隨著企業業務擴展，分支機構與總部之間的數據傳輸安全日益重要。某公司網絡架構中，總部與分支機構通過路由器R1和R2連接，為確保通信的機密性、完整性與可用性，需配置IPSec（Internet Protocol Security）安全策略。本文基于圖4-1所示的網絡拓撲，詳細闡述IPSec配置步驟與關鍵要點。

一、網絡拓撲與需求分析

假設網絡拓撲中，路由器R1位于總部，公網IP地址為203.0.113.1；路由器R2位于分支機構，公網IP地址為198.51.100.1。內部網絡方面，總部網段為192.168.1.0/24，分支機構網段為192.168.2.0/24。目標是通過IPSec隧道，加密兩地之間的流量，實現安全通信。

二、IPSec配置核心步驟

IPSec配置通常包括定義感興趣流量、設置IKE（Internet Key Exchange）策略、配置IPSec轉換集與加密映射，并應用于接口。以下以通用路由器配置（如Cisco IOS）為例說明關鍵命令邏輯。

1. 定義訪問控制列表（ACL）以識別感興趣流量
在R1和R2上分別創建ACL，指定需要加密的流量源和目的網段：
`
R1(config)# access-list 100 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
R2(config)# access-list 100 permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255
`

2. 配置IKE階段1（ISAKMP策略）建立管理連接
設置認證方式、加密算法、哈希算法與Diffie-Hellman組，確保兩端參數一致：
`
R1(config)# crypto isakmp policy 10
R1(config-isakmp)# encryption aes 256
R1(config-isakmp)# hash sha256
R1(config-isakmp)# authentication pre-share
R1(config-isakmp)# group 14
R1(config-isakmp)# lifetime 86400
`
在R2上配置相同參數。

3. 設置預共享密鑰
為兩端配置相同的密鑰（如“SecureKey2024”），并指定對端IP地址：
`
R1(config)# crypto isakmp key SecureKey2024 address 198.51.100.1
R2(config)# crypto isakmp key SecureKey2024 address 203.0.113.1
`

4. 配置IPSec轉換集（定義加密與認證算法）
創建轉換集，指定ESP（Encapsulating Security Payload）加密和認證方式：
`
R1(config)# crypto ipsec transform-set TSET esp-aes 256 esp-sha256-hmac
R1(cfg-crypto-trans)# mode tunnel
`
R2配置相同轉換集。

5. 創建加密映射并綁定配置
將ACL、對端地址、轉換集等要素整合到加密映射中：
`
R1(config)# crypto map CMAP 10 ipsec-isakmp
R1(config-crypto-map)# match address 100
R1(config-crypto-map)# set transform-set TSET
R1(config-crypto-map)# set peer 198.51.100.1
R1(config-crypto-map)# set security-association lifetime seconds 3600
`

6. 將加密映射應用于對外接口
在連接公網的接口（如Serial0/0/0）上應用加密映射：
`
R1(config)# interface Serial0/0/0
R1(config-if)# crypto map CMAP
`
R2進行類似配置。

三、驗證與故障排除

配置完成后，需通過以下命令驗證IPSec隧道狀態：

• show crypto isakmp sa：查看IKE階段1安全關聯。
• show crypto ipsec sa：檢查IPSec加密隧道詳情。
• 從總部PC（如192.168.1.10）向分支機構PC（如192.168.2.10）發起Ping測試，并捕獲流量確認數據已加密。

常見問題包括：ACL定義錯誤導致流量未加密、兩端算法或密鑰不匹配、NAT設備干擾等。建議結合信管網（如信管網提供的模擬器或上海網絡與信息安全軟件開發中的測試工具）進行仿真測試，確保配置可靠性。

四、安全增強建議

1. 定期更新預共享密鑰，或采用證書認證提升安全性。
2. 啟用抗重放攻擊保護，并監控IPSec隧道日志。
3. 結合防火墻策略，限制僅允許IPSec相關協議（UDP 500、4500及ESP協議）通過公網接口。

通過以上配置，路由器R1和R2可建立穩定的IPSec VPN隧道，保障分支機構與總部間通信的安全，滿足企業網絡與信息安全需求。在實際部署中，需根據設備型號和軟件版本調整命令，并遵循最小權限原則細化ACL規則。