​​​​​​组网需求

        多个发起方使用动态接入互联网方式，如PPPoE拨号或者NAT转换，这种方式中，发起方每次使用的IP地址可能不一致，所以响应端无法使用指定对端IP地址方式，匿名网关一端不指定对端IP，通过ID识别对端身份建立IPSec隧道，实现公司间内部网络的安全通信。

典型环境的组网图：

配置步骤

总部FW1配置

            命令行方式配置

              配置接口Ge 0/0/1和Ge 0/0/2的IP地址

(config)#interface Ge 0/0/1

(config-if-Ge0/0/1)#ip add  20.0.0.1 24

(config)#interface Ge 0/0/2

(config-if-Ge0/0/2)#ip add  192.168.0.1 24

             开启IPSEC使能开关及配置IKE协商策略

Ipsec enable                                              

ipsec negotiation-policy ike                                                     

peer-type client                                            

mode aggressive                                           

authentication-type key OUM!K%F<+$[Q=^Q`MAF4<1!!         

peer-id peer                                                                                           

ike-encrypt 3des                                          

ike-authentication md5                                         

ike-dh-group 2                                             

dpd enable interval 30 timeout 3                               

protocol-nested 1 esp ipsec-encrypt 3des ipsec-authenticate hmac_md5 encap-type tunnel