一：基础设置 防火墙跟内网设备能正常访问 Internet

二：访问规则

防火墙自身属于 Local 区域，所以要把 VPN 网关所在的区域（这里以 Untrust）到 Local

区域的策略放开。

设置：--防火墙—安全策略—本地策略-untrust

三：NAT 策略

做 VPN 的数据流量不需要从外网接口做转换出去上网，这部分流量不做 NAT 转换。

四：VPN

IKE 协商：

先建阶段一，我们对端没有固定 IP，所以对端网关设置方式为不指定对端网关。在高级 里面把加密算法，认证算法，DH 组，完整性算法等设置成跟四信路由器值一样。

阶段二：阶段二为 IPsec  协商阶段 ，一个出口只能引用一个 IPsec  策略模板，所以引

用原有模板 CXIC  子模板 2 (cxic-2),用隧道模式传输，安全协议采用 ESP（四信路由器只 有 ESP 选项），ESP 加密算法用 DES，认证算法用 MD5。

引用 IPsec 策略，应用到公网 IP 接口（如果出口是用 ADSL 拨号时需要把策略应用在 Dialer 接口下），如果原本该策略已经在用的需要先断开，把新的子策略加进去，再应用到接 口下才能生效。需要注意这边是新建 rule，引用 IPsec 策略，就是刚才建的阶段二。

这里可以引用刚才创建的 cxic-2 的策略

填写两端的内网 IP 地址。例：192.168.11.0/24 服务类型选择 IP，动作 Permit

做为这些就可以在监控里面查看 IPsec  连接状态。

阶段一 设置：类型跟功能 类型采用：Net-To-Net 虚拟专用网 功能：客户端

连接配置：

本端 WAN 接口 ，就选 WAN 口（有备用 WAN 口可选备用 WAN） 对端地址：对端地址为对端公网地址，也可以称为对端网关 本端子网：路由器的 LAN 网段

对端子网：对端局域网要和你做 VPN 的内网网段 本端标识符：选填

对端标识符：选填

DPD 检测：

DPD 检测建议时间设置长一点或者是不启用 DPD 检测 我在测试中感觉有的时候 VPN 还没连接上，路由器就自己重启了

高级配置：

启用高级配置 第一阶段：

IKE 加密：AES（256bit）

IKE  完整性：MD5

IKE DH 组：组 2

IKE 生命周期：24 小时

第二阶段：

我们设置只支持 ESP 算法（华为设备在选择第二阶段是需要注意）

ESP 加密：DES

ESP 完整性：MD5

ESP 生命周期：1 小时（时间尽量两端一致）

预共享秘钥两端一致就可以了。

做完这些最重要的，在本端局域网中用 PC 去 ping  对端局域网 IP  。因为对端是被动接

收 VPN 请求的，他没有我们这边的网关 IP，只能我们这边去主动发起连接。

验证 VPN 是否已经正常建立：

1.两端对 PING

2.查看 VPN 状态

3.华为状态

4.CLI 模式查看： 查看 IKE 状态：

Display ike sa