一、实验背景与目标

IPSec（Internet Protocol Security）作为IETF制定的标准化安全协议，通过加密、认证和完整性校验机制，为企业提供跨公网的安全通信通道。在混合云架构、分支机构互联等场景中，IPSec VPN网关的部署直接关系到数据传输的保密性与可靠性。本实验以Linux系统（CentOS 7）为平台，使用StrongSwan开源工具实现IPSec VPN网关的搭建，目标包括：

1. 掌握IPSec协议族（AH/ESP）的核心功能；
2. 理解IKE（Internet Key Exchange）协议的密钥协商机制；
3. 完成网关间安全隧道的建立与验证；
4. 优化配置参数以提升传输效率。

二、实验环境准备

2.1 硬件与软件配置

• 网关A：CentOS 7.6，双网卡（eth0: 192.168.1.100/24，eth1: 10.0.0.10/24）
• 网关B：Ubuntu 20.04，双网卡（ens33: 192.168.2.100/24，ens36: 10.0.0.20/24）
• 客户端：Windows 10，安装ShrewSoft VPN客户端
• 软件包：StrongSwan 5.8.2、iproute2、tcpdump

2.2 网络拓扑设计

采用“背靠背”拓扑模拟跨公网场景：

• 网关A的eth0与网关B的ens33通过交换机模拟公网连接（192.168.1.0/24与192.168.2.0/24网段）
• 内部网络通过eth1/ens36连接（10.0.0.0/24网段）

2.3 安全策略预配置

• 禁用SELinux：setenforce 0
• 开放IPSec端口：iptables -A INPUT -p udp --dport 500 -j ACCEPT
• 启用IP转发：echo 1 > /proc/sys/net/ipv4/ip_forward

三、IPSec VPN网关部署步骤

3.1 StrongSwan安装与配置

3.1.1 网关A配置

1. 安装StrongSwan：

   yum install -y strongswan libreswan

2. 编辑配置文件（/etc/strongswan/ipsec.conf）：
   ```ini
   config setup
   charondebug=”ike 2, knl 2, cfg 2”
   uniqueids=no

conn vpn-tunnel
left=192.168.1.100
leftsubnet=10.0.0.0/24
leftauth=psk
leftid=@gatewayA
right=192.168.2.100
rightsubnet=10.0.0.0/24
rightauth=psk
rightid=@gatewayB
auto=start
ike=aes256-sha256-modp2048!
esp=aes256-sha256!
keyexchange=ikev2

3. **预共享密钥配置**（/etc/strongswan/ipsec.secrets）：

@gatewayA @gatewayB : PSK “YourSecurePassword123!”

### 3.1.2 网关B配置
Ubuntu系统需通过apt安装：
```bash
apt install -y strongswan libstrongswan-extra-plugins

配置文件（/etc/ipsec.conf）关键参数差异：

conn vpn-tunnel
    left=192.168.2.100
    right=192.168.1.100
    # 其他参数与网关A对称

3.2 IKEv2密钥协商过程

1. 阶段一（SA建立）：

   • 网关A发起IKE_SA_INIT请求，包含支持的加密算法（AES256）、哈希算法（SHA256）和DH组（modp2048）
   • 网关B响应协商结果，生成SKEYID（基础密钥材料）

2. 阶段二（CHILD_SA建立）：

   • 交换身份信息（IDi/IDr）
   • 生成ESP SA密钥（SKEYID_e/SKEYID_a/SKEYID_d）
   • 验证预共享密钥（PSK）

3.3 隧道状态验证

1. 查看SA状态：

   ipsec statusall
   # 预期输出：
   # Security Associations (1 up, 0 connecting):
   #   vpn-tunnel[1]: ESTABLISHED 5 minutes ago, 192.168.1.100[gatewayA]...192.168.2.100[gatewayB]

2. 抓包分析：

   tcpdump -i eth0 -n host 192.168.1.100 and host 192.168.2.100 and udp port 500
   # 应观察到IKEv2消息类型：HDR(IKE_SA_INIT), HDR(IKE_AUTH)

四、高级配置与优化

4.1 动态IP支持

使用DDNS服务实现动态公网IP的VPN连接：

conn dynamic-vpn
    left=%any
    leftid=@gatewayA.ddns.net
    right=%any
    rightid=@gatewayB.ddns.net
    # 其余参数保持不变

4.2 多子网路由

扩展配置支持多个内部子网：

conn multi-subnet
    leftsubnet=10.0.0.0/24,192.168.10.0/24
    rightsubnet=10.0.0.0/24,192.168.20.0/24

4.3 性能调优参数

• 抗重放窗口：rekey=yes + rekeymargin=3m
• NAT穿越：nat_traversal=yes
• DPD检测：dpdaction=restart + dpddelay=30s

五、故障排查指南

5.1 常见问题处理

现象	可能原因	解决方案
IKE_SA建立失败	时间不同步	配置NTP服务（ntpdate pool.ntp.org）
ESP包丢弃	MTU过大	调整/etc/sysctl.conf中的net.ipv4.ip_no_pmtu_disc=1
认证失败	PSK不一致	检查ipsec.secrets文件权限（600）

5.2 日志分析技巧

1. 启用详细日志：

   # /etc/strongswan/charon.conf
   charon {
    load_modular = yes
    debug_level = 2
    loggers {
        stderr {
            level = debug
            append = no
        }
    }
   }

2. 关键日志字段：

   • received packet：验证IKE消息类型
   • parsed TRANSFORM_SUBSTRUCT：检查算法协商结果
   • authentication succeeded：确认身份验证通过

六、实验总结与扩展应用

本实验成功验证了IPSec VPN网关的核心功能：

1. 安全性：通过AES-256加密和SHA-256哈希确保数据保密性
2. 可靠性：IKEv2协议支持MOBIKE（移动性扩展）
3. 兼容性：可与Cisco、Fortinet等厂商设备互操作

扩展应用场景：

• 云上VPN：在AWS VPC与本地数据中心间建立IPSec隧道
• 物联网安全：为低功耗设备提供轻量级加密通道
• 多云互联：实现阿里云与腾讯云VPC的安全互通

建议后续研究：

1. 对比IPSec与WireGuard的性能差异
2. 探索基于SDN的集中式VPN管理方案
3. 实践国密算法（SM2/SM3/SM4）在IPSec中的应用

通过本实验，开发者可系统掌握IPSec VPN网关的部署方法，为构建企业级安全通信网络奠定技术基础。实际部署时需结合具体业务需求调整安全策略，并定期进行密钥轮换和漏洞扫描。