阶段二安全提议：选择阶段二协商时所使用的参数，包括所使用的协议、加密算法、认证算法、是否启用密钥完美向前保密（PFS）；其中数据包封装所使用的协议包括AH、ESP协议；数据加密所使用的加密算法包括DES、3DES、AES、AES192、AES256、SANGFOR_DES、SM1、SM4；选择数据认证的认证算法包含MD5、SHA1、SHA2-256、SHA2-384、SHA2-512、SM3；PFS所使用的DH组算法。

优先级：设置本端地址和对端地址优先级用于标识路由优先级。

配置完成，点击<确定>即可。

点击<高级配置>，进入IKE和IPSec配置界面。

[IKE配置]界面各配置项说明：

IKE版本：选择IKEv1或者IKEv2版本，需要和对端保持一致。

连接模式：包括主模式和野蛮模式两种类型。主模式适用于双方均为固定IP或者一方固定IP一方动态域名方式，并且不支持NAT穿透；野蛮模式适用于其中一方为拨号的情况，并且支持NAT穿透；根据客户实际需求场景选择主模式或者野蛮模式。

主动连接：用于控制设备是否主动发起建立VPN的连接。

本端身份类型：设置本端身份类型，保证对端可以识别到本端设备。该类型包括：IP地址（IPV4_ADDR）、域名字符串（FQDN）、用户字符串（USER_FQDN）三种类型。

本端身份ID：按照本端身份类型所选择的类型进行配置。

对端身份类型：设置对端身份类型，保证本端可以识别到对端设备。该类型包括：IP地址（IPV4_ADDR）、域名字符串（FQDN）、用户字符串（USER_FQDN）三种类型。

对端身份ID：按照本端身份类型所选择的类型进行配置。

IKE SA超时时间：标准IPSEC协商的第一阶段存活时间，只支持按秒计时方式。

D-H群：设置Diffie-Hellman密钥交换的群类型，包括1、2、5、14、15、16、17、18八种，请与对端设备配置保持一致。

DPD：IPSEC使用DPD（Dead Peer Detection）功能来检测对端Peer是否存活。

NAT-T：NAT-T在野蛮模式下才会有，主要作用是避免有一方设备处于NAT之后导致标准IPSEC协商失败。NAT穿透启用后会增加UDP头封装ESP报文，当ESP报文穿越NAT设备时，NAT设备对该报文的外层IP头和增加的UDP报头进行地址和端口号转换，转换后的报文到达IPSec隧道对端时，与普通IPSec处理方式相同。

检测间隔：设置DPD、NAT-T的检测间隔。

超时次数：设置DPD、NAT-T的检测超时次数，多次检测超时后，设备会认为对端失效而断开连接。

阶段一安全提议：选择阶段一协商时所使用的参数，包括加密算法、认证算法；其中数据加密所使用的加密算法包括DES、3DES、AES、AES192、AES256、SANGFOR_DES、SM1、SM4；选择数据认证的认证算法包含MD5、SHA1、SHA2-256、SHA2-384、SHA2-512、SM3。

配置完<IKE配置>之后，点击<IPSec配置>进入IPSec配置界面。

IPSec配置各项说明如下：

重试次数：设置标准IPSec VPN的重试连接次数。

IPSec SA超时时间：设置IPSec SA对应的超时时间。

过期时间：勾选启用或者禁用，来选择标准IPSec VPN隧道是否有过期时间。

完成IKE和IPSec配置后，点击<确定>，返回主界面。

主界面配置确认无误后，最后点击<提交>。