在现代企业网络架构中,虚拟专用网络（VPN）已成为远程办公、分支机构互联和安全数据传输的核心技术，作为网络工程师，掌握思科设备上配置VPN的能力是必备技能之一，本文将带你从零开始，系统讲解如何在思科路由器或防火墙上配置IPsec类型的站点到站点（Site-to-Site）VPN，适用于Cisco IOS、IOS-XE或ASA防火墙平台。

明确配置目标：建立两个站点之间的加密隧道，确保数据在公网上传输时的安全性，假设你有两台思科设备——一台位于总部（Router A），另一台位于分支机构（Router B），我们需要配置IPsec策略、预共享密钥（PSK）、访问控制列表（ACL）以及crypto map等关键组件。

第一步：规划网络拓扑与地址
确保两端设备的内部子网不重叠，例如总部内网为192.168.1.0/24，分支机构为192.168.2.0/24，两台设备必须能通过公网IP互访（如A的公网IP是203.0.113.10，B的是203.0.113.20）。

第二步：配置IKE（Internet Key Exchange）阶段1参数
这是建立安全信道的过程，在两台路由器上分别执行以下命令：

crypto isakmp policy 10
 encry aes
 hash sha
 authentication pre-share
 group 5
 lifetime 86400

然后设置预共享密钥：

crypto isakmp key your_secret_key address 203.0.113.20   // 在Router A上
crypto isakmp key your_secret_key address 203.0.113.10   // 在Router B上

第三步：定义IPsec策略（IKE阶段2）
这一步定义实际的数据加密规则，创建一个transform-set：

crypto ipsec transform-set MYSET esp-aes esp-sha-hmac
 mode tunnel

接着创建访问控制列表（ACL），指定哪些流量需要加密：

access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255

第四步：绑定crypto map
将上述配置整合到一个crypto map中，并应用到外网接口：

crypto map MYMAP 10 ipsec-isakmp
 set peer 203.0.113.20
 set transform-set MYSET
 match address 101

在外网接口启用该crypto map：

interface GigabitEthernet0/1
 crypto map MYMAP

第五步：验证与排错
使用以下命令检查连接状态：

• show crypto isakmp sa — 查看IKE SA是否建立成功
• show crypto ipsec sa — 检查IPsec SA状态
• ping 192.168.2.1 — 测试跨站点连通性

如果出现失败,常见问题包括ACL未正确匹配、PSK不一致、NAT冲突或端口被防火墙阻断，此时应逐一排查，尤其注意NAT穿透（NAT-T）是否启用（可通过crypto isakmp nat-traversal开启）。

若使用思科ASA防火墙,流程类似但语法略有不同，需使用crypto map或更现代的crypto ikev2 policy，对于移动用户场景，还可配置SSL-VPN（如AnyConnect），其配置更为灵活，适合终端用户接入。

思科IPsec VPN配置虽看似复杂，但只要遵循“规划—IKE—IPsec—ACL—绑定”的逻辑顺序，就能高效完成部署，熟练掌握后，你不仅能保障企业通信安全，还能为后续SD-WAN、零信任架构打下坚实基础，实践是最好的老师——建议在模拟器（如GNS3或Packet Tracer）中反复练习，直到真正精通。