1.因为FW1和FW2已处于双机热备状态，所以只需要对主设备进行配置即可。进入FW1的配置界面，选择“网络”界面，点击“IPsec”，进行IPsec通道的基本配置，这里选择的是“电信”链路。

2.完成上述配置后，进行待加密数据流的新建，具体地址根据要求填入。

3.继续向下，安全提议部分基本不用修改

FW3上的配置与FW1基本一致，只需要将IPsec基本配置中的本端地址与对端地址交换、将待加密数据流的源地址和目的地址交换即可，这里就不再赘述。

4.跳转至安全策略创建界面

5.点击“新建”以创建IKE服务

6.完成后点击确定即可

FW3上的配置同理

7.由于公网数码无法直接通过防火墙，因此还需要在FW1和FW3上额外为IPsec配置一条安全策略

8.进行NAT转换后，数据流量无法进入到IPsec通道，因此在FW1这里新建一条NAT策略，不做NAT转换。

FW3上的配置也差不多，只需要把目的安全区域换成untrust，然后再把FW1上配置的源地址和目标地址交换即可。

9.最后，选中配置好的NAT策略，将其移至顶部，使其优先级最高，即可完成配置