摘要: 企业扩张、多地办公,财务数据实时同步如何保证安全又不增加网络改造成本?IPSec VPN 就是答案!本文将带你彻底搞懂 IPSec VPN 的核心原理,并基于真实防火墙环境,详细演示点到点 IPSec VPN(预共享密钥方式) 的完整配置过程。无论你是网络运维新手还是想巩固 VPN 技能的工程师,都能通过本文轻松上手,实现总部与分公司之间的加密隧道通信。
一、VPN 到底是什么?为什么企业离不开它?
VPN = Virtual Private Network = 虚拟专用网
简单说,VPN 能在不改变现有网络架构的前提下,利用公网建立一条"专线"般的加密通道。它的三大杀手锏:
-
加密防窃听 -- 数据在隧道里被加密,就算被截获也看不懂。
-
完整性校验 -- 防止数据在传输中被篡改。
-
身份认证 -- 只有持有正确密钥或证书的设备才能接入,杜绝冒充。
常见 VPN 类型有 IPsec VPN、SSL VPN、L2TP VPN、GRE VPN 等。其中 IPsec VPN 是企业分支互联的首选,因为它安全性高、兼容性好、无需额外带宽投入。
二、IPsec VPN 核心原理
IPsec 不是一个单一协议,而是 IETF 制定的一组安全协议集合。它主要通过两个阶段来建立 VPN:
阶段一:管理连接(IKE 协商)
使用 IKE(Internet Key Exchange) 协议自动管理密钥。
双方先协商一套安全提议,包括:
-
加密算法:DES(弱)、3DES(中)、AES(强,推荐 128/256)、国密 SM1/SM4。
-
哈希算法:MD5(已淘汰)、SHA1(慎用)、SHA2-256/384/512、国密 SM3。
-
DH 算法(迪菲-赫尔曼):用于在不安全网络上安全交换密钥。DH 组数字越大越安全(如 DH2=1024位,DH14=2048位),但 CPU 开销也越大。
阶段一完成后,建立一个 ISAKMP SA(管理隧道)。
阶段二:数据连接(IPsec SA)
-
在管理隧道保护下,协商具体的 IPsec 加密和认证方式,生成真正的 IPsec SA。
-
之后业务数据(如财务同步)就通过这条加密隧道传输。
一句话:阶段一负责"建条安全的管理通道",阶段二负责"在这条通道里协商最终的数据加密规则"。
三、实战:点到点 IPSec VPN(预共享密钥方式)
企业需求
-
总部(北京) 和 分公司(上海) 需要实时同步财务数据。
-
出口部署防火墙,不改变现有网络,不增加带宽投入。
-
通过 IPSec VPN 实现高效、安全传输。
实验拓扑
-
总部防火墙 FW1:公网 IP为 100.0.0.1,内网网段 192.168.11.0/24。
-
分公司防火墙 FW2:公网 IP 200.0.0.1,内网网段 192.168.66.0/24。
-
路由器ISP连接两台防火墙
详细配置步骤
配置物理机虚拟网卡
- 打开控制面板 → 网络和共享中心 → 更改适配器设置,找到虚拟网卡VMnet1,右键 → 属性 → IPv4 → 属性 → 高级 → 添加 → 192.168.168.1。
Cloud配置
-
绑定信息选择UDP,端口类型GE,点击增加
-
选择绑定信息为虚拟网卡(如VMnet1),端口类型GE,再次点击增加
-
端口映射:入端口1(UDP)→ 出端口2(虚拟网卡),勾选双向通道,点击增加
终端配置
ISP接口配置
总部防火墙 FW1 配置
防火墙基础配置(通过CLI)
第一次登录与密码修改
双击防火墙进入CLI终端,首次登录系统强制要求修改默认密码:
Username: admin
Password: Admin@123
The password needs to be changed. Change now? [Y/N]: y
Please enter old password: Admin@123
Please enter new password: admin@123
Please confirm new password: admin@123务必记住修改后的新密码,后续Web登录要用。
配置接口IP地址及管理口开启Web访问
配置GE0/0/0管理接口,确保Cloud能通过Web管理。
<USG6000V1>u t m
<USG6000V1>system-view
[USG6000V1]sysname FW
[FW1]int g0/0/0
[FW1-GigabitEthernet0/0/0]ip add 192.168.192.168 24
[FW1-GigabitEthernet0/0/0]service-manage all permit
[FW1-GigabitEthernet0/0/0]q
[FW1]web-manager timeout 1440 #配置网页不超时退出
Web界面登录
浏览器访问:https://192.168.192.168:8443,忽略证书警告,点击"高级→继续前往",输入用户名admin和新密码admin@123
配置接口地址
-
将连接外网的接口(如 GE1/0/0)设为 IP 100.0.0.1/24,加入 untrust 区域。
-
内网接口(GE1/0/1)设为 192.168.11.254/24,加入 trust 区域。
创建地址对象
-
总部内网网段:192.168.11.0/24,名称
beijing -
分公司内网网段:192.168.66.0/24,名称
shanghai -
总部防火墙公网地址:100.0.0.1,名称FW1
-
分公司防火墙公网地址:200.0.0.1,名称FW2
创建安全策略
-
允许 trust → untrust:源 beijing 目的
