H3C MSV50 和IR900 IPSEC配置

H3C MSV50 和IR900 IPSEC配置文档  设备概览:查看设备基本硬件、型号等参数以及设备的运行状况 接口配置-WAN接口设置：设置H3C路由器网络连接模式（静态IP地址、动态IP地址、PPPOE拨号） 接口设置-LAN设置：设置局域网内部地址 NAT配置-动态地址转换：接口选择外网接口、转换方式选择接口地址 vpn-ipsec vpn配置 Ipsec隧道名称：给您建立的ipsec 隧道设立一个名称以方便查看 接口：设定为外部网络接口 对端网关地址/主机名：设定为VPN客户端IP/域名，此处填写的fenzh是对端FQDN 本地网关地址：设定本端WAN口公网IP地址，也可填写域名方式 预共享密匙：设置IPSec VPN协商密钥abc@123，与对端密匙保持一致 对端ID类型：可选择IP地址和FQDN，由于对端IP地址不固定建议选择FQDN 本端ID类型：可以选择FQDN，User FQDN，IP地址，此处同上选择FQDN 筛选方式-流量控制：设定本地子网和对端子网 第一、二阶段参数：配置IPSec隧道在第一、二阶段协商时的参数，该参数两端路由器保持一致即可。 IR路由器ipsec参数配置 点击“配置向导”=> “IPSec隧道配置”菜单，如下图 隧道名称：给您建立的ipsec 隧道设立一个名称以方便查看，缺省为IPSec_tunnel_1。 对端地址：设定为VPN客户端IP/域名，例如：59.xx.xx.xx 启动方法：选择自动启动。 VPN断开后挂断拨号连接：勾选。 协商模式：可选择主模式，野蛮模式，快速模式。与H3C建VPN时选择野蛮模式。 IPSec协议：可以选择ESP。 IPSec模式：可以选择隧道模式，传输模式。 一般选择隧道模式。 隧道模式：可以选择为 主机——主机，主机——子网，子网——主机，子网——子网，四种模型。一般选择“子网——子网”模式。   本地子网地址：IPSec本地保护子网。例如：192.168.2.0。 本地子网掩码：IPSec本地保护子网掩码。例如：255.255.255.0。 对端子网地址：IPSec对端保护子网。例如：192.168.1.0。 对端子网掩码：IPSec对端保护子网掩码。例如：255.255.255.0。 第一阶段参数：配置IPSec隧道在第一阶段协商时的参数。 IKE策略：可以选择3DES-MD5-96或AES-MD5-96。建议选择3DES-MD5-96。 IKE生命周期：缺省为86400秒。 本地标识类型：可以选择FQDN，User FQDN，IP地址。与H3C建VPN时选择FQDN 本地标识：根据选择的标识类型填入相应标识。建议选择为空。 对端标识类型：可以选择FQDN，User FQDN，IP地址。建议选择FQDN。 对端标识：根据选择的标识类型填入相应标识。建议选择为空。 认证方式： 可以选择共享密钥和数字证书。一般选择为共享密钥。 密钥：设置IPSec VPN协商密钥。与H3C配置相对应填入abc@123。 第二阶段参数：配置IPSec隧道在第一阶段协商时的参数。 IPSec策略：可以选择3DES-MD5-96或AES-MD5-96。建议选择3DES-MD5-96。 IPSec生命周期：缺省为3600秒。 完美前向加密：可以选择为禁用、GROUP1、GROUP2、GROUP5。此参数需要跟服务端匹配，一般选择禁用。 连接成功