（场景选用点到点，配置好FW1的出接口地址和对端FW3的接口地址，认证方式选用预共享密钥，身份认证选用IP地址）

1、FW1 IP Sec策略配置

IKE参数配置：

 

IP Sec参数：

 

FW2配置：

 

加密数据流配置：

 

IKE参数配置和IPSec参数配置和FW1一样

在FW1安全策略里面放通IKE（UDP500）报文的策略，服务不仅要允许IKE的流量通过，也要允许IPSec加密流量ESP通过，允许它从内网往外网发送

3、新建一个IKE服务

 

FW3同上配置 

新建IKE服务

 

4、新建一个针对IPSec的数据流量的安全策略

 

由于NAT地址转换是上游配置，而IPSec隧道是下游配置，流量流出防火墙会先做NAT转换，但是就不能进入IPSec隧道 ，所以要新建一个NAT策略

FW1 NAT配置：

FW2 NAT配置：

 

由于NAT匹配策略是由上往下，所以把IPSec的NAT策略放上面