IR600路由器与H3C防火墙V7版F1000 IPSecVPN配置方案

如下是V7版的华三的配置页面，有许多功能在web页面并没有配置选项，很多详细参数需要使用命令行进行配置。   一、在域间策略中添加untrust到local的策略，放通ike和ipsec的所有协议端口和流量。 object-policy ip untrust_to_local  rule 12 pass service ike rule 13 pass service ipsec-ah rule 14 pass service ipsec-esp rule 15 pass service nat-t-ipsec # object-policy ip local_to_untrust  rule 0 pass # object-policy ip Local-Trust  rule 0 pass # object-policy ip Trust-Local  rule 0 pass   二、IPSec的配置参数： 1.设置ike的提议 System ike proposal 1                  encryption-algorithm 3des-cbc dh group2 authentication-algorithm md5 2. 设置ike的实体为fqdn ike identity fqdn        3. 设置用于协商的密钥信息 ike keychain 1                            pre-shared-key hostname 2 key  simple 123456   4.配置ike安全框架 ike profile 1                                      \\设置ike的安全框架 keychain 1                                      \\调用之前的密钥信息 exchange-mode aggressive                        \\设置模式为野蛮模式 local-identity  fqdn  zhongxin            \\配置本端的name为zhongxin） match remote identity fqdn  inhand     \\配置对端的name为inhand） proposal 1                                        \\配置调用的ike提议   5.配置ipsec的安全提议 ipsec transform-set 1                          esp encryption-algorithm 3des-cbc esp authentication-algorithm md5   6. 配置协商时使用模板的方式 ipsec policy-template 1 1                  transform-set 1 ike-profile 1   7. 设置策略和模板绑定 ipsec policy 10 10 isakmp template 1    8.定义ac，拒绝ipsec流量做nat，允许其他流量做nat acl advanced  3000 rule deny ip source 172.16.100.0 0.0.0.255 destination 192.198.5.0 0.0.0.255 rule permit ip quit   8. 在公网接口应用ipsec策略 interface GigabitEthernet0/1 nat outbound  3000          ipsec apply policy 10 quit     三、IR600路由器IPSecVPN 隧道参数配置