作为一名网络工程师，掌握虚拟化环境下的安全通信技术至关重要，IPsec（Internet Protocol Security）作为保障网络层数据传输安全的标准协议，广泛应用于企业分支机构互联、远程办公接入等场景，而GNS3（Graphical Network Simulator-3）作为业界领先的网络仿真平台，为我们在不依赖物理设备的前提下搭建复杂拓扑和测试安全策略提供了绝佳工具，本文将详细演示如何在GNS3中构建一个基于IPsec的站点到站点VPN（Site-to-Site VPN）,帮助你快速掌握关键配置步骤与排错技巧。

确保你已安装并配置好GNS3环境，推荐使用GNS3 2.2以上版本，支持Cisco IOS、Juniper JunOS、Linux路由器（如VyOS）等多种设备镜像，本次实验使用两台Cisco 1941路由器模拟两个站点（Site A 和 Site B）,并通过IPsec实现加密隧道通信。

第一步：规划网络拓扑
我们设定Site A的内网为192.168.10.0/24，公网接口为10.0.0.1；Site B的内网为192.168.20.0/24，公网接口为10.0.0.2，两台路由器通过公共网络（模拟器中的“云”或外部网络）连接,实际部署中即为互联网。

第二步：基础网络配置
在每台路由器上配置接口IP地址、默认路由，并确保能互相ping通，在Site A路由器上：

interface GigabitEthernet0/0
 ip address 10.0.0.1 255.255.255.0
 no shutdown
ip route 0.0.0.0 0.0.0.0 10.0.0.2

Site B同理，设置其默认路由指向Site A。

第三步：配置IPsec策略
这是核心步骤，在Site A上创建访问控制列表（ACL）定义受保护的数据流：

access-list 101 permit ip 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255

接着配置IKE（Internet Key Exchange）策略，选择加密算法（如AES-256）、哈希算法（SHA256）和DH组（Group 2）：

crypto isakmp policy 10
 encr aes 256
 hash sha256
 authentication pre-share
 group 2

然后配置预共享密钥（PSK）：

crypto isakmp key mysecretkey address 10.0.0.2

第四步：配置IPsec transform set与crypto map
定义加密变换集：

crypto ipsec transform-set MYTRANSFORM esp-aes 256 esp-sha-hmac

最后绑定到crypto map并应用到接口：

crypto map MYMAP 10 ipsec-isakmp
 set peer 10.0.0.2
 set transform-set MYTRANSFORM
 match address 101
interface GigabitEthernet0/0
 crypto map MYMAP

第五步：验证与排错
使用命令 show crypto session 查看会话状态是否建立成功，若失败，检查ACL匹配、PSK一致性、NAT冲突（尤其在公网环境中）以及防火墙规则，GNS3支持抓包功能（Wireshark集成）,可直观观察ESP封装过程。

通过上述步骤，你就能在GNS3中完成一个完整的IPsec站点到站点VPN部署，这种实践不仅加深了对IPsec工作原理的理解，也为真实网络环境中的安全架构设计打下坚实基础，配置前务必理解每个参数的作用,避免因误操作导致隧道无法建立。