IPSEC配置指的是IPSec在IP层通过加密与数据来源认证等方式，来保证数据包在网络上传输时的私有性、真实性、数据完整性和抗重放。今天河姆渡小编向大家介绍有关防火墙配置中“基于路由动态IPSEC”的内容

　　一、网络拓扑
　　二、需求描述

　　防火墙FW-A具有合法的静态IP地址，防火墙FW-B外网为PPPOE动态获取IP地址 其中防火墙FW-A的内部保护子网为192.168.10.0/24，防火墙FW-B的内部保护子网为192.168.100.0/24。要求在FW-A与FW-B之间创建IPSec VPN，使两端的保护子网能通过VPN隧道互相访问。
　　三、配置步骤

　　首先看下FW-A防火墙的配置 

　　第一步：创建IKE第一阶段提议
　　点击网络/IPSECVPN 处P1 提议中定义IKE第一阶段的协商参数，两台防火墙的IKE第一阶段协商内容需要一致。

　　第二步：创建IKE第二阶段提议
　　点击网络/IPSEC VPN处P2提议中定义IKE第二阶段的协商内容，两台防火墙的第二 阶段协商内容需要一致。

　　第三步：创建对等体（peer）
　　在网络/IPSECVPN处，在VPN对端列表中新建对端，并定义相关参数。

　　第四步：创建隧道
　　点击网络/IPSECVPN处，IPSECVPN中创建到防火墙FW-B的VPN隧道，并定义相关参数。首先要导入创建好的对端。

　　第五步：创建隧道接口并与ipsec绑定

　　在网络连接中新建隧道接口指定安全域并绑定IPSEC隧道。

　　第六步：添加隧道路由

　　在网络/路由/目的路由中新建一条路由，目的地址是对端加密保护子网，网关为创建的tunnel口。

　　第七步：添加安全策略 

　　在创建安全策略前首先要创建本地网段和对端网段的地址簿，如下图：

　　在安全/策略中新建策略，允许本地VPN保护子网访问对端VPN保护子网。

　　允许对端VPN保护子网访问本地VPN保护子网。

　　关于FW-B防火墙的配置步骤与FW-A相似，以下是配置步骤：

　　第一步，创建IKE第一阶段提议

　　第二步，创建IKE第二阶段提议

　　第三步，创建VPN对端

　　第四步，创建IPSEC隧道

　　第五步，创建隧道接口，指定安全域，并将创建好的隧道绑定到接口

　　第六步，添加隧道路由

　　第七步，添加安全策略 

　　1、创建IKE第一阶段提议

　　点击网络/IPSECVPN 处P1 提议中定义IKE第一阶段的协商参数，两台防火墙的IKE第一阶段协商内容需要一致。

　　2、创建IKE第二阶段提议

　　点击网络/IPSEC VPN处P2提议中定义IKE第二阶段的协商内容，两台防火墙的第二 阶段协商内容需要一致。

　　3、创建对等体（peer）

　　在网络/IPSECVPN处，在VPN对端列表中新建对端，并定义相关参数。

　　4、创建隧道

　　点击网络/IPSECVPN处，IPSECVPN中创建到防火墙FW-B的VPN隧道，并定义相关参数。首先要导入创建好的对端。

　　5、创建隧道接口并与ipsec绑定

　　在网络连接中新建隧道接口指定安全域并绑定IPSEC隧道。

　　6、添加隧道路由

　　在网络/路由/目的路由中新建一条路由，目的地址是对端加密保护子网，网关为创建的tunnel口。

　　7、添加安全策略 

　　在创建安全策略前首先要创建本地网段和对端网段的地址簿，如下图：
　　在安全/策略中新建策略，允许本地VPN保护子网访问对端VPN保护子网。

　　允许对端VPN保护子网访问本地VPN保护子网。

　　8、验证测试

　　查看防火墙FW-A上的IPSecVPN状态：

　　查看防火墙FW-B上的IPSecVPN状态：

　　注意事项：

　　1、需要ipsec隧道建立的条件必须要动态获取地址端触发。

　　2、tunnel接口地址设置，如果未设置，从一端局域网无法ping通另外一端防火墙内网口地 址；另外如果设置了tunnel地址，可以通过在防火墙A上ping防火墙B 的tunnel地址 来实现触发。

　　3、在IPSECVPN隧道中关于代理ID的概念，这个代理ID是指本地加密子网和对端加密 子网。如果两端都为神州数码多核防火墙该ID可以设置为自动；如果只是其中一端为多核墙，那必须要设置成手工。

　　4、如果防火墙一端为动态获取IP地址，设置VPN对端中使用野蛮模式。