一、实验背景与目标

IPSEC VPN作为企业级远程访问的核心技术，通过加密隧道实现跨网络的安全通信。网关模式（Gateway Mode）作为其典型部署方式，允许不同网络通过专用设备建立IPSEC隧道，适用于分支机构互联、远程办公等场景。本实验旨在通过模拟企业网络环境，验证网关模式下IPSEC VPN的配置流程、安全性能及故障排查方法。

实验环境由两台支持IPSEC的路由器（或虚拟网关）组成，分别代表总部（HQ）与分支机构（Branch），通过公共网络模拟广域网连接。实验目标包括：1）配置基于预共享密钥（PSK）的IPSEC隧道；2）验证数据加密与完整性保护；3）分析隧道建立过程中的日志与错误信息。

二、实验环境准备

1. 硬件与软件配置

• 设备选择：实验采用两台Cisco路由器（或GNS3模拟器中的虚拟路由器），型号需支持IPSEC功能（如Cisco ISR G2系列）。
• 操作系统：路由器需运行IOS 15.x或更高版本，确保支持IKEv1/IKEv2协议。
• 网络拓扑：HQ路由器（R1）与Branch路由器（R2）通过以太网接口连接模拟的公共网络，接口IP地址分别配置为203.0.113.1/24与203.0.113.2/24。

2. 基础网络配置

在两台路由器上完成以下配置：

! HQ路由器配置示例
interface GigabitEthernet0/0
 ip address 203.0.113.1 255.255.255.0
 no shutdown
! Branch路由器配置示例
interface GigabitEthernet0/0
 ip address 203.0.113.2 255.255.255.0
 no shutdown

通过ping命令验证两台路由器之间的基础连通性，确保后续IPSEC配置可正常进行。

三、IPSEC VPN网关模式配置

1. 配置IKE（Internet Key Exchange）策略

IKE负责密钥交换与身份认证，是IPSEC隧道建立的基础。配置步骤如下：

! HQ路由器IKE策略配置
crypto isakmp policy 10
 encryption aes 256
 hash sha
 authentication pre-share
 group 14
 lifetime 86400
! 定义预共享密钥
crypto isakmp key cisco123 address 203.0.113.2

• 参数说明：
  • encryption aes 256：使用AES-256加密算法，提供高强度加密。
  • hash sha：采用SHA-1哈希算法验证数据完整性。
  • authentication pre-share：使用预共享密钥进行身份认证。
  • group 14：指定Diffie-Hellman组为14，提供2048位密钥长度。

Branch路由器需配置对称的IKE策略，确保双方参数一致。

2. 配置IPSEC变换集（Transform Set）

变换集定义了IPSEC隧道的数据加密与认证方式。示例配置如下：

! HQ路由器变换集配置
crypto ipsec transform-set TRANS_SET esp-aes 256 esp-sha-hmac
 mode tunnel

• 参数说明：
  • esp-aes 256：使用ESP协议与AES-256加密。
  • esp-sha-hmac：使用ESP协议与SHA-1 HMAC进行完整性验证。
  • mode tunnel：指定隧道模式，封装原始IP数据包。

3. 配置加密访问列表（Crypto ACL）

通过ACL定义需保护的数据流，示例如下：

! HQ路由器加密ACL配置
access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255

该ACL允许从HQ网络（192.168.1.0/24）到Branch网络（192.168.2.0/24）的IP流量通过IPSEC隧道传输。

4. 配置加密映射（Crypto Map）

加密映射将IKE策略、变换集与加密ACL关联，示例如下：

! HQ路由器加密映射配置
crypto map CRYPTO_MAP 10 ipsec-isakmp
 set peer 203.0.113.2
 set transform-set TRANS_SET
 match address 101

将加密映射应用到路由器接口：

interface GigabitEthernet0/0
 crypto map CRYPTO_MAP

四、实验验证与故障排查

1. 隧道建立验证

通过以下命令检查隧道状态：

show crypto isakmp sa  ! 查看IKE安全关联
show crypto ipsec sa   ! 查看IPSEC安全关联

成功建立后，输出应显示ACTIVE状态的SA，并包含加密算法、密钥长度等参数。

2. 数据传输测试

从HQ网络（192.168.1.10）向Branch网络（192.168.2.10）发起ping测试，验证数据是否通过IPSEC隧道传输。通过抓包工具（如Wireshark）分析流量，确认数据包被ESP协议封装。

3. 常见故障排查

• 隧道无法建立：检查IKE策略参数是否一致，预共享密钥是否正确。
• 数据传输失败：验证加密ACL是否匹配实际流量，接口是否正确应用加密映射。
• 性能问题：调整加密算法（如从AES-256降级为AES-128）或优化IKE组参数。

五、实验总结与扩展

本实验通过网关模式成功部署了IPSEC VPN，验证了其加密通信与身份认证功能。实际应用中，可进一步扩展以下场景：

1. 多分支机构互联：通过动态路由协议（如OSPF）与IPSEC结合，实现自动路由更新。
2. 高可用性设计：部署双活网关与故障转移机制，提升网络可靠性。
3. 混合云集成：将IPSEC VPN与云服务商的虚拟私有网络（VPC）对接，实现混合云架构。

通过本实验，读者可掌握IPSEC VPN网关模式的核心配置方法，为实际网络部署提供技术参考。