首先,当然第一件事情,是要理清思路了,这一点对一个工程师来讲是必须且非常重要的一步。


第一步,新建IPsec-***。

第二步,配置第一阶段相关参数。(高级可选参数,DPD对端存活检测/NAT穿越都可以勾选上,这个不是协商参数)

第三步,配置第二阶段相关参数。注意(如果俩端都是山石设备,即可以不用配置代理ID,选择自动即可,若不是,请填写代理ID。PS:代理ID只是协商让IPsecUP的一项参数,并非定义感兴趣)

        高级可选参数中,将自动连接、×××隧道监测、×××隧道状态通知勾选。

第四步,配置tunnel接口,注意建立独立zone,并在配置时绑定刚刚建立的Ipsec

第五步,(可选,但一般为了优化,都会建立一条目的路由===对端公网/32位到本地公网接口的网关)

第六步,写目的路由tunnel接口到对端内网的路由,注意IP/掩码(10.1.1.0/24)

第七步,策略开放,这里可写any可精确到本地内网和对端内网。

        配置思维。DMZ区域流量通过tunnel接口区域-访问对端内网主机,并建立双向策略。


好了,不多说,上菜!!


第一步:建立IPsec ×××。IPsec ×××---新建,如下图所示。

wKiom1W4Z5eBSF9SAAGBk9invhk459.jpg

   第二步:配置IKE的第一阶段参数。

            对端名称:命名-最好规范写方便维护

            接口: