省份与总部互联网联调初步方案(编辑修改稿)

省份与总部互联网联调初步方案(编辑修改稿)内容摘要：

 检查当前的配置  确认网络在没有加密的情况下能正常工作  确认访问控制列表与 IPSec 是相容的 2 配置 IKE  在需要配置 IPSec VPN 的接口上打开 IKE Pixfirewall(config) isakmp enable interfacename  建立 IKE 策略 Pixfirewall(config) isakmp policy priority用一个唯一的优先级 号码来标识策略 Pixfirewall(config) isakmp policy priority encryption 3des定义加密算法为 3DES Pixfirewall(config) isakmp policy priority hash sha定义 hash 算法为 SHA Pixfirewall(config) isakmp policy priority authentication preshare定义认证模式为preshare 预共享密钥 Pixfirewall(config) isakmp policy priority group 2定义 DiffieHellman 组标识符为group 2 Pixfirewall(config) isakmp policy priority lifetime 86400定义 IKE SA的生存时间为86400 秒  配置预共享密钥 Pixfirewall(config) isakmp identity address定义用对等体的 IP 地址作为身份标识 Pixfirewall(config) name ipaddress name (任选 )定义 IP 地址与主机名的映射 Pixfirewall(config) isakmp key keystring address peeraddress [mask]定义一个密钥串和对等体地址  验证 IKE 阶段 1 的策略 Pixfirewall write terminal Pixfirewall show isakmp 显示出所配置的策略 Pixfirewall show isakmp policy显示的所配置的策略和缺省的策略 3 配置 IPSec （注： Pixfirewall sysopt connection permitipsec 允许 IPSec 数据流通过 PIX 防火墙）  配置加密用访问控制列表 Pixfirewall(config) accesslist accesslistname permit ip source sourcemask destination destinationmask (注意：匹配条目没被保护的入境数据将被丢弃 ) Pixfirewall(config) nat [(ifname)] 0 accesslist aclname不需要配置相应的静态映射  配置变换集套件 Pixfirewall(config) crypto ipsec transformset name espshahmac esp3des  配置全局的 IPSec 安全关联生存时间 Pixfirewall(config) crypto ipsec securityassociation lifetime 28800  配置加密 图 Pixfirewall(config) crypto map mapname seqnum ipsecisakmp创建一个加密图条目 Pixfirewall(config) crypto map mapname seqnum match address accesslistname 为该加密图条目指派一个访问控制列表 Pixfirewall(config) crypto map mapname seqnum set peer ipaddress定义对等体的IP 地址 Pixfirewall(config) crypto map mapname seqnum set transform transformsetname1定义加密图所允许使用的变换集  将加密图应用到接口上 Pixfirewall(config) cryp。