在现代企业网络架构中,跨地域分支机构之间的安全通信需求日益增长,当两台位于不同地理位置的路由器需要建立加密隧道以传输敏感数据时,IPSec(Internet Protocol Security)VPN 成为最常用的解决方案之一,本文将详细介绍如何在两台路由器之间配置 IPSec VPN,涵盖从前期规划到最终验证的全过程,适用于思科、华为、华三等主流厂商设备。
明确基础环境,假设你有两台路由器(A 和 B),分别部署在总部和分支机构,它们都具备公网 IP 地址(或通过 NAT 映射),目标是让 A 路由器能够与 B 路由器之间建立点对点的加密通道,使两个内网子网(如 192.168.1.0/24 和 192.168.2.0/24)可以互相访问。
第一步:规划参数
- 主机 A(总部):公网 IP 203.0.113.10,内网子网 192.168.1.0/24
- 主机 B(分支):公网 IP 198.51.100.20,内网子网 192.168.2.0/24
- IKE 协议版本:IKEv2(推荐,更安全且支持动态协商)
- 加密算法:AES-256
- 认证算法:SHA256
- DH 组:Group 14(2048-bit)
- 本地身份:使用 IP 地址作为标识
- 对端身份:对方公网 IP
第二步:配置主路由器(A)
进入路由器 CLI,创建 crypto isakmp policy(IKE 策略):
crypto isakmp policy 10
encryption aes 256
hash sha256
authentication pre-share
group 14
lifetime 86400设置预共享密钥(双方必须一致):
crypto isakmp key mysecretkey address 198.51.100.20定义 IPSec transform set(加密变换集):
crypto ipsec transform-set MY_TRANSFORM_SET esp-aes 256 esp-sha-hmac
mode tunnel创建访问控制列表(ACL),指定哪些流量需加密:
access-list 100 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255创建 crypto map 并绑定接口:
crypto map MY_MAP 10 ipsec-isakmp
set peer 198.51.100.20
set transform-set MY_TRANSFORM_SET
match address 100
interface GigabitEthernet0/0
crypto map MY_MAP第三步:配置对端路由器(B)
步骤类似,只需将 IP 地址和子网互换,并确保预共享密钥相同。
crypto isakmp key mysecretkey address 203.0.113.10第四步:测试与排错
配置完成后,使用 show crypto session 查看会话状态,应显示“UP”并带有加密信息,若失败,检查以下几点:
- 预共享密钥是否一致
- ACL 是否正确匹配流量
- 防火墙是否放行 UDP 500(IKE)和 UDP 4500(NAT-T)
- 时间同步(NTP)是否正常,避免时间差导致认证失败
最终效果:一旦建立成功,两个子网间可透明通信,所有数据包均被加密,防止中间人攻击或窃听,此方案适合中小企业、远程办公场景,无需额外硬件,仅靠标准路由器即可实现安全互联。
通过上述配置,你不仅掌握了两台路由器之间构建 IPSec VPN 的核心技术,还学会了故障排查的基本思路,这是网络工程师必备技能之一,也是迈向高级网络自动化和零信任架构的重要一步。
半仙加速器-海外加速器|VPN加速器|vpn翻墙加速器|VPN梯子|VPN外网加速
