防火墙和思科做第三方ipsec，做NAT模式

需求：

客户（分支）和某企业（总部）对接ipsecvpn，由于分支机构较多，分支之间互不相识，所以做普通的ipsecvpn的时候，势必会导致分支之间的数据流冲突。所以要求分支机构在做vpn的数据流的时候，需要先进行源地址转换，进行访问。总部设备是思科防火墙 ，接下来主要说不同的地方。其他通用配置简要说明 。

1、思科防火墙配置（由于防火墙是已经配置好的，而且并未登陆查看，故没有配置命令）

只是简单描述下，ipsecvpn 都是中规中矩的配置，只是第二阶段的 数据流部分 本端是总部自己的内网网段，对端的网段写 分支的公网IP地址或网段。

2、某公司防火墙配置（版本 8.0.35，其他版本应该都是可以的）

在 第三方对接管理里 配置两边对应的参数，和其他的ipsec都同样的配置。第二阶段的时候有不同，数据流写的时候 需要写 本端是自己的 公网IP地址或网段，对端的网段是总部的内网网段 。

另外需要注意的时候，如果建立不成功，建议 本端地址和对端地址一对一来写。不要在对端地址 框中一次填多个地址。

在区域中 建立 一个vpn 区域，选择接口为 vpntun。

然后 建一个nat

至此，基本配置完成。可以进行测试。

感谢分享

感谢LZ分享

支持！！！对工作很有帮助

感谢楼主无私分享，学习学习

感谢分享，一起学习。

坚持每天登陆论坛学习

感谢楼主无私分享，学习学习              

感谢楼主无私分享，学习学习