过程

1. 转到网络 → 站到站 VPN → 策略。
2. 单击新增。
3. 为新 IPsec 策略指定名称。
4. 从下拉列表框中选择 IKE 加密算法：

   注意 数字加密标准 (DES) 是使用 56 位密钥的 64 位块算法。高级加密标准 (AES) 是支持 128 到 256 位长度的密钥和可变长度数据块的私有密钥算法。

   选项	说明
   DES-EDE3-CBC	三重 DES，即，使用三个密钥对纯文本加密三次。
   AES 128	使用 128 位密钥的 128 位块密码分组链接 (CBC) 算法。
   AES 192	使用 128 位密钥的 192 位块密码分组链接 (CBC) 算法。
   AES 256	使用 128 位密钥的 256 位块密码分组链接 (CBC) 算法。

5. 从下拉列表框中选择 IKE 认证算法值。
   • MD5 — 由 RSA Data Security 开发的消息摘要（版本 5）哈希算法（单向哈希函数），设计用于数字签名应用程序，其中大型文件在使用私有密钥/公共密钥算法加密前必须以安全方式进行压缩。
   • SHA1 — 安全哈希算法 1，可生成 160 位消息摘要。大消息摘要可抵御强力冲突攻击和逆推攻击。
6. 从下拉列表框 (1-24) 中选择 IKE SA 生命周期值（以小时为单位，最大值为 24）。该值指定了协商密钥的有效期。
7. 从下拉列表框中选择安全网关支持的 IKE DH 组值。
   • Group2:MODP — 1024 位（缺省值）
   • Group5:MODP — 1536 位
   • Group14: MODP — 2048 位
     上述涉及 Diffie-Hellman 密钥计算（也称作指数密钥协议）的几个组基于 IKE 和 IPSec 安全协会 (SA) 的安全网关所支持的 Diffie-Hellman (DH) 数学组。
8. 从下拉列表框中选择 IPSec 加密算法值。
   • 无加密 — 不使用加密算法。
   • 3DES
   • AES 128
   • AES 192
   • AES 256
9. 从下拉列表框中选择 IPSec 认证算法值。
   • MD5
   • SHA1
10. 从下拉列表框 (1-24) 中选择 IPSec 生命周期值（以小时为单位，最大值为 24）。
11. 从下拉列表中选择 IPSec PFS 组值。
    • 无
    • Group2:MODP
    • Group5:MODP
    • Group14:MODP
12. 单击应用。
13. 验证新策略是否已列在网络 → 站到站 VPN → 策略中。