华三（H3C）的IPsec VPN防火墙配置涉及一系列命令，以下是一个基本的配置流程，用于设置IPsec VPN。请注意，具体命令可能会根据设备型号和版本有所不同，以下命令适用于大多数H3C防火墙设备：

1. 进入系统视图:

   复制

   system-view
   

2. 配置IKE策略（Internet Key Exchange）:

   复制

   ike proposal 1
   encryption-algorithm aes-cbc-128
   authentication-algorithm sha1
   integrity-algorithm hmac-sha1-96
   dh group14
   prf hmac-sha1
   lifetime 86400
   quit
   

3. 配置IKE对等体:

   复制

   ike peer peer-name
   exchange-mode main
   pre-shared-key cipher [your-pre-shared-key]
   ike-proposal 1
   remote-address [remote-peer-ip]
   local-address [local-ip]
   quit
   

4. 配置IPsec策略:

   复制

   ipsec policy map1 10 isakmp
   ike-peer peer-name
   transform esp
   esp encryption-algorithm aes-cbc-128
   esp authentication-algorithm sha1
   esp integrity-algorithm hmac-sha1-96
   sa duration 3600
   sa lifetime kilobytes 1843200
   quit
   

5. 配置感兴趣流（即需要通过VPN的流量）:

   复制

   ipsec policy map1
   security acl 3000
   quit
   

6. 配置访问控制列表（ACL）:

   复制

   acl number 3000
   rule permit ip source [local-subnet] 0 destination [remote-subnet] 0
   quit
   

7. 应用IPsec策略到接口:

   复制

   interface [interface-name]
   ipsec policy map1
   quit
   

请根据实际情况替换上述命令中的[your-pre-shared-key]、[remote-peer-ip]、[local-ip]、[local-subnet]、[remote-subnet]和[interface-name]等占位符。

在配置之前，请确保已经规划好了网络和安全策略，以及所有相关的网络参数。另外，出于安全考虑，应该使用复杂的预共享密钥，并定期更换。