在现代企业网络架构中,虚拟专用网络（Virtual Private Network, VPN）已成为保障远程访问安全、实现分支机构互联的重要技术手段，作为网络工程师，掌握如何在思科路由器上配置IPSec或SSL VPN，是日常运维与网络设计中的核心技能之一，本文将深入讲解如何使用思科IOS平台配置IPSec站点到站点（Site-to-Site）VPN，涵盖需求分析、拓扑规划、关键配置步骤以及常见问题排查，帮助读者快速构建稳定可靠的远程安全连接。

明确配置目标,假设你有两台思科路由器（R1和R2），分别位于总部和分公司，通过公网互联网建立加密隧道，实现内网段（如192.168.1.0/24 和 192.168.2.0/24）的互通，这是最典型的Site-to-Site IPSec场景。

第一步：准备基础环境
确保两台路由器具备公网IP地址（可通过ISP分配或使用NAT转换后的地址），并能互相ping通，配置静态路由或启用动态路由协议（如OSPF）以保证路由可达性，在R1上添加默认路由指向出口网关：

ip route 0.0.0.0 0.0.0.0 <公网下一跳>

第二步：定义感兴趣流量（Traffic to be Protected）
使用访问控制列表（ACL）指定需要加密传输的数据流，允许从总部内网到分公司的流量：

access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255

第三步：配置Crypto ISAKMP策略（IKE阶段1）
此阶段用于协商安全参数（如加密算法、认证方式等），推荐使用强加密标准，例如AES-256 + SHA-256 + DH Group 14：

crypto isakmp policy 10
 encry aes 256
 hash sha256
 authentication pre-share
 group 14
 lifetime 86400

第四步：配置预共享密钥（Pre-Shared Key）
在两端路由器上设置相同的密钥（建议使用复杂密码）：

crypto isakmp key mystrongkey address <对方公网IP>

第五步：定义IPSec安全提议（IKE阶段2）
指定数据加密和完整性验证方法，通常与IKE阶段1保持一致：

crypto ipsec transform-set MY_TRANSFORM_SET esp-aes 256 esp-sha-hmac
 mode tunnel

第六步：创建Crypto Map并绑定接口
将前面定义的transform set和感兴趣流量关联，并应用到外网接口：

crypto map MY_MAP 10 ipsec-isakmp
 set peer <对端公网IP>
 set transform-set MY_TRANSFORM_SET
 match address 101

在接口上应用crypto map：

interface GigabitEthernet0/0
 crypto map MY_MAP

完成上述配置后,使用show crypto isakmp sa和show crypto ipsec sa命令检查IKE和IPSec SA是否成功建立，若状态为“ACTIVE”，则表示隧道已正常运行。

常见问题排查包括：

• IKE协商失败：检查预共享密钥是否一致、时间同步（NTP）、防火墙是否阻断UDP 500端口；
• IPSec SA未建立：确认ACL匹配规则、MTU大小、接口方向是否正确；
• 流量无法穿越：检查路由表、NAT冲突、ACL是否放行。

思科路由器上的IPSec VPN配置虽然涉及多个模块，但只要按步骤执行并理解每一步的作用，就能高效完成部署，熟练掌握该技能不仅提升网络安全性，也为后续扩展SSL VPN或GRE over IPsec打下坚实基础，对于网络工程师来说，这是一项必须掌握的核心能力。