两台路由器之间搭建IPSec VPN:实现安全远程互联的完整配置指南
在现代企业网络架构中,跨地域分支机构之间的安全通信需求日益增长,当两台位于不同地理位置的路由器需要建立加密隧道以实现安全数据传输时,IPSec(Internet Protocol Security)VPN 是最常见、最可靠的解决方案之一,本文将详细讲解如何在两台路由器(例如华为 AR 系列与 Cisco ISR 系列)之间配置 IPSec VPN,确保数据在公网中传输时具备机密性、完整性与身份认证能力。
准备工作至关重要,你需要明确以下信息:
- 两台路由器的公网 IP 地址(或通过 NAT 映射后的地址);
- 内网子网段(如 192.168.1.0/24 和 192.168.2.0/24);
- 共享密钥(预共享密钥,PSK),用于双方身份验证;
- 安全协议选择(IKE v1 或 v2,推荐使用 IKEv2 更安全高效);
- 加密算法(如 AES-256)、哈希算法(如 SHA256)及 DH 组(如 Group 14)。
我们以华为和 Cisco 为例分步骤说明:
第一步:在路由器 A(华为)上配置 IPSec策略
encryption-algorithm aes-256 hash-algorithm sha2-256 dh group14 authentication-method pre-shared-key lifetime 86400 # 创建 IPSec 安全提议 ipsec proposal 1 esp authentication-algorithm sha2-256 esp encryption-algorithm aes-256 lifetime 3600 # 配置 IKE 对等体 ike peer cisco-peer pre-shared-key simple your-psk-here remote-address 203.0.113.10 # 对端 Cisco 路由器公网 IP ike-proposal 1 # 配置 IPSec 安全策略 ipsec policy my-policy 1 isakmp security acl 3000 # 匹配内网流量 ACL ike-peer cisco-peer ipsec-proposal 1
第二步:在路由器 B(Cisco)上配置对应参数
crypto isakmp policy 10 encryption aes 256 hash sha256 authentication pre-share group 14 crypto isakmp key your-psk-here address 203.0.113.5 # 华为公网 IP crypto ipsec transform-set MYTRANS esp-aes 256 esp-sha-hmac mode transport # 若仅需加密流量,可用 transport;若需封装整个 IP,则用 tunnel crypto map MYMAP 10 ipsec-isakmp set peer 203.0.113.5 set transform-set MYTRANS match address 100 # 匹配本地子网流量的 ACL
第三步:应用 ACL 与接口 在华为侧创建 ACL 3000,允许从 192.168.1.0/24 到 192.168.2.0/24 的流量:
acl 3000 rule permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255
在 Cisco 侧创建 ACL 100,允许对端子网访问:
access-list 100 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
在接口上应用 crypto map(Cisco)或绑定到接口(华为)后,执行 display ike sa 和 display ipsec sa 查看状态是否为“Established”,一旦成功,两个内网之间的主机即可像在同一局域网一样互相访问,而所有流量都经过加密保护。
两台路由器间搭建 IPSec VPN 不仅提升安全性,还能降低专线成本,关键在于正确配置 IKE 和 IPSec 参数,确保两端一致,并通过日志排查问题,建议在测试环境中先行验证,再部署生产环境,对于更复杂的多站点场景,可扩展为 GRE over IPSec 或使用 SD-WAN 解决方案。
半仙加速器-海外加速器|VPN加速器|vpn翻墙加速器|VPN梯子|VPN外网加速
