usg防火墙ipsecvpn配置.doc

场景 公司的网络分为总部区域、分部网络和分支办公室三个部分。要求分部Trust区域的用户和分支办公室能够访问总部Trust区域。传输的数据需要加密。步骤一:基本配置<Huawei>system-view[Huawei]sysnameR1[R1]0/0/1[R1-0/0/1][R1-0/0/1]interfaceSerial1/0/0[R1-Serial1/0/0][R1-Serial1/0/0]interfaceloopback0[R1-LoopBack0][Huawei]sysnameR2[R2]0/0/2[R2-0/0/2][R2-0/0/2]interfaceSerial1/0/0[R2-Serial1/0/0][R2-Serial1/0/0]interfaceloopback0[R2-LoopBack0][Huawei]sysnameR3[R3]interfaceSerial2/0/0[R3-Serial2/0/0][R3-Serial2/0/0]interfaceloopback0[R3-LoopBack0] 配置FW1和FW2防火墙<USG2100>system-view[USG2100]sysnameFW1[FW1]0/0/0[FW1-0/0/0][FW1-0/0/0]2/0/0[FW1-2/0/0][FW1-2/0/0]interfacevlanif1[FW1-Vlanf1]undoipaddress<USG2100>system-view[USG2100]sysnameFW2[FW2]0/0/0[FW2-0/0/0][FW2-0/0/0]2/0/0[FW2-2/0/0][FW2-2/0/0]interfacevlanif1[FW2-Vlanf1]undoipaddress[FW1]firewallzoneuntrust[FW1-zone-untrust]2/0/0[FW1-zone-untrust]0/0/0[FW1-zone-untrust]quit[FW1]rust[FW1-zone-trust]0/0/0[FW2]firewallzoneuntrust[FW2-zone-untrust]2/0/0[FW2-zone-untrust]0/0/0[FW2-zone-untrust]quit[FW2]rust[FW2-zone-trust]0/0/0步骤二:配置区域的安全过滤[FW1]firewallpacket-rustuntrust//允许trust访untrust区域[FW1]firewallpacket-filterdefaultpermitinterzonelocaluntrust[FW2]firewallpacket-rustuntrust[FW2fi