Linux网络IPsec协议详解（手把手教你配置安全通信）

在当今互联网环境中，数据安全变得越来越重要。无论是企业内网通信，还是远程办公连接，都需要可靠的加密机制来保障信息不被窃取或篡改。而IPsec（Internet Protocol Security）正是实现这一目标的关键技术之一。

本教程将从零开始，带你了解什么是IPsec、它在Linux系统中如何工作，并通过实际操作演示如何配置一个基本的IPsec隧道。即使你是Linux新手，也能轻松上手！

什么是IPsec？

IPsec 是一套用于保护IP通信安全的协议套件，它工作在网络层（OSI模型第3层），可以对整个IP数据包进行加密和/或认证。IPsec常用于构建虚拟专用网络（VPN），确保两个网络节点之间的通信私密、完整且不可否认。

IPsec包含两个主要协议：

• AH（Authentication Header）：提供数据源认证和完整性校验，但不加密数据。
• ESP（Encapsulating Security Payload）：提供加密、认证和完整性保护，是目前最常用的IPsec组件。

为什么在Linux中使用IPsec？

Linux系统因其开源、稳定和高度可定制的特性，广泛应用于服务器和网络设备中。通过在Linux上部署IPsec，你可以：

• 建立站点到站点（Site-to-Site）的安全隧道
• 实现远程用户安全接入公司内网
• 保护关键服务（如数据库同步、文件传输）免受中间人攻击

常见的IPsec实现工具有：strongSwan、Libreswan 和 OpenSwan。本教程将以 Libreswan 为例（它是Red Hat系发行版如CentOS、RHEL的默认选择）。

准备工作

你需要两台运行Linux的机器（可以是物理机或虚拟机），假设它们的IP地址如下：

• 主机A：192.168.1.10
• 主机B：192.168.1.20

确保两台机器之间网络互通，并关闭防火墙或开放相应端口（UDP 500、4500，以及ESP协议）。

安装Libreswan

在两台主机上执行以下命令安装Libreswan：

# CentOS / RHEL / Rocky Linuxsudo yum install -y libreswan# Ubuntu / Debian（需先启用universe仓库）sudo apt updatesudo apt install -y libreswan  

配置IPsec连接

编辑IPsec配置文件 /etc/ipsec.conf，在两台主机上分别配置：

主机A（192.168.1.10）配置：

config setup    protostack=netkeyconn mytunnel    authby=secret    left=192.168.1.10    leftid=@hostA    right=192.168.1.20    rightid=@hostB    ike=aes256-sha2_256-modp2048!    esp=aes256-sha2_256!    keyingtries=3    ikelifetime=8h    lifetime=1h    dpddelay=30    dpdtimeout=120    dpdaction=clear    auto=start  

主机B（192.168.1.20）配置：

config setup    protostack=netkeyconn mytunnel    authby=secret    left=192.168.1.20    leftid=@hostB    right=192.168.1.10    rightid=@hostA    ike=aes256-sha2_256-modp2048!    esp=aes256-sha2_256!    keyingtries=3    ikelifetime=8h    lifetime=1h    dpddelay=30    dpdtimeout=120    dpdaction=clear    auto=start  

设置预共享密钥

在两台主机的 /etc/ipsec.secrets 文件中添加相同的密钥：

@hostA @hostB : PSK "MySuperSecureIPsecKey123!"  

注意：密钥必须一致，且建议使用强密码。

启动并验证IPsec服务

在两台主机上执行以下命令：

# 启用并启动服务sudo systemctl enable ipsecsudo systemctl start ipsec# 检查状态sudo ipsec status  

如果看到 mytunnel 处于 ESTABLISHED 状态，说明IPsec隧道已成功建立！

测试通信

现在，你可以尝试从主机A ping 主机B 的私有IP，流量将自动通过IPsec加密隧道传输：

ping 192.168.1.20  

使用 tcpdump 抓包可观察到ESP加密包（而非明文ICMP）。

常见问题与排查

• 确保时间同步（使用NTP），否则IKE协商可能失败
• 检查SELinux是否阻止了IPsec（可临时设为permissive模式测试）
• 查看日志：journalctl -u ipsec -f

结语

通过本教程，你已经掌握了在Linux系统中配置基础IPsec隧道的方法。IPsec作为一项成熟的网络加密协议，在保障企业通信安全方面发挥着重要作用。熟练运用Linux网络安全工具如IPsec，不仅能提升你的运维能力，还能为企业构建更坚固的防御体系。

记住，安全不是一次性的配置，而是持续的过程。定期更新密钥、审计日志、监控连接状态，才能真正发挥IPsec配置的价值。

希望这篇关于IPsec的入门指南对你有所帮助！如有疑问，欢迎在评论区交流。