在现代企业网络架构中，安全可靠的远程访问机制至关重要，IPSec（Internet Protocol Security）作为业界广泛采用的虚拟专用网络（VPN）协议，能够为跨公网的数据传输提供加密、完整性验证和身份认证保障，对于网络工程师而言，掌握在华为设备上配置IPSec VPN的能力，是日常运维和项目实施中的核心技能之一，本文将通过华为eNSP（Enterprise Network Simulation Platform）模拟器，详细介绍如何在两台华为路由器之间配置IPSec隧道，实现站点到站点（Site-to-Site）的加密通信。

确保你已安装并启动华为eNSP模拟器，并加载两台AR2220或类似型号的路由器设备（假设分别为R1和R2），分别模拟总部和分支机构的边界设备，它们之间通过公共网络（如互联网）连接,我们将在其上建立IPSec隧道。

第一步：配置接口IP地址
在R1上配置外网接口（例如GigabitEthernet 0/0/0）为公网IP（如192.168.1.1/24），内网接口（如GigabitEthernet 0/0/1）为私网IP（如192.168.10.1/24），同理，在R2上配置外网接口为192.168.2.1/24，内网接口为192.168.20.1/24，确保两个路由器之间可以通过公网IP互相ping通,这是后续配置的基础。

第二步：定义感兴趣流量（Traffic Policy）
使用ACL（访问控制列表）指定需要加密传输的数据流,在R1上配置如下规则：

acl number 3000
 rule 5 permit ip source 192.168.10.0 0.0.0.255 destination 192.168.20.0 0.0.0.255

这表示源子网192.168.10.0/24到目标子网192.168.20.0/24的所有流量都应被IPSec保护。

第三步：配置IKE策略（第一阶段）
IKE（Internet Key Exchange）负责协商密钥和建立SA（Security Association）,在R1上配置IKE提议和对等体信息：

ike proposal 1
 encryption-algorithm aes
 authentication-algorithm sha2
 dh group 14
 ike peer R2
 pre-shared-key cipher Huawei@123
 remote-address 192.168.2.1

注意：R2上需配置相同的IKE提议和对等体,且预共享密钥必须一致。

第四步：配置IPSec策略（第二阶段）
定义IPSec SA参数，包括加密算法（如AES）、认证算法（如SHA-1）以及生存时间：

ipsec proposal 1
 encapsulation-mode tunnel
 esp encryption-algorithm aes
 esp authentication-algorithm sha1

第五步：应用IPSec策略到接口
将IPSec策略与感兴趣流量绑定,并应用到外网接口：

ipsec policy policy1 1 isakmp
 security acl 3000
 proposal 1
 interface GigabitEthernet 0/0/0
 ipsec policy policy1

完成以上步骤后，在R1和R2上执行display ipsec session查看隧道状态是否为“Established”，从R1的内网主机（192.168.10.x）可以安全地访问R2的内网主机（192.168.20.x），数据包经过公网时已加密,有效防止窃听与篡改。

通过华为eNSP模拟器进行IPSec VPN配置，不仅能帮助工程师理解协议原理，还能在不投入真实硬件的前提下进行测试与排错，熟练掌握这一流程，有助于快速部署企业级安全互联方案,提升网络可靠性与安全性。