在现代企业网络架构中，虚拟专用网络（VPN）已成为远程办公、分支机构互联和数据安全传输的重要技术手段，H3C（华三通信）作为国内领先的网络设备厂商，其路由器、交换机及防火墙产品广泛应用于各类场景，本文将详细介绍如何在H3C设备上建立一个基于IPSec协议的站点到站点（Site-to-Site）VPN隧道,确保跨地域网络之间的加密通信。

准备工作至关重要,你需要明确以下几点：

1. 两端H3C设备（如SR6600或MSR系列路由器）均需具备公网IP地址,或通过NAT映射实现公网可达；
2. 确定用于建立VPN的两个子网（192.168.1.0/24 和 192.168.2.0/24）；
3. 准备好预共享密钥（PSK），建议使用强密码（16位以上，含大小写字母与数字）；
4. 确保两端设备的时间同步（NTP服务）,避免因时钟偏差导致协商失败。

接下来进入配置阶段，以H3C MSR路由器为例,步骤如下：

第一步：配置接口IP地址，假设设备A（总部）接口GigabitEthernet0/0连接内网192.168.1.0/24，接口GigabitEthernet0/1连接公网（已分配公网IP）,配置命令如下：

interface GigabitEthernet0/0
 ip address 192.168.1.1 255.255.255.0
 quit
interface GigabitEthernet0/1
 ip address 203.0.113.10 255.255.255.0
 quit

第二步：定义感兴趣流（Traffic Selector），这一步告诉设备哪些流量需要走VPN隧道，从192.168.1.0/24到192.168.2.0/24的数据包应被加密：

ip access-list extended ACL-VPN
 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
 quit

第三步：配置IKE策略，IKE（Internet Key Exchange）用于协商安全关联（SA）：

ike proposal 1
 encryption-algorithm aes-cbc
 hash-algorithm sha1
 dh group14
 authentication-method pre-share
 quit

第四步：创建IPSec安全提议，该提议定义加密算法、认证方式等：

ipsec proposal 1
 esp encryption-algorithm aes-cbc
 esp authentication-algorithm sha1
 quit

第五步：配置IPSec通道（tunnel），这是核心部分，绑定IKE策略和IPSec提议,并指定对端IP：

ipsec policy 1 1 isakmp
 security acl 1
 ike-proposal 1
 ipsec-proposal 1
 remote-address 203.0.113.20
 quit

第六步：应用策略到接口,让特定接口启用IPSec保护：

interface GigabitEthernet0/1
 ipsec policy 1
 quit

第七步：配置预共享密钥,两端必须一致：

ike peer PeerA
 pre-shared-key cipher %$%$aBcD1234!@#%^$%$%
 remote-address 203.0.113.20
 quit

在对端（设备B）重复上述配置，只需将本地子网和对端IP互换即可，完成配置后，可通过命令 display ipsec sa 查看隧道状态，若显示“Established”,则表示成功建立。

注意事项：

• 若出现“Failed to establish SA”错误,优先检查预共享密钥是否匹配；
• 建议启用日志功能（logging enable）以便排查问题；
• 对于高可用环境,可配置双链路备份或VRRP冗余。

H3C设备支持灵活且标准的IPSec VPN配置，是构建安全远程接入网络的理想选择，掌握这一技能，不仅提升运维效率,更保障企业数据资产的安全性。