在当今企业网络环境中,远程办公、分支机构互联和数据安全传输已成为刚需,Cisco路由器作为业界主流的网络设备,其强大的IPsec(Internet Protocol Security)功能为构建安全可靠的虚拟专用网络(VPN)提供了坚实基础,本文将详细介绍如何在Cisco路由器上配置IPsec站点到站点(Site-to-Site)VPN,以实现两个不同地理位置网络之间的加密通信。
确保你已具备以下前提条件:
- 两台Cisco路由器(如ISR系列或Catalyst 3850),分别位于不同地点;
- 每台路由器至少有一个公网IP地址(或通过NAT转换后的地址);
- 安全策略明确:允许192.168.1.0/24网段与192.168.2.0/24网段之间互通;
- 熟悉基本CLI命令行操作。
第一步:配置接口IP地址和静态路由
在两端路由器上配置各自的局域网接口和外网接口,在路由器A上:
interface GigabitEthernet0/0
ip address 192.168.1.1 255.255.255.0
no shutdown
interface GigabitEthernet0/1
ip address 203.0.113.1 255.255.255.0
no shutdown同样,在路由器B上配置对应接口,如192.168.2.1/24和203.0.113.2/24,然后配置静态路由,使流量能正确转发:
ip route 192.168.2.0 255.255.255.0 203.0.113.2第二步:定义感兴趣流量(Crypto ACL)
使用访问控制列表(ACL)指定哪些流量需要被加密,只加密从192.168.1.0/24到192.168.2.0/24的数据流:
access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255第三步:配置IPsec参数(IKE策略 + IPSec提议)
先定义IKE(Internet Key Exchange)v1或v2策略,用于协商密钥和身份验证:
crypto isakmp policy 10
encryption aes 256
hash sha
authentication pre-share
group 14
lifetime 86400接着定义IPsec安全提议(Transform Set),选择加密算法和封装模式:
crypto ipsec transform-set MYTRANSFORM esp-aes 256 esp-sha-hmac
mode tunnel第四步:创建Crypto Map并绑定到接口
将前面定义的IPsec参数与感兴趣流量关联,并应用到外网接口:
crypto map MYMAP 10 ipsec-isakmp
set peer 203.0.113.2
set transform-set MYTRANSFORM
match address 101将crypto map绑定到接口:
interface GigabitEthernet0/1
crypto map MYMAP第五步:配置预共享密钥(PSK)
在两端路由器上设置相同的PSK(建议使用强密码):
crypto isakmp key myStrongKey address 203.0.113.2第六步:验证与排错
完成配置后,使用以下命令检查状态:
show crypto isakmp sa // 查看IKE SA是否建立
show crypto ipsec sa // 查看IPsec SA状态
ping 192.168.2.1 // 测试连通性若遇到问题,请检查ACL匹配、PSK一致性、防火墙策略及NAT冲突(必要时使用crypto isakmp nat-traversal启用NAT穿透)。
通过上述步骤,你可以在Cisco路由器上成功部署一个稳定、安全的IPsec站点到站点VPN,这不仅保障了跨地域数据传输的机密性和完整性,还为企业构建了灵活、可扩展的网络架构,对于更复杂的场景(如动态路由、多分支互联),还可结合DMVPN或FlexVPN技术进一步优化,掌握Cisco IPsec配置,是每一位网络工程师必备的核心技能之一。
半仙加速器-海外加速器 | VPN加速器 | VPN翻墙加速器 | VPN梯子 | VPN外网加速
