标签：配置 安全策略 防火墙 详解 NAT 内网 路由 IPsec

两台华为usg6300系列防火墙配置IPsec详解

条件：
FW1:
FW1 FW2
出口线路： 111.111.111.146 222.222.222.150
内网vlan 192.168.100.0/24 172.16.100.0/24

通过配置IPsec***实现两端内网互访。

配置步骤：
FW1：

1. 配置出口线路正常访问外网：

点击网络 - 接口：
配置 wan0/0/1口为untrust口，IP地址为111.111.111.146/30，网关：111.111.111.145

配置静态路由：

点击 网络 - 静态路由，新增一条静态路由，放通所有包从wan0/0/1出局访问外网。

配置安全策略

配置一条安全策略，放通内网访问外网：

配置一条NAT策略，实现代理上网：
点击策略 - NAT策略，新建一条NAT策略，配置源地址做NAT地址转换：

2. 配置IPsec

点击网络 - IPsec ，新建一条IPsec，选择点对点模式：
第一阶段：

第二阶段：

3. 配置静态路由：
   点击网络 - 静态路由：
   新建一条到对端内网vlan的静态路由，下一跳为该出口线路的网关：
   

再建立一条黑洞路由，防止路由环路：

4. 配置安全策略：
   点击策略 - 安全策略，新建一条安全策略，放通本段vlan到对方内网vlan的访问。
   在路由上可以放通整个大段，然后通过安全策略指定具体放通哪些vlan：
   

再配置一条返回访问的安全策略：
允许对端哪些vlan可以访问内网：

配置防火墙本身到外网的安全策略：

在配置一条NAT策略，指定内网之间访问不做NAT地址转换：

到此，FW1已配置完毕，现在来配置FW2：

FW2：

1. 同样配置出口线路能正常上网。
   点击网络 - 接口：
   配置接口IP：
   

配置静态路由：
点击网络 - 路由 - 静态路由：

配置安全策略：
点击策略 - 安全策略：
放通内网以及防火墙本身到外网的访问：

配置防火墙到内网的互访：

配置NAT策略，实现源地址转换：

好了，到此，内网应该可以正常访问外网，以及防火墙也能正常访问外网了。

2. 配置IPsec
   点击网络 - IPsec，新建 IPsec：
   第一阶段：
   

第二阶段：

两端的配置必须保持一致，否则会协商不成功。

3. 配置静态路由：
   配置到对端防火墙的静态路由：
   

配置到对端内网的静态路由：

配置到对端内网的黑洞路由，放置路由环路：

4. 配置安全策略：
   配置安全策略，放通本段vlan访问对端内网：
   

配置反向安全策略，放通对端vlan访问本地内网：

5. 配置NAT策略
   点击 策略 - NAT策略，新建一条NAT策略，实现两端互访不做NAT转换。
   

两端配置好后，IPsec应该协商成功，可以实现互访

6. 验证：
   到此，配置完毕，可以在内网ping或tracert -d 对端IP 跟踪路由，来验证两端是否互访正常。

标签：配置,安全策略,防火墙,详解,NAT,内网,路由,IPsec
来源： https://blog.51cto.com/2221384/2677917

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。