在现代企业网络中，虚拟专用网络（VPN）已成为保障远程访问安全、实现跨地域分支机构互联的关键技术，作为网络工程师，掌握如何在思科（Cisco）路由器或防火墙上正确配置VPN，是日常运维中的基本技能之一，本文将详细讲解如何在思科设备上启用IPSec/SSL-VPN服务,以支持远程用户安全接入内网资源。

明确你的需求：你是在配置站点到站点（Site-to-Site）VPN，还是为远程员工提供客户端接入（Remote Access VPN）？两者配置方式不同，但都基于思科的IPSec协议框架，以下以常见的思科路由器（如Cisco ISR 1000系列）为例进行说明。

第一步：准备基础配置
确保设备已具备公网IP地址，并能通过SSH或Console访问,登录后进入全局配置模式：

Router> enable
Router# configure terminal

第二步：定义加密策略（Crypto Map）
创建一个用于站点间通信的IPSec策略，指定加密算法（如AES-256）、认证方式（SHA-1）和密钥交换协议（IKE v2）：

crypto isakmp policy 10
 encryption aes 256
 hash sha
 authentication pre-share
 group 14
crypto isakmp key your_pre_shared_key address 203.0.113.100   ! 对端公网IP

第三步：配置IPSec transform-set
定义数据传输过程中的加密与完整性保护机制：

crypto ipsec transform-set MYTRANSFORM esp-aes 256 esp-sha-hmac
 mode tunnel

第四步：创建crypto map并绑定接口
将上述策略应用到物理接口（如GigabitEthernet0/0）,使其对特定流量进行加密：

crypto map MYMAP 10 ipsec-isakmp
 set peer 203.0.113.100
 set transform-set MYTRANSFORM
 match address 100   ! 定义感兴趣流（ACL）
interface GigabitEthernet0/0
 crypto map MYMAP

第五步：配置感兴趣流（ACL）
定义哪些本地子网需要被加密传输：

ip access-list extended 100
 permit ip 192.168.1.0 0.0.0.255 10.0.0.0 0.0.0.255

第六步：验证与排错
使用命令检查隧道状态：

show crypto isakmp sa
show crypto ipsec sa
ping 10.0.0.1 source 192.168.1.1   ! 测试连通性

对于远程访问场景（如员工用AnyConnect客户端连接），需启用SSL-VPN功能,配置如下：

crypto ssl profile SSL_PROFILE
 client certificate local
 authentication method user_password

最后提醒：

• 确保两端设备时间同步（NTP），否则IKE协商失败；
• 合理规划IP地址段，避免与对端冲突；
• 使用强密码和预共享密钥（PSK）并定期更换；
• 建议配合日志监控（如syslog）及时发现异常。

通过以上步骤，你可以在思科设备上成功部署稳定可靠的VPN服务，为企业构建安全、灵活的远程访问能力，配置前务必备份当前运行配置（copy running-config startup-config）,以防误操作导致网络中断。