跨地區聯網辦公最經濟實惠的方式，莫過于ipsec vpn，筆者此前也不止一次地寫過ipsec vpn的配置方法，但是總有網友說太復雜了，今天我非要給各位看官來個簡單版的教程，只用10張圖片，就能展示華為防火墻配通外網，并且配通總部與分支機構的ipsec vpn。

總部與分支機構的網關設備相同，都是華為防火墻，型號為USG6330，缺點是安全授權都過期了，有待續費；密碼忘記了，原配置也沒有了，所以啟動時直接按Ctrl+B，恢復出廠設置。

說好了，10張圖片，把防火墻配置上網，并且配通ipsec vpn，下面正式開始：

第一圖：配置接口IP;

G0/0/0是管理接口，默認為192.168.0.1，因為與G1/0/1網段相同，所以必須修改；

G1/0/0是內網接口，配置IP為10.2.2.1/24；

G1/0/1是外網接口，配置IP為192.168.0.2/24，實際應該填寫運營商給的IP地址，此處因為我有上層路由，所以填寫的是上層路由給的IP；

第二圖：在內網接口上配置DHCP服務；

正常來說，DHCP一般是配置在交換機上，但是客戶環境里面只有傻瓜交換機，所以只能在防火墻上配置DHCP了，注意保留IP，是預留給服務器、打印機以及硬盤錄像機等需要固定IP的設備了；

第三圖：配置靜態路由，此處也稱為默認路由；

目的地址：0.0.0.0/0 即指互聯網任意IP，下一跳此處為光貓IP地址；不寫這條路由，是不能上網的；

第四圖：配置安全策略，放通trust（內網）到untrust（外網）的訪問，不寫這條安全策略，是不能上網的；這就是防火墻和路由器的區別之處；

第五圖：配置源NAT，就是地址轉換，不寫這條，同樣不能上網，哈哈，是不是覺得挺麻煩的；

經過以上配置，電腦已經可以上網了，緊接著開始配置ipsec vpn，以便使總部和分支機構的網絡能互通。

第六圖：配置ipsec策略，場景：因為是總部，所以選擇點到多點，如果是分支機構，那就選擇點到點；對端接入類型：分支網關，L2TP是指筆記本電腦或者手機遠程撥入；基本配置里面，名稱隨便寫，無所謂； 本端接口當然是外網接口，本端地址是外網，實際應該填寫運營商給的IP地址，此處因為我有上層路由，所以填寫的是上層路由給的IP；下面的“本端ID”也是同樣情況；

撥號用戶配置，即筆記本電腦或者手機遠程撥入的相關配置，主要是確定了L2TP的認證模式，以及IP地址池；

第七圖：配置加密數據流：第一行是定義總部內網到分支機構內網的加密數據流； 第二行是定義總部內網到遠程撥入用戶的加密數據流；第三行是L2TP撥入UDP協議的加密數據流；

第八圖：配置ipsec相關的安全參數，兩端必須相同，筆記本電腦或者手機也必須配置相同參數，因為某些設備可能不支持過高的DH組，所以此處也勾選了5，如果沒有陣舊的設備接入，則不建議勾選DH5；

第九圖：配置安全策略：1、放行總部到分支的通訊； 2、放行分支到總部的通訊； 3、放行untrust到local的通訊，由于分支機構沒有固定的IP，所以此處不能限定IP地址； 4

放行local到untrust的通訊； 注意：local是指防火墻本身；

第十圖：這是個關鍵點，很多人沒做這步操作，所以哪怕是兩端的防火墻已經成功地建立了ipsec vpn，兩端的內網還是無法通訊的。

這條源NAT策略的意思是，從總部內網訪問分支的內網，不做地址轉換，如果沒有這個配置，那么默認為轉換，那數據流量就走到公網出去了，而不會從ipsec隧道走，那當然不會有回包了，所以兩端無法互訪。

分支機構的防火墻配置方法基本相同，就不再贅述了，配置完成后，兩端內網電腦互ping測試就可以了。

怎么樣？我說10張圖片就10張圖片吧，華為防火墻配置上網，并且兩端配通ipsec vpn就是這么簡單，如果不成功，那就需要具體分析了，歡迎留言或者私信探討。10張圖片教會你配置ipsecvpn