在当今企业网络日益复杂的环境中,跨地域分支机构之间的安全通信需求愈发迫切,通过在两台路由器之间建立虚拟专用网络(VPN),可以有效保障数据传输的机密性、完整性和可用性,本文将详细介绍如何在两台路由器(以Cisco IOS和华为VRP为例)上配置站点到站点IPsec VPN,适用于中小型企业和远程办公场景。
确保两台路由器均具备公网IP地址,并支持IPsec协议,假设路由器A位于总部(公网IP:203.0.113.10),路由器B位于分公司(公网IP:198.51.100.20),我们的目标是让两个局域网(如192.168.1.0/24 和 192.168.2.0/24)之间通过加密隧道实现互访。
第一步:配置接口与静态路由
在路由器A上:
interface GigabitEthernet0/0
ip address 203.0.113.10 255.255.255.0
!
ip route 192.168.2.0 255.255.255.0 203.0.113.1在路由器B上:
interface GigabitEthernet0/0
ip address 198.51.100.20 255.255.255.0
!
ip route 192.168.1.0 255.255.255.0 198.51.100.1第二步:定义感兴趣流量(Traffic to be protected)
使用访问控制列表(ACL)指定需要加密的数据流:
access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255第三步:配置IPsec安全策略(IKE Phase 1)
在路由器A上:
crypto isakmp policy 10
encry aes 256
hash sha
authentication pre-share
group 14
crypto isakmp key your_secret_key address 198.51.100.20在路由器B上:
crypto isakmp policy 10
encry aes 256
hash sha
authentication pre-share
group 14
crypto isakmp key your_secret_key address 203.0.113.10第四步:配置IPsec安全关联(IKE Phase 2)
在路由器A上:
crypto ipsec transform-set MYTRANS esp-aes 256 esp-sha-hmac
crypto map MYMAP 10 ipsec-isakmp
set peer 198.51.100.20
set transform-set MYTRANS
match address 101在路由器B上:
crypto ipsec transform-set MYTRANS esp-aes 256 esp-sha-hmac
crypto map MYMAP 10 ipsec-isakmp
set peer 203.0.113.10
set transform-set MYTRANS
match address 101第五步:应用Crypto Map到接口
在路由器A上:
interface GigabitEthernet0/0
crypto map MYMAP在路由器B上:
interface GigabitEthernet0/0
crypto map MYMAP完成配置后,可通过以下命令验证连接状态:
show crypto session查看当前活动会话show crypto isakmp sa检查IKE SA是否建立成功ping 192.168.2.100测试从总部到分公司的连通性
注意事项:
- 密钥需在两端保持一致,建议使用强密码并定期更换;
- 确保NAT不会干扰IPsec流量(若存在NAT,需启用NAT-T);
- 建议部署日志记录和监控工具,便于故障排查;
- 高可用场景下可考虑双链路冗余或GRE over IPsec。
通过以上步骤,即可实现两台路由器间的安全隧道通信,该方案不仅成本低廉,而且兼容性强,适合各类网络环境,掌握此技能,将成为网络工程师日常运维中的核心能力之一。
半仙加速器-海外加速器 | VPN加速器 | VPN翻墙加速器 | VPN梯子 | VPN外网加速
