华为防火墙IPSec

目录

一， 配置接口地址 

二 配置互通

三 配置ipsec

fw2配置

fw1配置

四 完成互通

---

---

一， 配置接口地址 

按照上图配置接口的地址 

同时配置nat策略和默认路由 

---

###配置路由器地址
[Huawei]int g0/0/0
[Huawei-GigabitEthernet0/0/0]ip ad	
[Huawei-GigabitEthernet0/0/0]ip address 1.1.1.2 24
[Huawei-GigabitEthernet0/0/0]int g0/0/1
[Huawei-GigabitEthernet0/0/1]ip address 2.2.2.2 24
[Huawei-GigabitEthernet0/0/1]



##防火墙easy ip配置
[USG6000V1-policy-nat]dis this
2022-10-11 12:05:10.840 
#
nat-policy
 rule name shangwang
  destination-zone untrust
  action source-nat easy-ip

配置缺省路由

二 配置互通

当所有的ip地址，nat和静态路由配置完成，使用pc能够pi通路由器ar1设备的外网口

但是的流量是要通过防火墙处理，那么还需要配置local到untrust区域互通

命令行配置如下

[USG6000V1]security-policy 
 rule name lo_unt     ##让防火墙本身可以ping通任何地址
   source-zone local
   destination-zone untrust
   action permit
  rule name unt_lo    ##外网区域可以通往内网任意地址 
   source-zone untrust
   destination-zone local
   action permit

##直接复制即可

 或者可以更将精确一些

 ##从对方发出的流量可以达到我的防火墙  当不知道对方ip地址不写也是可以的

三 配置ipsec

fw2配置

##本端地址选择自己的公网ip 对端选择对方的公网ip 

##将client2访问服务器 

fw1配置

四 完成互通

此时发现还是不能访问server1网站

1.查看会话表，发现172地址转发出去是以nat转发 而ipsec建立的隧道是以私网地址建立的

所以要将将nat除去

 2.fw1上并没有配置untrust区到dmz区域的流量放行

配置安全策略 放行流量