三台华为防火墙配置ipsec，实现三地局域网互联

某同行的客户有此需求：一个总部，两个异地分公司，三台华为防火墙，要求三地局域网互联，服务器之间要互相备份重要数据，任意地点的用户，都能访问不同办公地点的服务器资源。

要说最省钱的方法，肯定是ipsec，华为防火墙自带的功能，安全又好用，不用白不用。

真实的环境配置完成了，还原到模拟器就简单点吧，拓扑图如下：

一、总部防火墙（FW1）的配置：

1、配置接口IP，允许ping，允许https登录

interface GigabitEthernet0/0/0

undo shutdown

ip binding vpn-instance default

ip address 192.168.65.2 255.255.255.0

alias GE0/METH

service-manage https permit

service-manage ping permit

#

interface GigabitEthernet1/0/0

undo shutdown

ip address 10.1.1.2 255.255.255.252

alias O

service-manage https permit

service-manage ping permit

ipsec policy ipsec1151952173

#

interface GigabitEthernet1/0/1

undo shutdown

ip address 192.168.100.1 255.255.255.252

alias i

service-manage https permit

service-manage ping permit

#

interface GigabitEthernet1/0/2

undo shutdown

ip address 192.168.10.1 255.255.255.0

service-manage ping permit

#

2、将接口放到相应的安全区域

firewall zone trust

set priority 85

add interface GigabitEthernet0/0/0

add interface GigabitEthernet1/0/1

#

firewall zone untrust

set priority 5

add interface GigabitEthernet1/0/0

#

firewall zone dmz

set priority 50

add interface GigabitEthernet1/0/2

3、配置静态路由

ip route-static 0.0.0.0 0.0.0.0 10.1.1.1

ip route-static 192.168.8.0 255.255.252.0 192.168.100.2

4、配置安全策略

security-policy

rule name internet *允许dmz、local、trust访问untrust

source-zone dmz

source-zone local

source-zone trust

destination-zone untrust

action permit

rule name 8to20&28 *允许总部局域网与两个分公司的局域网

source-zone trust

destination-zone untrust

source-address 192.168.8.0 mask 255.255.252.0

destination-address 192.168.20.0 mask 255.255.252.0

destination-address 192.168.28.0 mask 255.255.252.0

action permit

rule name 20&28to8 *允许两个分公司的局域网访问总部的局域网

source-zone untrust

destination-zone trust

source-address 192.168.20.0 mask 255.255.252.0

source-address 192.168.28.0 mask 255.255.252.0

destination-address 192.168.8.0 mask 255.255.252.0

action permit

rule name Untrust2Local *允许untrust区域访问防火墙本身（Local）,ipsec必须有此策略

source-zone untrust

destination-zone local

action permit

rule name dmz *允许trust和untrust区域访问dmz区域，因为服务器在DMZ区域

source-zone trust

source-zone untrust

destination-zone dmz

action permit

#

5、配置ipsec

不好意思，配置ipsec的命令真不熟，而且也很麻烦，所以就用web配置了；

如上图所示，选择“点到多点”，因为有两个分公司；策略名称随便写一个，本地接口就是互联网接口，连接光猫那个；本端地址就是电信运营商给的固定IP；预共享密码自定义；本端ID，这里选择为IP地址，对端ID就不填写了，多个分公司无法填写，如果分公司是PPPOE的宽带，更是没办法填写。

加密的数据流，源地址是填写总部本地局域网，目的地址，我这里自定义了一个地址组，就是包含了两个分公司的局域网。

反向路由注入，记得勾选上，不然就得手写去往分公司的静态路由了；

IKE和IPSec参数，看情况自定义，保持三地相同即可，如果是不同品牌的防火墙要互联，那就要看清楚了，肯定需要有个折中的方案，无法保持一致就不能联网了。

下面这个图片，是三台防火墙全部配置完成后，ipsec连接成功后的截图，目前来说，暂时是看不到这个的。

顺便看一下，命令行配置完成的安全策略，是什么样子的：

配置安全策略，用web界面也很方便的，点几下鼠标，输入相应网段就行。

二、分公司防火墙（FW2、FW3）的配置

配置都差不多类似，就不重复贴出来了，看看ipsec配置的不同之处吧：

三、检测配置效果

三地IPSec配置完成，且已经成功连接，检测一下效果，是否达到预期目标：

1、用PC1 ping PC3和PC6，都能ping通，表示三地局域网已经成功互联；

2、用PC5 ping Server1和Server2，也都能ping通，进一步证明三地局域网已经成功互联，并且DMZ区域的服务器正常提供服务，异地访问没问题了。

补充说明：各个VLAN都是/24的掩码长度，安全策略以及静态路由里面的/22，是为了减少路由条目，并不是写错了，之前在其他文章中有网友提出疑问，今天顺便再一次解释，其实这也是常用的手段，并不新鲜。