实验拓扑图

实验背景：FW1和FW2是双机热备的状态。

实验要求：在FW5和FW3之间建立一条IPSEC通道，保证10.0.2.0/24网段可以正常访问到192.168.1.0/24

IPSEC VPPN实验配置（由于是双机热备状态，所以FW1和FW2只需要配置FW1主设备即可）： 

场景选用点到点，配置好FW1的出接口地址和对端FW3的接口地址，认证方式选用预共享密钥（密钥自己设置），身份认证选用IP地址

FW1 IPSec策略配置

加密数据流配置

IKE参数配置：

    IPSec参数：

FW3配置

加密数据流配置

IKE参数配置与IPSec参数配置和FW1一样

然后去FW1安全策略里面放通IKE（UPD500）报文的策略，服务不仅要允许IKE的流量，也要允许IPSec加密流量ESP的放通，允许它从内网往外网发送。

新建一个对应的IKE服务

FW3上进行同样的配置

新建IKE服务

查看IPSec策略，可以看见已经协商成功了

此时，内网的数据可以到达外网，但外网的数据在经过防火墙时，防火墙并不允许外网的流量进来。

再新建一个针对IPSec的数据流量的安全策略（FW1和FW2一样）。

由于NAT地址转换是上游配置，而IPSec隧道是下游配置，一般流量出防火墙会先做NAT转换，但是做了NAT转换就不能进入IPSec隧道，所以需要在这新建一个NAT策略

FW1

FW2

由于NAT匹配策略是由上往下，所以这里要把IPSec的NAT策略放在上面。