F1060 L2TP OVER IPSEC

上图中，host_3 到FW_1  的L2TP连接通过INODE可以正常进行，但一旦进行ipsec连接，就提示IKE协议失败，主要配置如下

ipsec policy 1 1 isakmp template 1  #建立IPSEC 安全策略，引用模板1，采用自动isakmp

ipsec policy-template 1 1  #建立模板

 transform-set 1    #引用IPsec安全协议 1

 ike-profile 1       #引用ike 配置文件 1

ipsec transform-set 1  #配置IPsec安全提议。

 esp encryption-algorithm 3des-cbc 

#配置IPsec安全提议采用的ESP加密算法为CBC模式的3DES算法。

     esp authentication-algorithm md5 

# 配置IPsec安全提议采用的ESP认证算法为MD5。

【注意】v5下是用ipsec proposal，而v7下是用命令：ipsec transform-set

ike profile 1 

keychain 1

 #在IKE profile 1中指定名称为1的配置的IKE keychain

 local-identity address 202.3.100.2 

# 指定使用IP地址202.3.100.2 标识本端身份。

 match remote identity address 0.0.0.0 0.0.0.0

# 指定需要匹配对端身份类型为IP地址，取值为任意地址。

 proposal 1

# 指定IKE安全提议1

ike proposal 1  #创建IKE安全提议1

       encryption-algorithm 3des-cbc 

dh group2

 authentication-algorithm md5

#注意：有默认配置

ike  keychain  1

#在IKE需要通过预共享密钥方式进行身份认证时，协商双方需要创建并指定IKE keychain。IKE keychain用于配置协商双方的密钥信息.预共享密钥，含义是保证的服务器段和客户均持有相同的密钥， 在加密和解密发生之前

#配置与地址为0.0.0.0 0.0.0 的对端使用的预共享密钥为明文的abcd。

pre-shared-key address  0.0.0.0 0.0.0.0 key simple h3c

INODE 的IKE设置