配置示例基于路由动态

1、4.0R4的动态IPSEC配置示例，朱建英于2010年7月解释。注意：这种情况假设防火墙已经完成了基本的互联网配置。示例功能描述：防火墙FW-A具有合法的静态IP地址，防火墙FW-B的外部网络为PPPOE动态获取的IP地址，其中防火墙FW-A的内部保护子网为192.168.1.0/24防火墙FW-A。要求在防火墙和防火墙之间建立IPSec虚拟专用网络，这样两端的保护子网可以通过虚拟专用网络隧道相互访问。拓扑环境描述，本例采用“预共享密钥认证”机制：步骤1，建议步骤2，建议步骤3，创建虚拟专用网对等体4，创建IPSEC隧道5，创建隧道接口，指定安全域，并将创建的隧道绑定到接口6，添加隧道路由7，

2、添加安全策略，FW-A防火墙配置步骤，定义IKE 1第一步是创建IKE第一阶段建议，定义IKE第二阶段的协商内容，两个防火墙之间应该一致。第二步，创建IKE第二阶段方案，创建虚拟专用网对等体并定义相关参数；第三步，创建虚拟专用网对等体，创建到防火墙FW-B的虚拟专用网隧道，并定义相关参数。第四步是创建IPSEC隧道，创建到防火墙FW-B的VPN隧道，并定义相关参数。创建隧道接口，绑定三层安全域，并将创建的IPSec隧道绑定到它。步骤5，创建一个隧道接口，在路由表中添加一条路由到相对的保护子网，这条路由的下一跳是隧道接口隧道1。步骤6:添加隧道路由，在添加安全策略之前定义代表两端保护子网的地址对

3、象，并在下图中只列出一个地址簿。步骤7:添加安全策略-创建地址簿，添加安全策略，并允许本地虚拟专用网保护子网访问相对的虚拟专用网保护子网。步骤7:添加安全策略，添加安全策略，并允许相对的虚拟专用网保护子网访问本地虚拟专用网保护子网。添加安全策略，FW-B防火墙配置步骤，本例采用“预共享密钥认证”机制，第一步，创建IKE，第二步，第二步，第三步，创建虚拟专用网对等体，第四步，创建IPSEC隧道，第五步，创建隧道接口，指定安全域，并将创建的隧道绑定到接口，第六步，添加隧道路由，第七步，添加安全策略，定义IKE，第一步，第一步，创建IKE第一阶段方案，定义IKE第二阶段的协商内容，两个防火墙之间应保

4、持一致。第二步，创建IKE第二阶段方案，创建虚拟专用网对等体并定义相关参数；第三步，创建虚拟专用网对等体，创建到防火墙FW-B的虚拟专用网隧道，并定义相关参数。第四步是创建到防火墙FW-B的IPSEC隧道和虚拟专用网隧道，并定义相关参数。创建隧道接口，绑定三层安全域，并将创建的IPSec隧道绑定到它。步骤5，创建一个隧道接口，在路由表中添加一条路由到相对的保护子网，这条路由的下一跳是隧道接口隧道1。步骤6:添加隧道路由，在添加安全策略之前定义代表两端保护子网的地址对象，并在下图中只列出一个地址簿。步骤7:添加安全策略-创建地址簿，添加安全策略，并允许本地虚拟专用网保护子网访问相对的虚拟专用网保护子网。步骤7:添加安全策略，添加安全策略，并允许相对的虚拟专用网保护子网访问本地虚拟专用网保护子网。添加安全策略，在两个阶段检查防火墙的隧道状态，检查防火墙状态，在两个阶段检查防火墙状态，检查防火墙状态，1。建立ipsec隧道的条件必须动态获取地址结束触发器，2。隧道接口地址已设置，如果未设置，一端的局域网无法ping通另一个防火墙的内部网络地址；Ping此外，如果设置了隧道地址，可以通过ping防火墙a上的防火墙b的隧道地址来触发.3.IPSEC VPN隧道中代理标识的概念，指的是本地加密子网和对等加密子网。如果两端都是数字中国