场景说明：华为CE16800系列交换机、H3C M9000系列防火墙 OSPFv3 IPSEC认证对接

华为CE16808配置：

ipsec proposal OSPFv3_Proposal  //配置IPSEC的提议
 encapsulation-mode transport  //采用传输模式，这里OSPFv3认证一定要是传输模式
 transform ah //采用AH协议，现网调试的时候如果是esp则无法正常与H3C对接
 ah authentication-algorithm md5 //ah的认证方式两端一致就行
#
ipsec sa OSPFv3_SA  //配置IPsec
 proposal OSPFv3_Proposal //关联相关IPSEC提议
 sa spi inbound ah 2000 //配置in方向SPI索引值，建议in、out一致
 sa string-key inbound ah cipher XXXXXXXXXX //配置in方向认证密钥，建议双向一致，也可以不一致
 sa spi outbound ah 2000
 sa string-key outbound ah cipher XXXXXXXXX
#
interface XXXXXXXX
 ipv6 enable
 ipv6 address XXXXXXXXXXX/XXX
 ospfv3 101 area 0.0.0.0
 ospfv3 ipsec sa OSPFv3_SA  //接口调用OSPFv3的 ipsec sa，通过IPv6报文的AH头来进行认证。

H3C M9000防火墙配置

ipsec transform-set OSPFv3_Trans //与华为没什么区别
 protocol ah
 encapsulation-mode transport
 ah authentication-algorithm md5 
#
ipsec profile OSPFv3_Profile manual
 transform-set OSPFv3_Trans
 sa spi inbound ah 2000
 sa string-key inbound ah cipher xxxxxx
 sa spi outbound ah 2000
 sa string-key outbound ah cipher xxxxxx
#
security-policy ipv6
 rule 0 name XXXX_Local_OSPF&IPsec_Permit
  action pass
  source-zone XXXX
  source-zone XXXX
  destination-zone Local
  service ospf
  service ipsec-ah
#
interface XXXXXXXX
 ospfv3 101 area 0.0.0.0
 ospfv3 ipsec-profile OSPFv3_Profile //接口调用
 ipv6 address XXXXXX/XXX

配置要点：主要是双方设备的IPSEC协议类型，认证算法，封装方式只能选择传输模式，另外华为与其他厂家对接仅能用AH不能选择ESP，否则无法正常对接。 另外就是SPI和认证key，如果双向不一样的话，则需要注意本端in和对端out的密钥对应起来，建议配置成一样的方式，比较简单。