作为一名网络工程师，我经常遇到客户或企业用户希望在华为设备上搭建安全的远程访问通道，IPsec（Internet Protocol Security）VPN 是最常见、最成熟的选择之一，尤其适用于企业分支机构与总部之间的加密通信，我将详细介绍如何在主流的华为路由器（如AR系列）上添加并配置IPsec VPN,帮助你快速实现安全远程接入。

明确目标：我们要实现的是“站点到站点”（Site-to-Site）IPsec VPN，即两个不同地点的华为路由器之间建立加密隧道，用于传输私网流量,假设你已具备以下前提条件：

• 两台华为路由器均已通电并可管理；
• 已为两端配置静态公网IP地址（或动态DNS）；
• 网络拓扑清晰，内网段无冲突（如192.168.1.0/24 和 192.168.2.0/24）；
• 有权限登录设备 CLI（命令行界面）或使用eNSP模拟器测试。

第一步：配置本地接口和路由

在主路由器（A端）上，确保默认路由指向ISP,同时定义本端内网子网：

interface GigabitEthernet 0/0/0
 ip address 192.168.1.1 255.255.255.0
 quit
ip route-static 0.0.0.0 0.0.0.0 202.100.1.1   # 默认网关

第二步：定义IPsec安全策略（IKE + IPsec）

创建IKE提议（协商密钥交换参数）：

ike proposal 1
 encryption-algorithm aes-cbc
 authentication-algorithm sha1
 dh group 14
 prf hmac-sha1
 quit

然后创建IKE对等体（指定远端IP和预共享密钥）：

ike peer PeerA
 pre-shared-key cipher YourSecretKey123
 remote-address 203.100.1.100   # 对端公网IP
 ike-proposal 1
 quit

接下来定义IPsec安全提议（加密算法和封装模式）：

ipsec proposal PropA
 esp authentication-algorithm sha1
 esp encryption-algorithm aes-cbc
 quit

第三步：配置安全策略组并绑定到接口

创建安全策略组（把IKE和IPsec绑定在一起）：

acl number 3000
 rule permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255
 quit
traffic-policy ipsec-policy
 security-policy ipsec
 rule 1
 match acl 3000
 apply ipsec profile IPsecProf
 quit

在接口上应用IPsec策略：

interface GigabitEthernet 0/0/1
 ipsec policy ipsec-policy
 quit

第四步：验证与排错

配置完成后,使用以下命令查看状态：

display ike sa     # 查看IKE SA是否建立
display ipsec sa   # 查看IPsec SA状态
display ipsec session    # 查看当前会话
ping -a 192.168.1.1 192.168.2.100   # 测试连通性

若出现“SA未建立”问题，请检查预共享密钥是否一致、防火墙是否放行UDP 500和ESP协议（协议号50）,以及ACL是否覆盖了正确流量。

华为IPsec VPN配置虽然步骤较多，但结构清晰，是企业级网络中稳定可靠的解决方案，掌握这些操作不仅有助于日常运维，也为后续学习GRE over IPsec、L2TP/IPsec等高级场景打下基础，建议在生产环境前先用eNSP模拟器反复练习,确保每一步都理解透彻再上线。