本文介绍一下华为防火墙上IPSEC 虚拟专网的配置方法,本范文内没有计划NAT相关事项。

clipboard


配置步骤:

一、 配置接口

二、 配置安全区域

三、 配置安全策略

四、 配置静态路由

五、配置IPSEC

1. ike proposal

2. ike peer

3. ipsec proposal

4. ACL

5. ipsec policy

#调用ACL、IPSEC Proposal、ike peer

6. 在公网接口下调用IPSEC policy




详细配置

一、 配置接口

#第一步是配置接口的IP地址,将公网、内网接口都配置上IP

interface GigabitEthernet1/0/1

ip address 1.1.3.1 255.255.255.0

#

#

interface GigabitEthernet1/0/3

ip address 10.1.1.1 255.255.255.0

二、 配置安全区域

# 将内网接口g1/0/3配置到Trust区域,外网接口G1/0/1配置到Untrust区域

firewall zone trust

add interface GigabitEthernet1/0/3

#

firewall zone untrust

add interface GigabitEthernet1/0/1

三、 配置安全策略

# 配置安全策略,这里做了四个策略

# 第1个策略是本防火墙Tust到对端的内网IP网段的安全策略。

#第2个策略是对端的内网IP网段到本防火墙的Trust区域的安全策略。

#第3个策略是本端公网IP与对端公网IP之间的安全策略

#第4个策略是对端公网IP与本端公网IP之间的安全策略

security-policy

rule name policy1

source-zone trust

destination-zone untrust

source-address 10