在PIX防火墻用預(yù)共享密鑰配置IPSec加密主要涉及到4個(gè)關(guān)鍵任務(wù)：
　　
　　一、為IPSec做準(zhǔn)備——為IPSec做準(zhǔn)備涉及到確定詳細(xì)的加密策略，包括確定我們要保護(hù)的主機(jī)和網(wǎng)絡(luò)，選擇一種認(rèn)證方法，確定有關(guān)IPSec對(duì)等體的詳細(xì)信息，確定我們所需的IPSec特性，并確認(rèn)現(xiàn)有的訪問(wèn)控制列表允許IPSec數(shù)據(jù)流通過(guò)；
　　
　　步驟1：根據(jù)對(duì)等體的數(shù)量和位置在IPSec對(duì)等體間確定一個(gè)IKE（IKE階段1，或者主模式）策略；
　　
　　步驟2：確定IPSec（IKE階段2，或快捷模式）策略，包括IPSec對(duì)等體的細(xì)節(jié)信息，例如IP地址及IPSec變換集和模式；
　　
　　步驟3：用”write terminal”、”show isakmp”、”show isakmp policy”、”show crypto map “命令及其他”show”命令來(lái)檢查當(dāng)前的配置；
　　
　　步驟4：確認(rèn)在沒(méi)有使用加密前網(wǎng)絡(luò)能夠正常工作，用”ping”命令并在加密前運(yùn)行測(cè)試數(shù)據(jù)流來(lái)排除基本的路由故障；
　　
　　步驟5：確認(rèn)在邊界路由器和PIX防火墻中已有的訪問(wèn)控制列表允許IPSec數(shù)據(jù)流通過(guò)，或者想要的數(shù)據(jù)流將可以被過(guò)濾出來(lái)。
　　
　　二、配置IKE—— 配置IKE涉及到啟用IKE（和isakmp是同義詞），創(chuàng)建IKE策略，和驗(yàn)證我們的配置；
　　
　　步驟1：用”isakmp enable”命令來(lái)啟用或關(guān)閉IKE；
　　
　　步驟2：用”isakmp policy”命令創(chuàng)建IKE策略；
　　
　　步驟3：用”isakmp key”命令和相關(guān)命令來(lái)配置預(yù)共享密鑰；
　　
　　步驟4：用”show isakmp [policy]”命令來(lái)驗(yàn)證IKE的配置。
　　
　　三、配置IPSec——IPSec配置包括創(chuàng)建加密用訪問(wèn)控制列表，定義變換集，創(chuàng)建加密圖條目，并將加密集應(yīng)用到接口上去；
　　
　　步驟1：用access-list命令來(lái)配置加密用訪問(wèn)控制列表；
　　例如：
　　access-list acl-name {permit|deny} protocol src_addr src_mask [operator port [port]] dest_addr dest_mask [operator prot [port]]
　　
　　步驟2：用crypto ipsec transform-set 命令配置變換集；
　　例如：
　　crypto ipsec transform-set transform-set-name transform1 [transform2 [transform3]]
　　
　　步驟3：（任選）用crypto ipsec security-association lifetime命令來(lái)配置全局性的IPSec 安全關(guān)聯(lián)的生存期；
　　
　　步驟4：用crypto map 命令來(lái)配置加密圖；
　　
　　步驟5：用interface 命令和crypto map map-name interface應(yīng)用到接口上；
　　
　　步驟6：用各種可用的show命令來(lái)驗(yàn)證IPSec的配置。
　　
　　四、測(cè)試和驗(yàn)證IPSec——該任務(wù)涉及到使用"show " 、"debug"和相關(guān)的命令來(lái)測(cè)試和驗(yàn)證IPSec加密工作是否正常，并為之排除故障。
　　
　　樣例：
　　
　　PIX 1的配置：
　　
　　!configure the IP address for each PIX Firewall interface
　　ip address outside 192.168.1.1 255.255.255.0
　　ip address inside 10.1.1.3 255.255.255.0
　　ip address dmz 192.168.11.1 255.255.255.0
　　global (outside) 1 192.168.1.10-192.168.1.254 netmask 255.255.255.0
　　!creates a global pooll on the outside interface,enables NAT.
　　!windows NT server
　　static (inside,outside) 192.168.1.10 10.1.1.4 netmask 255.255.255.0
　　!Crypto access list specifiles between the global and the inside
　　!server beind PIX Firewalls is encrypted ,The source
　　!and destination IP address are the global IP addresses of the statics.
　　Access-list 101 permit ip host 192.168.1.10 host 192.168.2.10
　　!The conduit permit ICMP and web access for testing.
　　Conduit permit icmp any any
　　Conduit permit tcp host 192.168.1.10 eq www any
　　route outside 0.0.0.0 0.0.0.0 192.168.1.2 1
　　!Enable IPSec to bypass access litst,access ,and confuit restrictions
　　syspot connnection permit ipsec
　　!Defines a crypto map transform set to user esp-des
　　crypto ipsec transform-set pix2 esp-des
　　crypto map peer2 10 ipsec-isakmp!