ike proposal 3 （创建ike提议‘3’）
 encryption-algorithm aes-256 3des des （数据封装加密算法）
 dh group2 （dh组）
 authentication-algorithm sha1 （认证算法：sha1）
 authentication-method pre-share（认证方式：预共享密钥）
 integrity-algorithm hmac-sha1-96 （完整性算法）
 prf hmac-sha1 （配置IKEv2协商时所使用的伪随机数产生函数的算法（简称PRF算法））

ipsec proposal prop29114194475（创建ipsec提议‘prop29114194475’）
 encapsulation-mode auto（封装模式：自动）
 esp authentication-algorithm sha1 （esp认证算法：sha1）
 esp encryption-algorithm aes-256（esp加密算法：aes-256）

ike peer ike291141944751（建立ike对等体名称‘ike291141944751’）
 exchange-mode auto（指定IKEv1阶段1的协商模式为自适应模式。此模式下，当设备作为IKE协商发起端时，采用主模式协商；当设备作为接收端时，可以接受主模式和野蛮模式两种协商模式。）
 pre-shared-key Smcc_123456!@（配置对等体IKE协商采用预共享密钥认证时所使用的预共享密钥:Smcc_123456!@）
 ike-proposal 3（关联上面创建的ike提议‘3’）
 remote-id-type none（命令用来配置IKE协商时对端的ID类型。配置为‘none’IKE协商时不校验对端ID类型和对端ID。）
 local-id 172.31.3.1（本地id标识：‘172.31.3.1’）

ipsec policy-template tpl291141944751 1 （命令用来创建IPsec策略模板：tpl291141944751，编号：1）
 security acl 3002（关联安全控制策略‘3002’匹配的业务数据流）
 ike-peer ike291141944751（关联上面创建的‘ike peer对等体名称’）
 proposal prop29114194475（关联上面创建的‘ipsec提议’）
 tunnel local 172.31.3.1（用来配置隧道的本端地址‘172.31.3.1’）
 alias 电信-CPE （别名：‘电信-CPE’）
 sa duration traffic-based 1843200（ 配置IPsec安全框架的安全联盟硬生存周期为1843200KB。）
 sa duration time-based 3600（配置IPsec策略的安全联盟硬生存周期为3600秒）
 route inject dynamic（配置动态路由注入功能）

acl number 3002（业务数据流的安全策略）
 rule 10 permit ip source 192.168.5.0 0.0.0.255 destination 10.5.1.0 0.0.0.3（表示就是服务器地址：192.168.5.0/24到终端地址：10.5.1.1/30之间的业务流量会走ipsec隧道进行加密）
 rule 15 permit ip source 192.168.5.0 0.0.0.255 destination 10.5.1.4 0.0.0.3（表示就是服务器地址：192.168.5.0/24到终端地址：10.5.1.5/30之间的业务流量会走ipsec隧道进行加密）
ipsec policy ipsec2911419438 10000 isakmp template tpl291141944751（建立IPsec策略名称为‘ ipsec2911419438’，序号为10000的ISAKMP方式IPsec策略，并关联IPsec策略模板：tpl291141944751）
interface 10GE0/0/4（防火墙建立ipsec隧道的端口）
 description DX（描述作用，可以不要）
 ip address 172.31.3.1 255.255.255.248（配置IP地址，这步不需要）
 service-manage ping permit（不需要）
 ipsec policy ipsec2911419438 （在该接口调用上面创建的IPsec策略‘ ipsec2911419438’）