案例分享:华为防火墙配置点到点IPSEC VPN

本文通过一个案例简单来了解一下Site-to-Site IPSec VPN 的工作原理及详细配置。

USG6630防火墙两台，AR2220路由一台，PC机两台

1、配置FW1接口IP地址，并且把GE1/0/1加入到untrust区域，GE1/0/6加入到trust。

2、配置 FW2 接口 IP 地址，并且 GE1/0/2 加入 Untrust 区域，GE1/0/6 加入Trust 区域。

配置FW1和FW2的默认路由。

1）、定义需要保护的数据流

2）、配置 IKE 安全提议

3）、配置 IKE 对等体

4）、配置 IPSec 安全提议

5）、配置 IPSec 策略

6）、应用 IPSec 安全策略到出接口

1）、配置从 Trust 到 Untrust 的域间策略

2)、配置从 Untrust 到Trust 的域间策略

到此两台防火墙已经放通了从Trust 到 Untrust和从Untrust到 trust的域间策略，现在从PC1发ping包看看吧。

1)、定义服务集

2)、在防火墙上放通策略

到此，所有需要的策略都放通了，接着来验证一下吧，首先还是从PC1发起PING包，接着，在FW1查看会话表项，如下图

如图所示，总部网络A和分支机构网络B之间采用网关对网关的组网模式进行资源传输。网络A和网络B分别通过FW_A和FW_B连接到Internet，通过手工方式创建IPSec VPN隧道，提高网络通信的安全性。

打开ENSP软件，按如下拓朴图创建实验环境， 设置地址:

先设置PC1的IP地址

再配置交换机

先设置PC2的IP地址

再配置交换机

至此，两个网络之间的互连互通已经完成

再次使用ping命令，以激活ike，使用"display ike sa"查看运行情况:

华为模拟器eNSP软件 ，

华为模拟器eNSP社区 ，

HCNA-Security 华为认证网络安全工程师 ，

HCNP-Security 华为认证网络安全资深工程师 ，

HUAWEI USG6000V V500R001C10SPC100 典型配置案例 ，

HUAWEI USG6000V V500R001C10SPC100 管理员指南 ，

HUAWEI USG6000V V500R001C10SPC100 命令参考 ，

华为ICT相关的英文简称 。

---