PIX上实现VPN（IPSec）的详细步骤

在PIX防火墙用预共享密钥配置IPSec加密主要涉及到4个关键任务：　　　　一、为IPSec做准备——为IPSec做准备涉及到确定详细的加密策略，包括确定我们要保护的主机和网络，选择一种认证方法，确定有关IPSec对等体的详细信息，确定我们所需的IPSec特性，并确认现有的访问控制列表允许IPSec数据流通过；　　　　步骤1：根据对等体的数量和位置在IPSec对等体间确定一个IKE（IKE阶段1，或者主模式）策略；　　　　步骤2：确定IPSec（IKE阶段2，或快捷模式）策略，包括IPSec对等体的细节信息，例如IP*及IPSec变换集和模式；　　　　步骤3：用”writeterminal”、”showisakmp”、”showisakmppolicy”、”showcryptomap“命令及其他”show”命令来检查当前的配置；　　　　步骤4：确认在没有使用加密前网络能够正常工作，用”ping”命令并在加密前运行测试数据流来排除基本的路由故障；　　　　步骤5：确认在边界路由器和PIX防火墙中已有的访问控制列表允许IPSec数据流通过，或者想要的数据流将可以被过滤出来。　　　　二、配置IKE——配置IKE涉及到启用IKE（和isakmp是同义词），创建IKE策略，和验证我们的配置；　　　　步骤1：用”isakmpenable”命令来启用或关闭IKE；　　　　步骤2：用”isakmppolicy”命令创建IKE策略；　　　　步骤3：用”isakmpkey”命令和相关命令来配置预共享密钥；　　　　步骤4：用”showisakmp[policy]”命令来验证IKE的配置。　　　　三、配置IPSec——IPSec配置包括创建加密用访问控制列表，定义变换集，创建加密图条目，并将加密集应用到接口上去；　　　　步骤1：用access-list命令来配置加密用访问控制列表；　　例如：　　access-listacl-name{permit|deny}protocolsrc_addrsrc_mask[operatorport[port]]dest_addrdest_mask[operatorprot[port]]　　　　步骤2：用cryptoipsectransform-set命令配置变换集；　　例如：　　cryptoipsectransform-settransform-set-nametransform1[transform2[transform3]]　　　　步骤3：（任选）用cryptoipsecsecurity-associationlifetime命令来配置全局性的IPSec安全关联的生存期；　　　　步骤4：用cryptomap命令来配置加密图；　　　　步骤5：用interface命令和cryptomapmap-nameinterface应用到接口上；　　　　步骤6：用各种可用的show命令来验证IPSec的配置。　　　　四、测试和验证IPSec——该任务涉及到使用"show"、"debug"和相关的命令来测试和验证IPSec加密工作是否正常，并为之排除故障。　　　　样例：　　　　PIX1的配置：　　　　!configuretheIPaddressforeachPIXFirewallinterface　　ipaddressoutside..1....0　　ipaddressinside.1.1....0　　ipaddressdmz......0　　global(outside)..1.-..1.netmask...0　　!createsaglobalpoollontheoutsideinterface,enablesNAT.　　!windowsNTserver　　static(inside,outside)..1..1.1.4netmask...0　　!Cryptoaccesslistspecifile*etweentheglobalandtheinside　　!serverbeindPIXFirewallsisencrypted,Thesource　　!anddestinationIPaddressaretheglobalIPaddressesofthestatics.　　Access-listpermitiphost..1.host..2.　　!TheconduitpermitICMPandwebaccessfortesting.　　Conduitpermiticmpanyany　　Conduitpermittcphost..1.eqwwwany　　routeoutside0.0.0..0.0...1.　　!EnableIPSectobypassaccesslitst,access,andconfuitrestrictions　　syspotconnnectionpermitipsec　　!Definesacryptomaptransformsettouseresp-des　　cryptoipsectransform-setpix2esp-des　　cryptomappeeripsec-isakmp!