拓扑图
基本配置
ISP
sy
sy ISP
int g0/0/0
ip add 200.1.1.1 24
int g0/0/1
ip add 200.1.2.1 24
q
int l0
ip add 1.1.1.1 32
q
防火墙
初始用户名:admin
密码Admin@123
修改过的密码为QWEasd123
sy
sys FW1
int g0/0/0
ip add 192.168.220.10 24
q
图形界面
第一台防火墙
网络-接口g1/0/0
安全区域:untrust
IP:200.1.1.10/24
默认网关:200.1.1.1
网络-接口g1/0/1
安全区域:trust
IP:192.168.10.254/24
配置静态路由
出接口g1/0/0
下一跳 200.1.1.1
IPsec
策略名称IPsec
本段接口:g1/0/0
本端地址:200.1.1.10
对端地址:200.1.2.20
预想密钥:huawei@123
本端ID:IP地址 200.1.1.10
对端ID:IP地址 200.1.2.20
新建策略
出
名称:IPsec
源安全区域:local
目的安全区域:untrust
服务
esp
新建一个udp 500
安全策略
入
名称:IPsec1
加密数据流
源地址:192.168.10.0/24
目标地址:192.168.20.0/24
新建策略
向外发的安全策略
名称:pc1-pc2
源安全区域:trust
目标安全区域:untrust
新建安全策略
向里发的安全策略
名称:pc2-pc1
源安全区域:untrust
目标安全区域:trust
安全提议不用修改
直接应用
查看一下写的安全策略
第二台防火墙
防火墙
初始用户名:admin
密码Admin@123
修改过的密码为QWEasd123
sy
sys FW2
int g0/0/0
ip add 192.168.220.20 24
q
接口g1/0/0
接口g1/0/1
配置静态路由
新建策略1
新建策略2
待加密的数据流
查看建成的安全策略
添加两条路由
可加可不加
FW1
FW2
测试
pc1ping pc2
不通
安全策略中的defaults放行后
可以通过
说明安全策略出现错误
查错
注意安全策略
用命中次数来排查
FW1
FW2
再次通信
通信成功