在当前企业网络架构中,远程办公和分支机构互联已成为常态，为了保障数据传输的安全性与完整性，IPSec（Internet Protocol Security）协议作为业界标准的网络安全协议，被广泛应用于虚拟专用网络（VPN）场景中，华为USG2130是一款面向中小型企业设计的下一代防火墙（NGFW），具备强大的安全防护能力，同时支持灵活的IPSec VPN配置，本文将详细介绍如何在USG2130上配置IPSec VPN，实现总部与分支机构或远程用户之间的安全通信。

配置前需明确以下前提条件：

• USG2130已正确连接至互联网,并获取公网IP地址；
• 对端设备（如另一台USG2130、路由器或第三方VPN网关）也已完成基本网络配置；
• 双方需协商一致的加密算法（如AES-256）、认证算法（如SHA-256）及DH密钥交换组（如Group 14）；
• 已规划好本地和远端子网地址段,避免冲突。

第一步是登录USG2130管理界面（可通过Web或Console口），进入“VPN > IPSec > 隧道”页面，点击“新建”创建一个IPSec隧道，关键参数包括：

• 隧道名称：Branch-to-HQ”；
• 本端接口：选择外网接口（如GigabitEthernet 1/0/1）；
• 对端IP地址：填写对端公网IP；
• 本地子网：输入本地内网网段（如192.168.1.0/24）；
• 远端子网：输入对端内网网段（如192.168.2.0/24）；
• IKE策略：建议使用IKEv2，设置预共享密钥（PSK）并启用“主模式”以提高安全性；
• IPSec策略：定义加密套件（如ESP-AES-256-SHA256）、生命周期（建议3600秒）以及PFS（完美前向保密）功能。

第二步是配置安全策略（Security Policy），进入“策略 > 安全策略”，添加一条允许IPSec流量通过的规则，源区域为“Trust”（内网），目的区域为“Untrust”（外网），服务选择“IPSec”，动作设为“允许”，这一步确保IPSec隧道建立后，内部业务流量可被转发。

第三步是测试与验证,完成配置后，可在USG2130命令行执行 display ike sa 和 display ipsec sa 查看IKE和IPSec SA是否成功建立，若状态为“Established”，说明隧道已激活，本地主机可ping通对端子网中的设备，证明链路正常。

特别提醒：若遇到连接失败，应检查日志信息（“日志 > 系统日志”），常见问题包括：

• PSK不匹配（双方必须完全一致）；
• NAT穿越未启用（若对端存在NAT，需勾选“启用NAT穿越”）；
• 时间同步错误（IKE依赖时间戳，建议配置NTP服务器）；
• 防火墙默认拒绝策略覆盖了IPSec流量（需显式放行）。

USG2130通过IPSec VPN不仅实现了跨地域的数据加密传输，还融合了应用层过滤、入侵防御等高级功能，为企业构建了纵深防御体系，对于网络工程师而言，熟练掌握此类配置技能，不仅能提升运维效率，更能有效应对日益复杂的网络安全挑战，随着SD-WAN与零信任架构的发展，IPSec仍将作为基础安全技术之一，在混合云和多分支环境中发挥重要作用。