跨地区联网办公最经济实惠的方式，莫过于ipsec vpn，笔者此前也不止一次地写过ipsec vpn的配置方法，但是总有网友说太复杂了，今天我非要给各位看官来个简单版的教程，只用10张图片，就能展示华为防火墙配通外网，并且配通总部与分支机构的ipsec vpn。

　　总部与分支机构的网关设备相同，都是华为防火墙，型号为USG6330，缺点是安全授权都过期了，有待续费；密码忘记了，原配置也没有了，所以启动时直接按Ctrl+B，恢复出厂设置。

　　G0/0/0是管理接口，默认为192.168.0.1，因为与G1/0/1网段相同，所以必须修改；

　　G1/0/1是外网接口，配置IP为192.168.0.2/24，实际应该填写运营商给的IP地址，此处因为我有上层路由ios游戏延迟大vpn，所以填写的是上层路由给的IP；

　　正常来说，DHCP一般是配置在交换机上，但是客户环境里面只有傻瓜交换机，所以只能在防火墙上配置DHCP了，注意保留IP，是预留给服务器、打印机以及硬盘录像机等需要固定IP的设备了；

　　目的地址：0.0.0.0/0 即指互联网任意IP，下一跳此处为光猫IP地址；不写这条路由，是不能上网的；

　　第四图：配置安全策略，放通trust（内网）到untrust（外网）的访问，不写这条安全策略，是不能上网的；这就是防火墙和路由器的区别之处；

　　经过以上配置，电脑已经可以上网了，紧接着开始配置ipsec vpn，以便使总部和分支机构的网络能互通。

　　第六图：配置ipsec策略，场景：因为是总部，所以选择点到多点，如果是分支机构，那就选择点到点；对端接入类型：分支网关，L2TP是指笔记本电脑或者手机远程拨入；基本配置里面，名称随便写，无所谓； 本端接口当然是外网接口，本端地址是外网，实际应该填写运营商给的IP地址，此处因为我有上层路由，所以填写的是上层路由给的IP；下面的“本端ID”也是同样情况；

　　拨号用户配置，即笔记本电脑或者手机远程拨入的相关配置，主要是确定了L2TP的认证模式，以及IP地址池；

　　第七图：配置加密数据流：第一行是定义总部内网到分支机构内网的加密数据流； 第二行是定义总部内网到远程拨入用户的加密数据流；第三行是L2TP拨入UDP协议的加密数据流；

　　第八图：配置ipsec相关的安全参数，两端必须相同，笔记本电脑或者手机也必须配置相同参数，因为某些设备可能不支持过高的DH组，所以此处也勾选了5，如果没有阵旧的设备接入，则不建议勾选DH5；

　　第九图：配置安全策略：1、放行总部到分支的通讯； 2、放行分支到总部的通讯； 3、放行untrust到local的通讯，由于分支机构没有固定的IP，所以此处不能限定IP地址； 4

　　第十图：这是个关键点，很多人没做这步操作，所以哪怕是两端的防火墙已经成功地建立了ipsec vpn，两端的内网还是无法通讯的。

　　这条源NAT策略的意思是，从总部内网访问分支的内网，不做地址转换，如果没有这个配置，那么默认为转换，那数据流量就走到公网出去了，而不会从ipsec隧道走，那当然不会有回包了，所以两端无法互访。

　　分支机构的防火墙配置方法基本相同，就不再赘述了，配置完成后，两端内网电脑互ping测试就可以了。

　　怎么样？我说10张图片就10张图片吧，华为防火墙配置上网，并且两端配通ipsec vpn就是这么简单，如果不成功，那就需要具体分析了，欢迎留言或者私信探讨。10张图片教会你配置ipsecvpn