IPSec VPN是目前VPN技术中点击率最高的VPN之一，同时提供VPN技术和信息加密技术。今天给大家介绍一下IPSec VPN的原理。

IPSec VPN的应用场景

站点到站点（站点到站点或网关到网关） : 不同的分支机构位于Internet 上的三个不同位置，每个分支机构都使用Business Pilot 网关建立相互之间以及分支机构之间数据的VPN 隧道。企业内网（多台PC）穿过这些，并通过网关建立的IPSec隧道提供安全互连。端到端（端到端或PC 到PC） : 两台PC 之间的通信由两台PC 之间的IPSec 会话（而不是网关）保护。端到站点（或PC 到网关）：两台PC 之间的通信通过网关和远程PC 之间的IPSec 进行保护。 IPSec 是一个框架架构，由两类协议组成，具体来说：

AH协议（认证头，很少使用）：可以同时提供数据完整性验证、数据源验证、防重放等安全特性。 AH 常用的摘要算法（单向哈希函数）MD5 和SHA1 实现了此功能。 ESP协议（Encapsulated Security Payload，应用广泛）：可以同时提供数据完整性验证、数据加密、防重放等安全功能。 ESP 通常使用DES、3DES、AES 和其他加密算法来实现MD5 或SHA1 数据完整性。

IPSec封装模式

IPSec提供的两种封装模式：传输模式和隧道模式

上图显示了传输模式的封装结构。我们来对比一下隧道模式。

传输模式和隧道模式的区别如下：

1. 传输模式下，AH和ESP处理前后IP头不变，主要用于端到端的应用场景。

2. 隧道模式封装经过AH和ESP处理后的外层IP头，主要用于站点到站点的应用场景。

下面通过在华为AR系列路由器上将IPsec-VPN站点配置为多站点的案例来了解IPsec-VPN的配置流程。

拓扑图

实验目的：总部与两个分支机构之间的业务数据需要加密通信，在两个分支机构与总部之间建立IPsec-VPN。

在配置ipsec-VPN之前，首先需要验证R3、R4和R2之间的公网通信。这里很容易使用静态路由为R3、R4和R2打开路径。在R3、R4、R2上设置默认路由，并执行以下命令：

ip Route-static 0.0.0.0 0.0.0.0 202.10.10.1 //R3ip Route-static 0.0.0.0 0.0.0.0 202.10.30.1 //R2ip Route-static 0.0.0.0 0.0.0.0 202.10.20.1 //R4分支1设置IPsec -VPN

1. 定义与您需要保护的数据流相匹配的访问控制列表。

ACL 编号3000 规则5 允许IP 源192.168.1.0 0.0.0.255 目标192.168.3.0 0.0.0.255

2. 创建安全提案并选择安全协议

ipsec 提议ipsec esp 认证算法sha1 esp 加密算法aes-1283 创建IKE 提议并选择aes-cbc-128 加密算法。

ike提议1加密算法aes-cbc-128 dh group54，配置IKE对等体

ike对等点1 v1交换模式激进预共享密钥简单sbt123456 ike-proposal 1远程地址202.10.30.25，创建ip-sec安全策略

ipsec policy p1 1 isakmp security acl 3000 ike-peerpeer1 suggest ipsec6 在公网接口g0/0/1上调用ipsec-policy。

Interface GigabitEthernet0/0/1 ip address 202.10.10.3 255.255.255.0 ipsec policy p1 分支2的配置与分支1的配置基本相同，这里不再贴出配置脚本。

在总部配置IPsec-VPN

配置总部IPsec安全方案和安全策略。总部配置过程中不能指定对等体，也不能创建访问控制列表。否则，可能会发生冲突。必须同时关联ipsec策略和模板，即ipsec-policy-template模板和ipsec-profile。你的总部组织结构非常重要，必须谨慎行事。

调用总部公网接口g0/0/0上的策略。

接口GigabitEthernet0/0/0 IP 地址202.10.30.2 255.255.255.0 ipsec 策略p2 验证结果

使用分支机构私网用户访问总部私网用户，检查数据是否加密，检查封装，测试是否可以通信

捕获和观察数据包

new ip+esp+私网ip+data 这里看不到私网数据和私网IP地址，因为数据是加密的。

如果您的朋友想要获取详细的配置文件和拓扑，请关注、转发、私信回复“VPN”即可获取。