在现代企业网络架构中，虚拟私人网络（VPN）是实现远程访问、站点间互联和安全通信的核心技术，作为网络工程师，掌握如何在Cisco设备（如路由器或防火墙）上配置IPsec VPN至关重要，本文将详细讲解如何在Cisco IOS平台上配置一个基于预共享密钥（PSK）的IPsec站点到站点（Site-to-Site）VPN，涵盖规划、配置步骤、验证与常见问题排查，帮助你快速构建可靠、安全的加密隧道。

前期准备与拓扑规划
首先明确你的需求：两个站点（如总部和分支机构）需要通过互联网建立加密连接，假设总部路由器为R1（公网IP 203.0.113.1），分支机构为R2（公网IP 198.51.100.1），各自内网分别为192.168.1.0/24 和 192.168.2.0/24，你需要确保两端路由器均支持IPsec协议（Cisco IOS默认支持）且能访问互联网。

配置步骤详解

1. 配置接口与路由
   在R1上：

   interface GigabitEthernet0/0
   ip address 203.0.113.1 255.255.255.0
   no shutdown
   !
   ip route 0.0.0.0 0.0.0.0 203.0.113.254  # 默认网关指向ISP

在R2上类似,设置其外网接口和默认路由。

2. 创建访问控制列表（ACL）定义感兴趣流量
   在R1上：

   access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255

   这表示源子网192.168.1.0/24到目标子网192.168.2.0/24的数据包应被IPsec保护。

3. 配置ISAKMP策略（IKE Phase 1）

   crypto isakmp policy 10
   encry aes 256
   hash sha
   authentication pre-share
   group 14
   lifetime 86400

   这里选择AES-256加密、SHA哈希、预共享密钥认证，使用Diffie-Hellman组14（更安全的DH参数）。

4. 配置IPsec transform set（IKE Phase 2）

   crypto ipsec transform-set MYSET esp-aes 256 esp-sha-hmac
   mode tunnel

   指定ESP加密算法（AES-256）、完整性验证（SHA-HMAC）,并启用隧道模式。

5. 创建Crypto Map并绑定到接口

   crypto map MYMAP 10 ipsec-isakmp
   set peer 198.51.100.1
   set transform-set MYSET
   match address 101

   最后应用到接口：

   interface GigabitEthernet0/0
   crypto map MYMAP

6. 设置预共享密钥（关键一步！）

   crypto isakmp key mysecretkey address 198.51.100.1

   此命令必须在两端都配置相同密钥,且地址对应对方公网IP。

验证与排错
完成配置后，执行以下命令检查状态：

• show crypto isakmp sa：查看IKE SA是否建立成功（STATUS应为ACTIVE）
• show crypto ipsec sa：确认IPsec SA是否激活
• ping 192.168.2.100 source 192.168.1.1：测试连通性

若失败，常见原因包括：

• 密钥不一致（双方必须完全相同）
• ACL未正确匹配流量
• 端口被防火墙阻断（UDP 500和4500端口必须开放）
• NAT穿透问题（可添加crypto isakmp nat-traversal）

高级建议

• 使用证书替代PSK提升安全性（需CA环境）
• 启用日志监控：logging trap debugging
• 定期轮换密钥（可通过脚本自动化）

Cisco IPsec VPN配置虽涉及多个模块，但遵循“先接口、再ACL、后策略”的逻辑即可高效完成，熟练掌握这些步骤，不仅能保障数据传输机密性，还能为你应对复杂的混合云或多分支场景打下坚实基础，安全不是一次性配置,而是持续优化的过程。