在当今高度互联的商业环境中，远程办公、分支机构互联和数据加密传输已成为企业网络架构的核心需求，思科CSR 2（Cisco CSR 2）作为一款面向中小型企业及边缘网络场景的高性能虚拟路由器，其强大的功能和灵活的配置能力使其成为构建安全、可扩展网络的理想平台，当企业需要通过公网实现安全远程访问或跨地域站点互联时，配置虚拟专用网络（VPN）成为关键一步，本文将详细讲解如何在CSR2上部署和配置IPsec型VPN，确保数据传输的机密性、完整性和可用性。

明确需求：假设你是一家拥有总部与3个分支机构的企业，希望利用CSR2搭建点对点IPsec隧道，实现各站点之间的私有通信，CSR2支持多种VPN协议，但IPsec是当前最广泛采用的安全标准之一，尤其适合站点到站点（Site-to-Site）场景。

第一步：准备基础环境
确保CSR2运行的是支持IPsec功能的IOS-XE版本（建议使用17.9或以上），登录设备后，进入全局配置模式，定义本地和远端网络地址，

• 总部CSR2接口IP：192.168.1.1/24
• 分支机构CSR2接口IP：192.168.2.1/24

第二步：配置IPsec策略
创建一个IPsec提议（crypto ipsec transform-set），指定加密算法（如AES-256）、哈希算法（如SHA-256）和封装模式（默认为ESP），示例命令：

crypto ipsec transform-set MYTRANSFORM esp-aes 256 esp-sha-hmac
mode tunnel

第三步：定义安全关联（SA）
建立一个访问控制列表（ACL）来匹配需要加密的数据流：

access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255

创建一个Crypto Map并绑定到物理接口：

crypto map MYMAP 10 ipsec-isakmp  
match address 101  
set peer 192.168.2.1  
set transform-set MYTRANSFORM  

第四步：启用IKE（Internet Key Exchange）协商
配置ISAKMP策略以自动交换密钥：

crypto isakmp policy 10  
encryption aes 256  
hash sha256  
authentication pre-share  
group 14  
lifetime 86400  

第五步：配置预共享密钥（PSK）
在两端设备上设置相同的PSK，这是建立安全通道的关键：

crypto isakmp key mysecretkey address 192.168.2.1

应用crypto map到接口：

interface GigabitEthernet0/0  
crypto map MYMAP

完成上述步骤后，可通过show crypto session命令验证隧道状态，若显示“UP”，则表示IPsec隧道已成功建立，两个站点间的流量将自动加密传输,即使被截获也无法解析内容。

值得注意的是，CSR2还支持DMVPN（动态多点VPN）等高级功能，适用于大规模分布式网络，建议结合日志监控（如Syslog）和NTP时间同步,提升运维效率和安全性。

CSR2不仅具备强大的路由性能，还能通过标准化IPsec配置为企业提供高可靠、低成本的VPN解决方案，掌握这一技能，能让网络工程师在保障业务连续性的同时,从容应对日益复杂的网络安全挑战。