一．拓扑如下：

二．配置思路：

配置接口IP与信任区域以及非信任区域

int g1/0/0                  

ip address 20.20.20.254 24

int g0/0/0

ip address 40.40.40.1 24

fireware zone trust

add int g1/0/0

fireware zone untrust

add int g0/0/0

在接口下配置

service-manage ping permit

之后，PC与FW1地址可以互访

配置默认出口路由

ip route-static 0.0.0.0 0 41.41.41.1 

配置IPsec遂道

*******************************************************************************

配置IKE Proposal

ike proposal 10

authentiaction-method pre-share

authentication-algorithm sha1

encryption-algorithm 3des

dh group2

配置IPsec proposal

ipsec proposal myset  (myset_fw1/myset_fw2在不同防火墙上配置不同)

transform esp

esp authentication-algorithm sha1

esp encryption-algorithm 3des

配置IKE peer

ike peer fw     (fw2/fw1，同上，在不同防火墙上配置不同)

pre-shared-key huawei123（密码，两端必须设置一致）

ike-proposal 10

remote-address (配置为对端FW的非信任区IP，42.42.42.2/41.41.41.2，为遂道两侧地址，这边设置为对端地址)

遂道内流量匹配才可以通过，另外一个防火墙流量应该反过来

*******************************************************************************

配置遂道内流量放通策略 ,并且在对应接口上应用

acl number 3000

rule permit ip source 20.20.20.0 0.0.0.255 destination 10.10.10.0 0.0.0.255

配置FW上IPsec Policy

ipsec policy mymap 10 isakmp

security acl 3000

ike-peer fw2

tunnel local (配置为本端FW的非信任区IP，41.41.41.2/42.42.42.2，为遂道两侧地址，这边设置为本端地址)

proposal myset  (myset_fw1/myset_fw2，同上，在不同防火墙上配置不同)

配置应用IPsec policy 到接口(untrust流量出去的接口)

interface g0/0/0

ipsec policy mymap

*******************************************************************************

配置流量放通策略

下面是FW2上配置数据，分别是

到目标10.10.10.0的流量放通，从10.10.10.0出去流量放通

到目标42.42.42.0的流量放通，从42.42.42.0出去流量放通

FW1上配置数据，应该是

到目标20.20.20.0的流量放通，从20.20.20.0出去流量放通

到目标41.41.41.0的流量放通，从41.41.41.0出去流量放通

[FW2-policy-security]

 #

security-policy

 rule name 20in

  destination-zone trust

  destination-address 10.10.10.0 0.0.0.255

  action permit

 rule name test11

  source-address 42.42.42.0 mask 255.255.255.0

  action permit

 rule name test12

  destination-address 42.42.42.0 mask 255.255.255.0

  action permit

 rule name 20out

  source-zone trust

  source-address 10.10.10.0 mask 255.255.255.0

  action permit

#return

[FW2-policy-security]

三．结果验证：

从PC1  ping  PC4,可达

。

从PC4  ping  PC1,可达。

抓包分析，可以看到上面PC1与PC4互相ping 可达，在FW1--FW2之间抓包，PC1与PC4的IP地址已经隐藏，完全通过加密遂道传输，只能看到遂道两侧地址进行数据交互。