'企業網絡組建實戰第二篇之終章--華為防火牆配置點到點IPSec隧道'

今天是筆者入駐頭條20天整，也是企業組網實戰第二篇的第七章——終章的發佈之日，所以也算是一個小結，希望有興趣的網友關注一下、寫個簡短的評論更好，給筆者一些繼續寫下去的信心，謝謝！

華為稱之為點到點的IPSec隧道，其實就是通過IPSec協議，把兩端的防火牆通過隧道的方式，在internet網絡中貫穿連接，目的是讓分支機構與總部之間無障礙溝通。

還是這個拓樸圖，我們今天的目的，是配置兩臺華為USG6330，使製造中心和研發中心兩地內網互聯

先交待一下兩地內網：

製造中心有三個VLAN，並且這三個VLAN通過核心交換機的三層接口與防火牆級聯：

VLAN125：192.168.125.0/24

VLAN126：192.168.126.0/24

VLAN127：192.168.127.0/24

可以概括為192.168.124.0/22，或者說這樣寫，涵蓋了以上三個VLAN

研發中心有五個VLAN，並且這五個VLAN通過核心交換機的三層接口與防火牆級聯：

VLAN10：192.168.10.0/24

VLAN11：192.168.11.0/24

VLAN12：192.168.12.0/24

VLAN13：192.168.13.0/24

VLAN14：192.168.14.0/24

可以概括為192.168.8.0/21，或者說這樣寫，涵蓋了以上五個VLAN

製造中心使用聯通網絡，固定IP為：157.x.x.x

製造中心使用電信網絡，固定IP為：114.x.x.x

經過前面幾章的配置，防火牆已經完成了internet接入配置，此處不再重複

一、製造中心防火牆配置：

1、新建4條安全策略：

（1）允許製造中心到研發中心的安全策略：

（2）允許研發中心到製造中心的安全策略：

（3）從Untrunst到Local的域間安全策略：

（4）從Local到Untrunst的域間安全策略：

2、配置到達對端的默認路由

3、新建IPSec策略

4、配置數據流加密規則

二、製造中心防火牆配置，配置步驟都一樣的，就不再浪費篇幅重複寫了。配置完成後，確認連接狀態

三、雖然顯示已成功連接，但是兩端內網卻不通，製造中心內網的計算機，無法ping通研發中心的服務器及PC，但是能ping通研發中心的防火牆的LAN口IP，經過排查發現，還需要配置：不做策略路由

四、測試兩端內網，已經正常通訊，如下圖所示：

製造中心ping通研發中心，並且上網是通過自己的聯通網絡

研發中心ping通製造中心，並且上網是通過自己的電信網絡

至此，企業網絡組建實戰第二篇終結，後面第三篇，是Windows Server標準域環境的搭建，歡迎關注、評論和指正