在现代企业网络架构中,虚拟专用网络（VPN）已成为远程访问、站点间互联和数据安全传输的重要手段，作为国内主流网络设备厂商之一，华三（H3C）提供了功能强大且灵活的IPSec VPN解决方案，广泛应用于各类园区网、数据中心及分支机构互联场景，本文将详细介绍如何在华三路由器或交换机上通过命令行界面（CLI）完成标准IPSec VPN的配置，帮助网络工程师快速部署安全可靠的隧道连接。

确保设备已加载支持IPSec功能的软件版本,并进入系统视图模式，基础配置步骤如下：

1. 定义本地和远端IP地址
   在两端设备上分别设置公网IP地址，

   [H3C] interface GigabitEthernet 1/0/1
   [H3C-GigabitEthernet1/0/1] ip address 203.0.113.10 255.255.255.0

   远端设备配置类似,使用其公网IP地址。

2. 创建IKE提议（Internet Key Exchange）
   IKE用于协商加密算法、认证方式等参数，推荐使用强加密组合：

   [H3C] ike proposal 1
   [H3C-ike-proposal-1] encryption-algorithm aes
   [H3C-ike-proposal-1] hash-algorithm sha1
   [H3C-ike-proposal-1] authentication-method pre-shared-key
   [H3C-ike-proposal-1] dh group14

3. 配置预共享密钥
   双方必须一致，建议使用复杂字符串增强安全性：

   [H3C] ike peer RemotePeer
   [H3C-ike-peer-RemotePeer] pre-shared-key cipher YourSecureKey123!
   [H3C-ike-peer-RemotePeer] remote-address 203.0.113.20

4. 创建IPSec安全提议
   定义隧道内数据加密和完整性保护策略：

   [H3C] ipsec proposal MyProposal
   [H3C-ipsec-proposal-MyProposal] esp authentication-algorithm sha1
   [H3C-ipsec-proposal-MyProposal] esp encryption-algorithm aes
   [H3C-ipsec-proposal-MyProposal] set transform-set AES-SHA

5. 建立IPSec安全策略
   指定源/目的子网、引用IKE对等体和IPSec提议：

   [H3C] ipsec policy MyPolicy 1 isakmp
   [H3C-ipsec-policy-isakmp-1] security acl 3000
   [H3C-ipsec-policy-isakmp-1] ike-peer RemotePeer
   [H3C-ipsec-policy-isakmp-1] proposal MyProposal

6. 应用策略到接口或路由
   若需对特定流量生效，可绑定ACL并启用策略路由：

   [H3C] acl number 3000
   [H3C-acl-adv-3000] rule permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255
   [H3C] interface GigabitEthernet 1/0/1
   [H3C-GigabitEthernet1/0/1] ipsec policy MyPolicy

验证连接状态至关重要,使用以下命令检查IKE SA和IPSec SA是否建立成功：

[H3C] display ike sa
[H3C] display ipsec sa

若显示“Established”，表示隧道已激活，数据可安全传输，还可通过ping测试跨隧道连通性，或开启日志记录以排查异常。

综上,华三设备通过标准化命令即可实现高可用、高安全性的IPSec VPN部署，特别适用于中小型企业或分支互联场景，熟练掌握上述命令组合，是每位网络工程师必备技能之一。