IKE；

步驟2：用”isakmp policy”命令創(chuàng)建IKE策略；

步驟3：用”isakmp key”命令和相關(guān)命令來(lái)配置預(yù)共享密鑰；

步驟4：用”show isakmp [policy]”命令來(lái)驗(yàn)證IKE的配置。

三、配置IPSec

IPSec配置包括創(chuàng)建加密用訪問(wèn)控制列表，定義變換集，創(chuàng)建加密圖條目，并將加密集應(yīng)用到接口上去；

步驟1：用access-list命令來(lái)配置加密用訪問(wèn)控制列表；

例如：

access-list acl-name {permit　deny} protocol src_addr src_mask 
[operator port [port]] dest_addr dest_mask [operator prot [port]]

步驟2：用crypto ipsec transform-set 命令配置變換集；

例如：

crypto ipsec transform-set transform-set-name transform1 [transform2 [transform3]]

步驟3：（任選）用crypto ipsec security-association lifetime命令來(lái)配置全局性的IPSec 安全關(guān)聯(lián)的生存期；

步驟4：用crypto map 命令來(lái)配置加密圖；

步驟5：用interface 命令和crypto map map-name interface應(yīng)用到接口上；

步驟6：用各種可用的show命令來(lái)驗(yàn)證IPSec的配置。

四、測(cè)試和驗(yàn)證IPSec

該任務(wù)涉及到使用"show " 、"debug"和相關(guān)的命令來(lái)測(cè)試和驗(yàn)證IPSec加密工作是否正常，并為之排除故障。