需求分析：

公司总部有一台服务器，要求分部内部的电脑可以正常访问服务器的内容，其他外部网络无法访问服务器。为了打通两个公司内网，常常使用IPSec VPN来实现内网穿透。

一.配置接口地址并加入安全域

依次点击网络--接口--选择外网接口G0/0/9。

安全区域选择untrust，连接选择静态IP，填写运营商提供的网络信息。

选择内网接口点击编辑，安全区域选择trust，连接选择静态IP，填写192.168.0.1/255.255.255.0，其余信息均可留空

二.配置DHCP

依次点击网络--DHCP服务器--新增DHCP服务。接口选择内网接口G0/0/1，IP地址范围：192.168.0.2~192.168.0.254，DNS服务器填写运营商提供的地址。

3.配置NAT规则

依次点击策略--NAT策略--新建。名称任意填写，类型选择NAT，转换模式选择仅转换源地址，源安全区域为trust区域，目的类型选择出接口，转换后的地址为出接口地址。

创建新的规则，源地址192.168.0.0/24到达目的地址192.168.1.0/24的数据不进行NAT转换。

4.配置安全策略

设置安全规则，允许trust区域到达untrust区域,源地址为：192.168.0.0/24，目的地址为：192.168.1.0/24的流量。

数据的通信是双向的，同样的设置安全规则，允许untrust区域到达trust区域,源地址为：192.168.1.0/24，目的地址为：192.168.0.0/24的流量。

设置设置安全规则，允许untrust区域到达local区域,源地址为：2.2.2.1/24，目的地址为：1.1.1.1/24的流量。

设置设置安全规则，允许local区域到达untrut区域,源地址为：1.1.1.1/24，目的地址为：2.2.2.1/24的流量。

5.配置路由

配置外网接口地址以后自动生成一条缺省路由

缺省路由有了，需要要添加一条到达对端内网接口地址的路由，下一跳为外网出口地址。

6.IPSec VPN

依次点击网络--IPSec VPN--新建IPSec VPN规则。策略名称任意填写，本端接口选择外网接口，本端地址填写外网接口地址，对端地址填写对端外网接口地址，本端ID选择IP地址填写本端内网接口地址，对端ID选择IP地址填写对端内网接口地址。

在待加密数据流中点击新增，源地址填写本端内网网段，目的地址填写对端内网网段。

安全提议等参数两端要保持一致。

IPSec VPN隧道已建立