一、配置netscreen防火墙上互联网
       netscreen防火墙作为vpn的核心，可以与多分部的vigor路由器之间建立vpn通道。
1、配置lan(E1) 口IP：192.168.1.1 255.255.255.0 ，端口选 nat 模式。
2、配置wan(E3) 口IP：10.1.1.1 255.255.255.0 ，端口选 route 模式。
3、配置lan口到wan口(trust-untrust)的访问策略:Any Any ANY permit

二、配置VPN
netscreen防火墙：

1、Please click " Objects " - " Address " - " List " field on the left menu.
   Select " Trust " and click New to add Netscreen's LAN address.
   如：LAN_inside 192.168.1.0/24 

2、Please click " Objects " - " Address " - " List " field on the left menu.
   Select " Untrust " and click New to add Vigor's LAN address.
   如：LAN_vigor 176.16.1.0/24 

3、Please click " VPN " -? " AutoKey Advanced " on the left menu and click New to add the Gateway,。
   如：Gateway Name：VPN_test ,选custom
       Select Dynamic IP Address。
       Type the Peer ID，如：test 
       Type the Preshared Key ，如：test@vpn.com
       
       click Ok  ，Click Advanced，Select the Proposal for Vigor Router.(pre-g1-des-md5)
       Select aggressive mode.
       Click Return

4、Please click " VPN " - " AutoKey IKE" on the left menu and click New to add the AutoIKE.
   Type the VPN Name：Core-test. 选custom。
   Select Remote Gateway which you set in the AutoKey Advanced：predefined -- VPN_test
   Click Ok.
   Click Advanced. (phase 2 proposal选 nopfs-esp-des-md5),在VPN Monitor 后打勾。

5、Please click "Policy" on the left menu.
   Select source Address which is local LAN： LAN_inside
   Select Destination Address which is Vigor's LAN：LAN_test
   Select Service ：any
   Select "Tunnel" of Action.
   Select VPN tunnel which you set in AutoKey IKE(P2) ：Core-test 
   在Modify matching bidirectional VPN policy 前打勾。
   and then click ok.

6、Please click "Policy" on the left menu.
   Select source Address which is Vigor's LAN： LAN_test
   Select Destination Address which is Local LAN： LAN_inside
   Select Service ： any
   Select "Tunnel" of Action.
   Select VPN tunnel which you set in AutoKey IKE(P2) ：Core-test 
   and then click ok.

vigor路由器端：

1. Common Settings:
   a. Type the Profile Name : vigor 
   b. Select "Enable this Profile".
   c. Select Dial-Out and set the Idle Timeout as 0 to retain this tunnel till terminated by the remote site.
   d. If Always on is selected, please select "Enable PING to Keep alive and type the any remote network IP in the "PING to the IP" field, Vigor will try to reconnect if the tunnel is broken.

2. Dial-Out Settings:
   a. Enable the IPSec tunnel.
   b. Type the IP address or host name of VPN server : 10.1.1.1
   c. Type the IKE Pre-shared Key : test@vpn.com
   d. Enable the IPSec Security Method.选高等(ESP) "DES 有验证"
   e. click the Advance button. Enable the "Aggressive mode" and type the Local ID (you may use IP address, email, or a string as       
        Peer ID) :  test

3. TCP/IP Network Settings: 
   Fill in the Remote Network IP and Remote Network mask : 192.168.1.0 255.255.255.0
   and click more：add 192.168.2.0/24、192.168.3.0/24