在现代网络架构中，虚拟专用网络（VPN）已成为保障远程访问安全、实现分支机构互联的核心技术之一，尤其是在企业网络、云环境和混合办公场景下，IPSec（Internet Protocol Security）作为最广泛使用的VPN协议之一，其配置与调试能力是网络工程师必须掌握的技能，本文将以GNS3（Graphical Network Simulator-3）为平台，详细讲解如何在模拟环境中搭建IPSec VPN隧道,帮助读者从理论走向实战。

GNS3是一个功能强大的开源网络仿真工具，它支持Cisco IOS、Juniper JunOS、Linux等多厂商设备的虚拟化运行，非常适合用于网络设计、测试和培训，相比物理设备，GNS3具备成本低、灵活性高、可重复性强的优点，特别适合学习和验证复杂网络协议,如IPSec。

实验拓扑设计如下：
我们使用两台Cisco路由器（R1和R2），分别模拟总部（HQ）和分支机构（Branch），它们之间通过互联网连接（实际使用GNS3中的“Loopback”或“Ethernet”接口模拟广域网链路），并通过IPSec进行加密通信，假设R1的公网IP为203.0.113.1，R2为203.0.113.2，内网分别为192.168.1.0/24 和 192.168.2.0/24。

第一步：基础网络配置
在R1和R2上配置接口IP地址，并确保彼此能ping通。

interface GigabitEthernet0/0  
 ip address 203.0.113.1 255.255.255.0  
 no shutdown  

确认两台路由器之间可以互通后，进入下一步——IPSec策略配置。

第二步：定义IPSec安全提议（Crypto Map）
在R1上创建一个crypto map，指定加密算法（如AES-256）、哈希算法（SHA1）、DH组（Group 2）以及预共享密钥（PSK）：

crypto isakmp policy 10  
 encryption aes 256  
 hash sha  
 group 2  
 authentication pre-share  
crypto isakmp key mysecretkey address 203.0.113.2  

第三步：配置IPSec transform-set
这是定义数据传输加密方式的关键步骤：

crypto ipsec transform-set MYTRANSFORM esp-aes 256 esp-sha-hmac  
 mode transport  

第四步：绑定crypto map到接口

crypto map MYMAP 10 ipsec-isakmp  
 set peer 203.0.113.2  
 set transform-set MYTRANSFORM  
 match address 100  

其中access-list 100用于定义感兴趣流量（即需要加密的流量）：

access-list 100 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255  

第五步：应用crypto map到接口
最后将crypto map绑定到接口上：

interface GigabitEthernet0/0  
 crypto map MYMAP  

完成以上配置后，在GNS3中启动设备并观察日志输出，若ISAKMP阶段（Phase 1）成功建立，且IPSec阶段（Phase 2）协商通过，则说明IPSec隧道已激活，可在R1上执行ping 192.168.2.1命令,测试加密通道是否正常工作。

本实验通过GNS3构建了一个完整的IPSec VPN环境，涵盖从基础网络配置到高级安全策略的全流程，这种实践不仅加深了对IPSec工作机制的理解，也提升了在真实网络中排查问题的能力，对于准备CCNA、CCNP或网络安全认证的工程师而言，掌握GNS3下的IPSec实验是迈向专业化的关键一步，未来还可扩展至GRE over IPSec、动态路由（如OSPF）集成等更复杂场景，真正实现“边学边练”的高效学习模式。