前一篇文章中我们提到了ISAKMP和IKE配置，转换集（Transform Set）定义和密码图（Crypto Maps）也是配置支持Cisco软件VPN客户端连接网关的一部分。

IPsec/ISAKMP利用了两阶段的协商过程。第一个阶段认证节点，第二个阶段协商节点用来保护数据通信的算法（如，DES/3DES）和协议（ESP/AH）。Cisco IOS设备使用转换集定义来创建IPsec安全协议/算法集。然后这些定义集将赋予密码图序列实体。然后VPN网关（路由器）会在第二阶段的安全联合（SA）协商中提供这些定义集。然而，如果两个节点不能找到一个相互可接受的安全协议集，SA协商将失败，并且IPsec连接也不会建立。

一个转换集有三个配置项：数据加密、数据认证和封装模式。数据加密和认证定义是用这个配置命令创建的：<crypto ipsec transform-set {transform set name} {data encrypt} {data auth} comp-lzs>。其中最后一个选项“comp-lzs”激活IP压缩。一旦转换集创建后，你就进入一个子配置模式，这里你可以选择定义两个封装模式：一是默认的通道模式，它将加密整个IP数据包；二是传输模式，它仅加密数据包的数据部分。这个子配置的命令格式是：<mode {transport | tunnel}>。下面是各种可用于IPsec ESP转换集的加密方式：

下面是一个转换集配置例子：

一旦你建好了一个转换集，你可能还需要做一些调整。对于已联合了一个密码图（并激活以保护流量）的转换集的修改将只能应用到委派改变的SA中。任何激活的SA将会重新协商以使用新的集定义。为了强制进行重新协商，特定的SA会先使用这个命令进行清除：<clear crypto sa>。查看配置在路由器上的转换集，使用命令：<show crypto ipsec transform-set>。你可以通过查看IPsec SA就可以看到选择了哪个转换集，这个操作使用命令：<show crypto ipsec sa peer x.x.x.x>。