华三防火墙建立IPSEC VPN和NAT穿越问题（大学生易读版）

一.拓扑以及介绍

??????? 其中华三防火墙4和5分别为防火墙两端，不采用华三防火墙和思科路由器建立VPN的原因是加密协议不匹配，在R3的上面作为有8.8.8.8作为isp。

二.配置思路

????????

三.配置

??????? 华三web界面可以直接创建策略组在里面配置阶段一阶段二，并匹配acl和接口调用。

????????（配置前提是在路由协议基础下实现两端可达）

一下操作都在策略（map）里面

按照从上到下的顺序1.匹配对端2.阶段一3.acl4.阶段二并调用

正常来说为1.阶段一2.阶段二3.匹配对端，acl，调用

1.策略初始化并匹配对端

2.阶段一配置

3.acl调用

4.阶段二配置

5.对端也采用同样的配置方法即可

四.华三防火墙NAT穿越的特殊性

1.注意事项

????????华三上面当同事存在VPN和NAT的时候，会优先匹配VPN的acl并加以封装，再匹配NAT,所以说正常配置vpn的匹配acl和转公网的acl就行

2.问题

??????? r1要实现vpn的同时实现上网

3.解决方法

??????? （1）vpn上精准匹配

??????? （2）nat正常配置

??????? 不用考虑过多，正常配置就行，思科是先进行NAT再进行VPN所以说要多考虑一步

五.关于安全策略的配置

??????? 一共分为三种

??????? 一是站点和站点之间来回IKE一二阶段来回协商的IKE报文

??????? 二是pc到pc之间传递的穿越流量

??????? 三是ipsec加密之后站点和站点之间的ipsec-esp或则ipsec-ah报文

六.尾言

本人网络小白一枚，如有知识点或则逻辑不清楚的，望大佬指出，如果大伙有其他问题，留在评论区，我会尽快为大伙解决。