两台IR615和华为USG6335E建IPsecVPN

华为防火墙作为中心网关，两台IR615路由器作为分支节点，与中心网关建立IPSecVPN隧道，对中心网关子网（10.168.1.0/24）和路由器IR615-1的子网（10.168.2.0/24）、路由器IR615-2的子网（10.168.3.0/24）之间的数据流进行安全保护。安全协议采用ESP，加密算法采用3DES，认证算法采用MD5，组网拓扑如下：

组网环境：

l USG6335E：具有公网地址111.113.24.230；

l IR615：使用SIM卡拨号上网，获得的ip地址为非公网ip；

l 防火墙端设备均在10.61.92.1/24这一网段，IR615下连设备在10.168.2.0/24和10.168.3.0/24这两个网段；

l 基本上网配置已经完成，两台IR615均能ping通防火墙上的公网地址。

配置步骤：

1、 配置华为防火墙

第一步：进入网络—>>接口界面，配置WAN口地址已经打开WAN口ping功能。

第二步：进入IPSec配置界面配置基本参数如下。

第三步：配置安全区域untrust—trust两区域之间互通的安全策略

第四步：配置NAT策略，使trust区域的10.61.92.0/24导IR302的两个子网地址不做NAT转换

2、 配置两台IR615

第一步：进入VPN—>>IPSec隧道配置界面，配置参数。

3、 结果验证

华为防火墙：隧道建立成功

IR615：隧道建立成功

PC：防火墙侧子网PcpingIR302的子网地址