![]()
路由器 IPSec
华为防火墙作为中心网关,两台IR615
路由器作为分支节点,与中心网关建立IPSecVPN
隧道,对中心网关子网(10.168.1.0
/24
)和路由器IR615-1
的子网(10.168.2.0/24
)、路由器IR615-2
的子网(10.168.3.0/24
)之间的数据流进行安全保护。安全协议采用ESP
,加密算法采用3DES
,认证算法采用MD5
,组网拓扑如下:
组网环境:
l USG6335E
:具有公网地址111.113.24.230
;
l IR615
:使用SIM
卡拨号上网,获得的ip地址为非公网ip;
l 防火墙端设备均在10.61.92.1
/24
这一网段,IR615
下连设备在10.168.2.0/24
和10.168.3.0
/24
这两个网段;
l 基本上网配置已经完成,两台IR615
均能ping通防火墙上的公网地址。
配置步骤:
1、
配置华为防火墙
第一步:进入网络—
>>
接口界面,配置WAN
口地址已经打开WAN
口ping功能。
第二步:进入IPSec配置界面配置基本参数如下。
第三步:配置安全区域untrust—
trust两区域之间互通的安全策略
第四步:配置NAT
策略,使trust区域的10.61.92.0/24
导IR302
的两个子网地址不做NAT
转换
2、
配置两台IR615
第一步:进入VPN—
>>
IPSec隧道配置界面,配置参数。
3、
结果验证
华为防火墙:隧道建立成功
IR615
:隧道建立成功
PC
:防火墙侧子网Pc
pingIR302
的子网地址
更多回帖
