在现代企业网络架构中,虚拟专用网络(VPN)已成为远程访问、站点间互联和安全通信的关键技术,作为网络工程师,掌握 Cisco 设备上配置 IPsec 或 SSL/TLS 类型的 VPN 是一项必备技能,本文将详细讲解如何使用 Cisco IOS 命令行接口(CLI)配置一个基本的站点到站点(Site-to-Site)IPsec VPN,并提供实际可操作的命令示例与关键配置要点。
确保你已具备以下前提条件:
- 两台 Cisco 路由器(或防火墙)分别位于不同地理位置;
- 每台路由器都有公网 IP 地址;
- 本地子网和远端子网不重叠(本地为 192.168.1.0/24,远端为 192.168.2.0/24);
- 已启用 SSH 或 Console 访问权限用于调试。
第一步:定义感兴趣的数据流(Traffic to be Encrypted) 使用访问控制列表(ACL)指定哪些流量需要加密,在本地路由器上执行:
ip access-list extended SITE_TO_SITE_ACL
permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255第二步:创建 Crypto Map(加密映射) 这是核心配置,定义了加密策略、对等体地址、预共享密钥(PSK)和加密算法,假设远端路由器公网 IP 是 203.0.113.10:
crypto isakmp policy 10
encryption aes 256
hash sha
authentication pre-share
group 14
lifetime 86400
crypto isakmp key mysecretkey address 203.0.113.10
crypto ipsec transform-set MY_TRANSFORM_SET esp-aes 256 esp-sha-hmac
mode tunnel
crypto map MY_CRYPTO_MAP 10 ipsec-isakmp
set peer 203.0.113.10
set transform-set MY_TRANSFORM_SET
match address SITE_TO_SITE_ACL第三步:应用 crypto map 到接口 将加密映射绑定到外网接口(如 GigabitEthernet0/0):
interface GigabitEthernet0/0
crypto map MY_CRYPTO_MAP第四步:验证与排错 配置完成后,使用以下命令验证连接状态:
show crypto isakmp sa // 查看 IKE SA 是否建立
show crypto ipsec sa // 查看 IPSec SA 状态
ping 192.168.2.1 // 测试连通性(目标远端子网内主机)若连接失败,请检查:
- 预共享密钥是否一致;
- ACL 是否匹配正确流量;
- NAT 是否干扰 ESP 协议(建议启用 crypto isakmp nat-traversal);
- 防火墙规则是否放行 UDP 500 和 4500 端口。
高级技巧补充:
- 使用动态路由协议(如 OSPF)自动传播隧道路由;
- 启用 GRE over IPsec 实现多播或组播传输;
- 在 ASA 或 ISR 上使用 Smart License 自动化管理。
通过以上步骤,你可以成功在 Cisco 设备上部署一个稳定、安全的 Site-to-Site IPsec VPN,这不仅是企业分支机构互联的基础,也是云迁移和混合办公环境的重要组成部分,作为网络工程师,理解并熟练掌握这些 CLI 命令,不仅能提升网络可靠性,还能快速响应故障,保障业务连续性,配置前务必做好拓扑规划和测试环境验证,避免生产环境误操作。
VPN加速器|半仙VPN加速器-免费VPN梯子首选半仙VPN
