在现代企业网络架构中，虚拟专用网络（Virtual Private Network, VPN）已成为保障远程访问安全、实现跨地域分支机构互联的重要技术手段，本次实验旨在通过实际操作，掌握基于Cisco路由器的IPSec VPN配置流程，验证站点到站点（Site-to-Site）VPN的连通性与安全性，并深入理解IKE（Internet Key Exchange）协议、AH/ESP加密机制及ACL策略在VPN中的作用。

实验环境搭建方面，我们使用Cisco Packet Tracer模拟器构建了一个包含两个分支机构（Branch A和Branch B）的拓扑结构，每一分支均配备一台Cisco 2911路由器作为边界设备，分别连接本地内网（Branch A: 192.168.10.0/24；Branch B: 192.168.20.0/24），并通过公网接口（如GigabitEthernet0/0）接入模拟互联网，两台路由器之间通过静态路由或动态路由协议（如EIGRP）实现网络可达性测试。

配置核心步骤如下：

第一步：基础接口配置
为每台路由器配置接口IP地址，确保各分支与ISP之间的连通性，在Branch A路由器上设置：

interface GigabitEthernet0/0
 ip address 203.0.113.1 255.255.255.0
 no shutdown

并启用默认路由指向“公网”端口,使内部主机能访问外部资源。

第二步：定义感兴趣流量（Traffic ACL）
使用标准ACL匹配需加密的数据流，例如仅允许从192.168.10.0/24到192.168.20.0/24的流量走VPN隧道：

access-list 101 permit ip 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255

第三步：配置IPSec策略（Crypto Map）
创建名为VPNCryptoMap的加密映射，指定IKE版本（v2）、预共享密钥、加密算法（AES-256）、哈希算法（SHA-1）及生命周期时间：

crypto isakmp policy 10
 encry aes 256
 hash sha
 authentication pre-share
 group 2
crypto isakmp key mysecretkey address 203.0.113.2
crypto ipsec transform-set MYTRANSFORM esp-aes 256 esp-sha-hmac
crypto map VPNCryptoMap 10 ipsec-isakmp
 set peer 203.0.113.2
 set transform-set MYTRANSFORM
 match address 101

第四步：应用加密映射至接口
将crypto map绑定到外网接口：

interface GigabitEthernet0/0
 crypto map VPNCryptoMap

第五步：验证与排错
使用命令show crypto session查看当前活跃的IPSec会话，确认SA（Security Association）已建立；通过ping和traceroute测试内网互通性，若失败，检查ACL是否遗漏、预共享密钥是否一致、NAT冲突是否影响ESP封装等常见问题。

实验结果显示，配置完成后，Branch A内的主机可成功访问Branch B的服务器，且所有传输数据均被加密，符合预期安全要求，本实验不仅巩固了我对IPSec协议栈的理解，更让我体会到网络安全策略与网络功能配置必须同步规划的重要性，未来可进一步拓展至DMVPN、SSL-VPN或结合SD-WAN解决方案,以应对复杂多变的企业网络需求。