在当今企业与家庭网络环境中，通过虚拟私人网络（VPN）实现跨地域的安全通信已成为标配，尤其当两台位于不同物理位置的路由器需要建立加密隧道以共享资源、访问内部服务或搭建远程办公环境时，配置基于路由器的站点到站点（Site-to-Site）VPN 是一个高效且成本低廉的解决方案，本文将详细介绍如何在两台主流品牌路由器（如Cisco和TP-Link）上完成基础的IPSec协议配置,确保数据传输的安全性与稳定性。

准备阶段至关重要，你需要确认以下前提条件：

1. 两台路由器均支持IPSec功能（大多数现代家用/商用路由器都支持）。
2. 两台路由器均具备公网IP地址（若使用NAT穿透，需额外配置端口映射或使用动态DNS服务）。
3. 确保双方有相同的加密算法（如AES-256）、哈希算法（如SHA1）和密钥交换方式（如IKEv1或IKEv2）。
4. 网络拓扑清晰，两个子网不重叠（路由器A的内网是192.168.1.0/24，路由器B是192.168.2.0/24）。

以Cisco IOS为例说明核心配置步骤：

第一步：定义感兴趣流量（Traffic to be Encrypted）
在路由器A上执行：

crypto isakmp policy 10
 encryption aes 256
 hash sha
 authentication pre-share
 group 2
!
crypto isakmp key your-pre-shared-key address 203.0.113.200   // 对端路由器B的公网IP

第二步：配置IPSec安全关联（SA）

crypto ipsec transform-set MYTRANSFORM esp-aes 256 esp-sha-hmac
 mode transport
!
crypto map MYMAP 10 ipsec-isakmp
 set peer 203.0.113.200
 set transform-set MYTRANSFORM
 match address 100   // 定义感兴趣流量ACL

第三步：应用ACL匹配流量

access-list 100 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255

在接口上绑定crypto map：

interface GigabitEthernet0/0
 crypto map MYMAP

对端路由器B需重复类似配置，仅需将peer IP设为路由器A的公网地址，并调整ACL中的源/目的子网方向。

对于TP-Link等厂商，通常通过Web界面操作更直观：进入“高级设置 > VPN > IPSec”菜单，填写对端IP、预共享密钥、本地/远端子网，并启用“自动协商”选项，完成后，重启两端路由设备，查看日志是否显示“Phase 1 & Phase 2 completed successfully”。

常见问题排查包括：

• 若无法建立连接，检查防火墙是否放行UDP 500（IKE）和UDP 4500（NAT-T）；
• 预共享密钥必须完全一致，区分大小写；
• 使用show crypto session命令实时查看隧道状态。

通过上述配置，两台路由器间即可建立稳定、加密的隧道，实现跨地域的透明通信，既保障了数据隐私，又避免了昂贵的专线费用，这正是现代网络工程师构建高可用、低成本网络架构的核心技能之一。