在企业网络环境中,安全的远程访问是保障业务连续性和数据完整性的重要环节，Red Hat Enterprise Linux 6（RHEL 6）作为一款成熟且广泛部署的企业级操作系统，其内置的 IPsec 协议支持为构建安全的虚拟专用网络（VPN）提供了强大基础，本文将详细介绍如何在 RHEL 6 上使用 openswan（IPsec 实现之一）搭建一个基于预共享密钥（PSK）的站点到站点（Site-to-Site）IPsec VPN，适用于连接两个不同地理位置的分支机构或数据中心。

确保你的 RHEL 6 系统已更新至最新补丁级别，并安装必要的软件包，执行以下命令：

yum update -y
yum install openswan xl2tpd -y

openswan 是 RHEL 6 中默认支持的 IPsec 实现，而 xl2tpd 提供 L2TP 支持（常用于移动设备接入），如果你的目标是纯 IPsec 隧道，可以跳过 xl2tpd 安装。

编辑 /etc/ipsec.conf 文件来定义 IPsec 安全策略，以下是一个典型的站点到站点配置示例：

config setup
    protostack=netkey
    plutodebug=all
    dumpdir=/var/run/pluto/
    secretsfile=/etc/ipsec.secrets
conn site-to-site
    left=192.168.1.100          # 本地网关 IP（例如北京办公室）
    leftsubnet=192.168.1.0/24   # 本地子网
    right=192.168.2.100         # 对端网关 IP（例如上海办公室）
    rightsubnet=192.168.2.0/24  # 对端子网
    authby=secret
    auto=start
    type=tunnel
    keyexchange=ike
    ike=aes256-sha1-modp1024
    phase2alg=aes256-sha1

随后,在 /etc/ipsec.secrets 文件中添加预共享密钥：

168.1.100 192.168.2.100 : PSK "your_secure_pre_shared_key_here"

注意：请使用强密码作为 PSK，避免明文暴露，建议使用随机生成的密钥并妥善保管。

完成配置后,启动服务并检查状态：

service ipsec start
ipsec auto --add site-to-site
ipsec auto --up site-to-site

使用 ipsec status 查看隧道是否建立成功，如果看到“ESTABLISHED”状态，则说明 IPsec 隧道已激活。

需要启用 IP 转发和防火墙规则以允许流量通过，编辑 /etc/sysctl.conf：

net.ipv4.ip_forward = 1

然后执行 sysctl -p 生效，配置 iptables 规则：

iptables -A FORWARD -s 192.168.1.0/24 -d 192.168.2.0/24 -j ACCEPT
iptables -A FORWARD -s 192.168.2.0/24 -d 192.168.1.0/24 -j ACCEPT

对于 L2TP/IPsec 组合场景（如远程用户拨号），还需配置 xl2tpd，但本篇聚焦于站点间通信，不再赘述。

建议定期监控日志文件（/var/log/messages 或 journalctl -u ipsec）以排查故障，若遇到问题，可逐步启用 plutodebug 进行调试，定位 IKE 握手失败、认证错误或路由不通等问题。

RHEL 6 的 IPsec 配置虽略显复杂，但结构清晰、功能完备，适合对安全性要求较高的企业环境，掌握此技能不仅提升网络工程师的专业能力，也为后续迁移到更现代的 OpenSwan 或 StrongSwan 提供良好基础，在实际部署中，请务必结合具体网络拓扑、安全策略和合规要求进行优化调整。