在企业网络架构中,站点到站点（Site-to-Site）IPSec VPN 是实现不同地理位置分支机构安全互联的核心技术之一，作为资深网络工程师，我经常遇到客户在使用 Cisco ASA（Adaptive Security Appliance）9.1 版本时，因配置复杂或文档不全导致部署失败的问题，本文将结合实际项目经验，详细讲解如何在 ASA 9.1 中正确配置站点到站点 IPSec VPN，并提供常见错误排查方法，帮助你快速完成部署。

确认你的 ASA 设备已运行 ASA 9.1 或更高版本，且具备合法的授权（如 AnyConnect、IPSec 等功能模块），在开始配置前，请确保两端 ASA 的公网 IP 地址可互通，且防火墙策略允许 IKE（Internet Key Exchange）和 ESP（Encapsulating Security Payload）协议通过（UDP 500 和协议 50/51）。

第一步：定义感兴趣流量（Crypto Map）

在 ASA 上，需创建一个 crypto map 来指定哪些本地子网要通过隧道传输。

crypto map MYVPN 10 ipsec-isakmp
 set peer <远程ASA公网IP>
 set transform-set AES256-SHA
 match address 100

transform-set 定义加密算法（建议使用 AES-256 + SHA-1），而 match address 100 指向访问控制列表（ACL），用于定义源和目的地址范围。

第二步：配置 ACL（感兴趣流）

access-list 100 extended permit ip 192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.0

此 ACL 表示本地网段 192.168.1.0/24 到对端网段 192.168.2.0/24 的流量需要加密。

第三步：配置 IKE 策略（ISAKMP Policy）

isakmp policy 10
 encryption aes-256
 hash sha
 authentication pre-share
 group 5
 lifetime 86400

注意：IKEv1 是 ASA 9.1 默认支持的协议，若需启用 IKEv2，需额外配置 isakmp identity address 和 crypto map 中的 set isakmp profile。

第四步：设置预共享密钥（Pre-Shared Key）

isakmp key mysecretkey address <远程ASA公网IP>

第五步：应用 crypto map 到接口

crypto map MYVPN interface outside

检查状态：

• show crypto session 查看当前活跃会话。
• show crypto isakmp sa 查看 IKE SA 是否建立成功。
• show crypto ipsec sa 查看 IPSec SA 状态。

常见问题：

1. IKE SA 建立失败：检查预共享密钥是否一致、防火墙是否阻断 UDP 500 端口。
2. IPSec SA 不建立：确认 transform-set 匹配、ACL 正确、NAT 穿透（NAT-T）是否启用（通常默认开启）。
3. 无法通信：检查路由表是否指向隧道接口，以及对端 ASA 是否有对应路由。

ASA 9.1 虽然是较老版本，但其 IPSec 功能稳定可靠，只要按照上述步骤逐项验证，基本可以解决绝大多数配置问题，建议在测试环境先模拟部署，再上线生产环境，避免影响业务连续性。