shanghai,动作允许。 -
允许 untrust → trust:源
shanghai目的beijing,动作允许。 -
允许 local → untrust:源
FW1目的FW2,动作允许。 -
允许 untrust → local:源
FW2目的FW1,动作允许。
配置静态路由
- 总部通过防火墙上网,需配置默认路由指向运营商网关。
配置 IPSec VPN(核心)
新建 IPSec 策略 ,名称 to_SH。
基本设置:
-
本端接口:GE1/0/0
-
本端地址:100.0.0.1(总公司公网 IP)
-
对端地址:200.0.0.1(分公司公网 IP)
-
认证方式:预共享密钥 ,输入
Sec@123 -
本端 ID、对端 ID 可选 IP 地址。
待加密数据流:
-
源地址:
beijing(192.168.11.0/24) -
目的地址:
shanghai(192.168.66.0/24)
安全提议:默认即可
点击"应用"并提交。
分公司防火墙 FW2 配置
防火墙基础配置(通过CLI)
第一次登录与密码修改
双击防火墙进入CLI终端,首次登录系统强制要求修改默认密码:
Username: admin
Password: Admin@123
The password needs to be changed. Change now? [Y/N]: y
Please enter old password: Admin@123
Please enter new password: admin@123
Please confirm new password: admin@123务必记住修改后的新密码,后续Web登录要用。
配置接口IP地址及管理口开启Web访问
配置GE0/0/0管理接口,确保Cloud能通过Web管理。
<USG6000V1>u t m
<USG6000V1>system-view
[USG6000V1]sysname FW2
[FW2]int g0/0/0
[FW2-GigabitEthernet0/0/0]ip add 192.168.168.192 24
[FW2-GigabitEthernet0/0/0]service-manage all permit
[FW2-GigabitEthernet0/0/0]q
[FW2]web-manager timeout 1440 #配置网页不超时退出
Web界面登录
浏览器访问:https://192.168.168.192:8443,忽略证书警告,点击"高级→继续前往",输入用户名admin和新密码admin@123
配置接口地址
-
将连接外网的接口(如 GE1/0/0)设为 IP 200.0.0.1/24,加入 untrust 区域。
-
内网接口(GE1/0/1)设为 192.168.66.254/24,加入 trust 区域。
创建地址对象
-
总部内网网段:192.168.11.0/24,名称
beijing -
分公司内网网段:192.168.66.0/24,名称
shanghai -
总部防火墙公网地址:100.0.0.1,名称FW1
-
分公司防火墙公网地址:200.0.0.1,名称FW2
创建安全策略
-
允许 trust → untrust:源
shanghai目的beijing,动作允许。 -
允许 untrust → trust:源
beijing目的shanghai,动作允许。 -
允许 local → untrust:源
FW2目的FW1,动作允许。 -
允许 untrust → local:源
FW1目的FW2,动作允许。
配置静态路由
- 分公司通过防火墙上网,需配置默认路由指向运营商网关。
配置 IPSec VPN(核心)
新建 IPSec 策略 ,名称 to_BJ。
基本设置:
-
本端接口:GE1/0/0
-
本端地址:200.0.0.1(分公司公网 IP)
-
对端地址:100.0.0.1(总公司公网 IP)
-
认证方式:预共享密钥 ,输入
Sec@123 -
本端 ID、对端 ID 可选 IP 地址。
待加密数据流:
-
源地址:
shanghai(192.168.66.0/24) -
目标地址:
beijing(192.168.11.0/24)
安全提议:默认即可
点击"应用"并提交。
验证 VPN 是否成功
- 在分公司内网主机 ping 总部内网主机。
- 在总公司内网主机 ping 分公司内网主机。
- 若能通,查看防火墙上的 IPSec 监控:协商状态为成功。
四、总结
本文系统讲解了如何利用IPSec VPN在不增加网络改造成本的前提下,解决企业多地办公的财务数据安全同步问题。首先介绍了VPN的核心价值与IPSec VPN的适用场景,随后深入解析了IPSec的两阶段原理:IKE协商建立管理隧道(阶段一)和IPsec SA建立数据隧道(阶段二)。实战部分基于华为防火墙环境,采用预共享密钥认证方式,详细演示了从基础接口配置、安全策略、静态路由到IPSec策略创建的完整点到点VPN配置流程,并提供了验证方法。
预共享密钥方式简单易配,适合小规模场景。但如果分公司数量增多或对安全性要求极高,证书认证会是更好的选择------我们将在下一篇文章中详细讲解。
**重要声明:**本教程及文中所有操作仅限于合法授权的安全学习与研究。作者及发布平台不承担因不当使用本教程所引发的任何直接或间接法律责任。请务必遵守中华人民共和国网络安全相关法律法规。
如果这篇文章帮你解决了实操上的困惑,别忘记点击点赞、分享 ,也可以留言告诉我你遇到的其它问题,我会尽快回复。你的关注是我坚持原创和细节共享的力量来源,谢谢大家。