在现代企业网络架构中,虚拟私人网络（VPN）是实现远程访问、站点间互联和安全通信的核心技术，作为网络工程师，掌握思科路由器上IPsec VPN的配置方法至关重要，本文将详细介绍如何在思科IOS路由器上配置点对点IPsec VPN，涵盖需求分析、关键组件说明、配置步骤、验证方法以及常见问题排查，帮助你快速构建稳定可靠的加密隧道。

明确配置目标,假设你的企业总部有一台思科ISR 4321路由器（接口GigabitEthernet0/0/0连接公网），需要与分支机构的一台同型号设备建立IPsec隧道，确保两个内网（如192.168.1.0/24 和 192.168.2.0/24）之间通过互联网安全传输数据。

第一步：规划IPsec参数

• 安全协议：使用IKEv1或IKEv2（推荐IKEv2，兼容性更好且支持NAT-T）
• 加密算法：AES-256
• 认证算法：SHA-256
• DH组：Group 14（2048位）
• 报文生命周期：3600秒（1小时）
• 隧道模式：隧道模式（默认，封装整个原始IP包）

第二步：配置IKE策略
进入全局配置模式后，定义IKE提议（Proposal）：

crypto isakmp policy 10
 encry aes 256
 authentication pre-share
 group 14
 lifetime 86400

此策略指定了加密强度、认证方式和密钥交换组，注意：双方必须配置相同的策略编号和参数。

第三步：配置预共享密钥
为两端路由器设置相同密钥：

crypto isakmp key MYSECRETKEY address 203.0.113.100   ! 分支机构IP地址

第四步：定义IPsec transform set（加密模板）

crypto ipsec transform-set MYTRANSFORM esp-aes 256 esp-sha-hmac
 mode tunnel

该模板定义了加密和哈希算法,同时启用隧道模式。

第五步：创建访问控制列表（ACL）以指定感兴趣流量

access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255

此ACL匹配两个子网之间的流量,作为IPsec保护的对象。

第六步：应用IPsec策略到接口

crypto map MYMAP 10 ipsec-isakmp
 set peer 203.0.113.100
 set transform-set MYTRANSFORM
 match address 101

将crypto map绑定到外网接口：

interface GigabitEthernet0/0/0
 crypto map MYMAP

第七步：验证与调试
完成配置后，使用以下命令检查状态：

• show crypto isakmp sa：查看IKE SA是否建立
• show crypto ipsec sa：确认IPsec SA状态（Active）
• ping 192.168.2.1 source 192.168.1.1：测试连通性

若失败,可启用调试：

debug crypto isakmp
debug crypto ipsec

常见问题包括：预共享密钥不匹配、ACL规则错误、防火墙阻断UDP 500端口（IKE）或ESP协议（IP Protocol 50）。

思科路由器IPsec VPN配置涉及多个模块协同工作，务必确保两端配置一致，并通过分层调试快速定位问题，随着SD-WAN技术兴起，传统IPsec仍广泛应用于遗留网络，掌握其原理和操作是网络工程师的基本功，建议在实验环境中反复练习，再部署至生产环境。