要求：FW1与FW3建立IPSEC通道，保证10.0.2.0/24网段能访问192.168.1.0/24网段

因为FW1与FW3都处于边界，所以使用网关部署模式来建立IPSEC VPN

FW1

  

这里选择主模式跟隧道模式

FW3与FW1配置类似，与FW1的源目地址反过来，其他均与FW1一样

创建安全策略让FW1与FW3能够通过IPSEC的协商

因为fw1与fw3是通过自己发送ike进行协商，所以源目安全区域选择local,因为ipsec协商时是通过udp的500端口，所以需要放通udp的500端口。数据进入隧道发送的的esp包，所以还需要放通esp服务。

FW1：

ike服务使用的是udp的500端口

FW3：

协商成功

但目前还无法进行通信，还需再安全区域中放通10.0.2.0/24和192.168.1.0/24网段

fw1与fw3配置一样

因为在防火墙上，NAT是上游配置，而PSEC隧道是下游配置。所以，NAT的转换会导致数据流量
无法进入到IPSEC的隧道中，所以需要创建nat策略，让10.0.2.0/24访问192.168.1.0/24的流量不进行nat转换,并将这条策略置于nat策略最上面，优先匹配

FW1：

FW3：

测试：

实验结束！