网络拓扑：

 

网络拓扑说明及目的：防火墙和路由通过IPSEC的方式进行连接，方便于内网互访。

 

防火墙设置：

以爱快防火墙对接爱快路由为例讲解。

网络--vpn--IPSEC，添加IPSEC vpn。

 

【网关名称】：给vpn一个备注信息。

【类型】：类型可选IKEv1和IKEv2以及国密。选择IKEv1时需要选择模式，模式分别为野蛮模式、主模式，有的设备野蛮模式又称为积极模式。

【本地网关】：可选IP地址或接口。

【本地IP地址】：填写防火墙外网接口IP地址或选择外网接口。

【对端网关】：支持填写静态IP或动态IP，暂不支持填写域名。

【IP地址】：填写对端IPSEC vpn对接设备的外网IP地址。

【模式】：模式可选野蛮模式和主模式，有的设备野蛮模式又称为积极模式，两端对接设备的模式需要选择一致，此处以主模式为例。

【认证方式】：可选预共享密钥和证书。

【预共享密钥】：两端对接设备的预共享秘钥需要填写一致。

【证书】：设置签名证书。

【IKE协商交互方案】：选择加密算法和认证，两端设备需要设置一致。DH组对应爱快路由的mode值。IPsec group 1对应的为modp768，group 2对应modp1024，group5对应modp1536 ，group14对应modp2048，group15对应modp3072，group16对应modp4096，group17对应modp6144，group18对应modp8192。

【秘钥周期】：秘钥周期对应爱快路由的IKE存活时间设置，需要注意单位的换算。

【本地ID、对端ID】：标识双方身份，本地标识和对方标识不能配置为相同且不能为空。

 

设置完成保存配置。点击操作处“+”。

 

配置通道信息。

【通道名称】:设置通道名称。

【IPSEC协商交互方案】：选择ESP加密算法和认证类型，两端设备需要设置一致。

【超时时间】：对应爱快路由的ESP超时时间。

 

Ipsec策略：

 

【源地址】：填写防火墙IP网段。

【目的地址】：填写路由内网网段。

【通道】：选择所创建的通道。

 

 

路由器配置如下：

 

【对方IP/域名】：填写防火墙IP地址。

【本地子网】：填写路由内网网段。

【对方子网】：填写防火墙网段。

【IKE版本】：IKE版本需要和防火墙所选择“类型”一致。

【IKE协商模式】：需要和防火墙的模式选择一致。

【IKE存活时间】：与防火墙密钥周期设置时间一致，此处需要注意单位的换算。

【IKE提议】：IK提议对应防火墙“IKE协商交互方案”，两端需设置一致。

【认证方式】：认证方式可选预共享密钥和自签证书，认证方式与防火墙设置一致。

【预共享密钥】：如认证方式选择预共享密钥，那么需要两端的密钥都一样。

【本地标识、对方标识】：标识双方身份，本地标识和对方标识不能配置为相同且不能为空。

【ESP存活时间】：防火墙上“超时时间”对应此设置，需注意单位换算。

【ESP加密算法】：防火墙上“IPSEC协商交互方案”功能对应此设置，两端设备需填写一致。

【ESP认证算法】：防火墙上“IPSEC协商交互方案”功能对应此设置，两端设备需填写一致。

 

 

Ipsec vpn拨号成功验证：

 

路由IPSEC状态显示已连接代表设置成功。

 

设置完成点击右上角保存配置。