联想网御科技（北京）有限公司 NAT环境下网关网关IPSec VPN案例背景企业的两个分公司各用一台防火墙做网关，既要保证内网用户通过防火墙访问互联网，又要实现分公司内网之间通过IPSEC VPN进行互联，这是防火墙最基本的功能配置，本案例将介绍配置步骤和注意事项。案例拓扑配置步骤1 按拓扑图配置几个接口的IP地址。其中，PC1和PC2分别将网关指向连接防火墙的接口Fe1的地址。防火墙中的默认网关指向所连接的路由器接口地址。2 分别在两台防火墙上添加NAT规则，将内网访问外网的数据的源地址改为防火墙外网口地址，以FW1为例： 3 配置两台防火墙的vpn设备将防火墙对外出口物理设备绑定在ipsec0上，以FW1为例。 4 在两台防火墙上配置网关端型远程VPN，远程VPN地址配置对端防火墙的外网地址，类型选择网关，以FW1为例 5 两台防火墙上配置网关型隧道，添加正确的本地保护子网和对端保护子网，默认包过滤策略建议选择“包过滤”，以FW1为例 6 在隧道见监控中启动隧道，确认隧道建立成功。7 分别在两台防火墙上各配置2条IPSEC 包过滤策略，源地址和目的地址分别是两端的保护子网。以FW1为例8 配置到这里，两端的保护子网还是无法互相访问的，原因是内网访问外网时，源地址都会被修改，无法进入隧道。所以，在两台防火墙上还要各配置一条允许通过的NAT规则，插入到原来配置的那条NAT规则之前，源地址和目的地址是2个保护子网，以FW1为例 验证和调试1配置完成后，PC1和PC2应该可以互相访问。第7页声明：文档所包含文字和图片版权均属联想网御科技（北京）有限公司所有，任何单位或个人不得擅自出版或发行，违者必究