在现代企业网络架构中,远程访问安全至关重要，Red Hat Enterprise Linux 7（RHEL 7）作为广泛部署的企业级操作系统，其内置的 openswan 和 strongSwan 等 IPsec 实现工具，为企业提供了稳定、安全、可扩展的虚拟私有网络（VPN）解决方案，本文将详细介绍如何在 RHEL 7 上配置基于 IPsec 的站点到站点（Site-to-Site）和远程访问（Remote Access）型 VPN，确保数据传输的机密性、完整性和可用性。

确认系统环境,RHEL 7 默认安装时已包含 openswan（或可通过 yum 安装），使用命令 yum install openswan 可以安装所需软件包，配置文件主要位于 /etc/ipsec.conf 和 /etc/ipsec.secrets。ipsec.conf 是核心配置文件，定义了连接策略、加密算法、认证方式等；ipsec.secrets 存储预共享密钥（PSK）或其他身份凭证。

以站点到站点为例,假设你有两个分支机构 A 和 B，分别位于不同地理位置，需要通过互联网建立安全隧道，在 A 站点的 /etc/ipsec.conf 中添加如下配置：

conn site-to-site
    left=203.0.113.10      # A 站点公网IP
    right=198.51.100.20    # B 站点公网IP
    leftsubnet=192.168.1.0/24
    rightsubnet=192.168.2.0/24
    authby=secret
    auto=start
    type=tunnel
    keylife=1h
    ike=aes256-sha1-modp1024
    esp=aes256-sha1

对应的 ipsec.secrets 文件中写入预共享密钥：

0.113.10 198.51.100.20 : PSK "your_strong_pre_shared_key_here"

配置完成后,执行 ipsec start 启动服务，并用 ipsec status 检查状态是否为“READY”，若看到“connected”状态，则表示隧道成功建立。

对于远程访问场景（如员工在家办公），推荐使用 IKEv2 + EAP 认证方式，配合 FreeRadius 或 LDAP 进行用户身份验证，此时需启用 strongSwan（替代 openswan），配置更灵活且支持证书认证，在 /etc/swanctl/swanctl.conf 中定义一个远程接入策略，指定客户端子网、认证方法和证书路径，结合 Radius 服务器实现多因素登录。

必须重视防火墙设置,RHEL 7 使用 firewalld，默认开放 SSH、HTTP 等端口，但 IPsec 需要开放 UDP 500（IKE）和 UDP 4500（NAT-T）端口，可通过以下命令永久开启：

firewall-cmd --add-service=ipsec --permanent
firewall-cmd --reload

建议定期审计日志（/var/log/messages 或 journalctl -u ipsec）并监控连接状态，及时发现异常行为，通过合理的策略设计与持续运维，RHEL 7 上的 IPsec VPN 不仅能满足企业合规要求（如 PCI DSS、GDPR），还能有效防范中间人攻击、数据泄露等安全威胁。

RHEL 7 提供了成熟稳定的 IPsec 支持，是构建企业级安全远程访问通道的理想平台，掌握其配置流程，不仅能提升网络工程师的专业能力，更能为企业数字化转型提供坚实的安全底座。