目录

1、基础配置：IP地址＋防火墙安全区域；

2、使ISP（运营商）网络的路由可达-OSPF；

3、建立VPN隧道（两个防火墙之间）；

4、引流

---

1、基础配置：IP地址＋防火墙安全区域；

以FW1为例

[FW1]int g1/0/0

[FW1-GigabitEthernet1/0/0]ip add 192.168.1.254 24

[FW1]firewall zone trust

[FW1-zone-trust]add int g1/0/0

2、使ISP（运营商）网络的路由可达-OSPF；

[R1]ospf 1 router-id 1.1.1.1

[R1-ospf-1]a 0

[R1-ospf-1-area-0.0.0.0]network 0.0.0.0 0.0.0.0

[R2]ospf 1 rou 2.2.2.2

[R2-ospf-1]a 0

[R2-ospf-1-area-0.0.0.0]network 0.0.0.0 0.0.0.0

3、建立VPN隧道（两个防火墙之间）；

[FW1]int Tunnel 1

[FW1-Tunnel1]tunnel-protocol gre

[FW1-Tunnel1]ip add 1.1.1.1 24

[FW1-Tunnel1]source 202.1.1.1

[FW1-Tunnel1]destination 202.1.3.1

[FW2-Tunnel1]dis this

#

interface Tunnel1

 ip address 1.1.1.2 255.255.255.0

 tunnel-protocol gre

 source 202.1.3.1

 destination 202.1.1.1

#

return

***所有接口都必须规划到区域中***

*Tunnel down的时候，是因为“出口路由需配置默认上网路由”

[FW1]ip route-static 0.0.0.0 0.0.0.0 202.1.1.2

[FW2]ip route-static 0.0.0.0 0.0.0.0 202.1.3.3

4、引流

[FW1]ip route-static 192.168.2.0 24 Tunnel 1

[FW2]ip route-static 192.168.1.0 24 Tunnel 1

安全策略放行所有（现实中一般不这样操作）

[FW1]security-policy

[FW1-policy-security]default action permit

可实现PC1 ping通PC2