在现代企业网络架构中,安全可靠的远程访问和站点间互联至关重要，思科（Cisco）作为全球领先的网络设备供应商，其路由器、防火墙及ASA（Adaptive Security Appliance）产品广泛应用于企业级IPsec VPN部署，本文将详细讲解如何在两台思科设备之间配置IPsec VPN隧道，实现站点到站点（Site-to-Site）的加密通信，并提供可复用的配置模板与常见问题排查建议。

基础拓扑与需求说明
假设我们有两台思科路由器（R1 和 R2），分别位于不同地理位置（如北京和上海），目标是建立一条IPsec加密隧道，使北京内网（192.168.1.0/24）能够安全访问上海内网（192.168.2.0/24），双方均使用标准IKEv1协议（也可扩展为IKEv2），并启用ESP加密算法（如AES-256）和SHA哈希算法。

核心配置步骤

1. 接口配置与静态路由
   在R1上：

   interface GigabitEthernet0/0
    ip address 203.0.113.1 255.255.255.0
   !
   ip route 192.168.2.0 255.255.255.0 203.0.113.2

   同理,在R2上配置对端公网IP（203.0.113.2）和静态路由指向R1内网。

2. Crypto ISAKMP策略配置
   这部分定义密钥交换参数（IKE阶段1）：

   crypto isakmp policy 10
    encry aes 256
    hash sha
    authentication pre-share
    group 2
   crypto isakmp key mysecretkey address 203.0.113.2

   注意：mysecretkey 是预共享密钥，必须在两端一致；address 指定对端公网IP。

3. Crypto IPsec Transform Set
   定义数据加密规则（IKE阶段2）：

   crypto ipsec transform-set MYTRANSFORM esp-aes 256 esp-sha-hmac

4. Crypto Map 绑定与应用
   创建并绑定crypto map到外网接口：

   crypto map MYMAP 10 ipsec-isakmp
    set peer 203.0.113.2
    set transform-set MYTRANSFORM
    match address 100
   !
   interface GigabitEthernet0/0
    crypto map MYMAP

   其中ACL 100定义感兴趣流量：

   access-list 100 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255

验证与排错
完成配置后，使用以下命令验证：

• show crypto isakmp sa：查看IKE SA是否建立成功。
• show crypto ipsec sa：确认IPsec SA状态（应显示“active”）。
• ping 192.168.2.100：从R1测试跨隧道连通性。

常见问题包括：

• IKE协商失败：检查预共享密钥或防火墙是否阻断UDP 500端口；
• IPsec SA未建立：确认ACL匹配正确且对端路由可达；
• 数据包被丢弃：可能因NAT冲突，需启用crypto isakmp nat-traversal。

进阶建议
若环境复杂（如多站点或多VRF），建议结合GRE over IPsec或使用SD-WAN解决方案，定期更新密钥管理策略（如自动密钥轮换）可提升安全性。

通过上述配置,企业可构建稳定、安全的跨地域网络连接，实际部署时，务必在测试环境中充分验证后再上线，并记录完整配置文档以备维护。