手把手教你，工业路由器与H3C企业级防火墙构建IPsecVP

　　一、网络拓扑
　　在防火墙与ORC305之间建立一个安全隧道，对客户路由器端设备子网（192。168。2。024），与防火墙端服务器子网（172。16。99。024）之间的数据流进行安全保护。安全协议采用ESP，加密算法采用3DES，认证算法采用MD5，组网拓扑图如图所示。
　　二、H3CSECPATHU200A端配置指导
　　（此处以多数客户使用专线上网形式为例）
　　1、前提准备工作配置IPSecVPN时应保证该通过该设备已经可以正常上网，WAN，LAN，NAT等正常工作，如下图GigabitEthernet01为WAN公网IPX。X。X。242，GigabitEthernet04为LAN，IP为172。x。x。x24
　　Interface所属安全域
　　2、感兴趣流的ACL添加以及配置在设备中存在ACL3000和3004，该ACL是被NAT所调用，我们需要创建一条现场为192。168。2。024（目的网络）网段与H3C内外网段172。22。12。024（源网络）的ACL进行配置，如下新建ALC3010。以源网络到目的网络的IP数据流为感兴趣流。防火墙ACL新建
　　防火墙ACL新建3010
　　防火墙ACL3010操作
　　防火墙ACL3010操作新建：在ALC3010中添加规则ID100，匹配（permit）源网络至目的网络的的数据流，源网络为H3C其中的一个LAN172。22。12。024，目的网络为现场LAN192。168。2。024。
　　3、在原有配置的NAT中排感兴趣流防火墙ACL3000操作新建：新建一个ID号小于1000和2000的ID例如100，阻止（deny），感兴趣流通过NAT。
　　防火墙ACL3004操作新建：新建一个ID号小于1000和2000的ID例如100，阻止（deny），感兴趣流通过NAT。
　　4、创建IKE4。1VPNIKE对等体新建
　　对等体名称：test1（自定义）协商模式：Aggressive（主动模式或野蛮模式）对端网关主机名：test1对端ID：test1（FQDN，由于现场路由器拨号获得的是动态私网IP，所以使用FQDN来进行对每个对等体进行识别，每次新建ID不可以重复）启用DPD功能：打钩选择下面配置的DPD策略号10启用NAT穿越：打勾预共享秘钥：abc123（自定义）
　　4。2VPNIKE安全提议新建IKE安全提议号10认证方法：PresharedKey认证算法：MD5加密算法：3DESCBCDH组：Group2SA生存周期：86400秒（下图只是例图）
　　4。3VPNIKEDPD（DPDDeadPeerDetection）VPNIKEDPD新建DPD名称：10触发DPD时间间隔：60s等待DPD现有报文时：60s（下图只是例图）
　　5、IPSec5。1IPSec安全提议IPSec安全提议名：10报文封装模式：tunnelESP认证算法：MD5ESP加密算法：3des
　　5。2创建IPSec模板配置模板名称：test1（自定义）IKE对等体：test1（之前已经定义的IKE）安全提议：10PFS：选择空（与截图不符注意）ACL：3010
　　5。3调用IPSec模板配置IPSec应用G01操作调用策略：test1
　　6、Policy防火墙安全策略域间策略新建：源域：untunst目的域：trust策略规则：10源IP：192。168。2。00。0。0。255（与图中不符注意）目的IP：172。22。12。00。0。0。0255（与图中不符注意）
　　三、ORC305路由器端配置指导
　　1、将SIM卡插入路由器卡槽
　　2、给设备上电，登入路由器web页面（默认为192。168。2。1）
　　3、进入网络接口连链路备份界面启用对应SIM卡并上调链路优先级，保存配置
　　4、对应SIM卡拨号成功，当前链路变为绿色
　　5、进入网络VPNIPsec界面进行路由器（IPsecVPN客户端）配置
　　保存并应用配置后即可进入状态VPN页面看到IPsecVPN状态为已连接