在现代企业网络架构中，虚拟专用网络（Virtual Private Network, VPN）已成为保障远程访问安全、实现分支机构互联的关键技术，作为网络工程师，掌握思科（Cisco）设备上的VPN配置命令是日常运维与故障排查的核心技能之一，本文将系统讲解思科路由器或防火墙上IPSec和SSL VPN的典型配置命令，涵盖基础设置、安全策略定义、隧道协商机制以及验证方法,帮助读者快速上手并深入理解。

以思科路由器为例，配置IPSec站点到站点（Site-to-Site）VPN是最常见的场景，第一步是定义感兴趣流量（traffic that will be encrypted），使用访问控制列表（ACL）来指定源和目标子网。

access-list 100 permit ip 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255

创建一个Crypto ISAKMP策略（IKE阶段1），用于建立安全信道，此步骤需指定加密算法（如AES-256）、哈希算法（SHA-2）、DH组（Group 2或Group 5）及认证方式（预共享密钥或证书）：

crypto isakmp policy 10
 encryp aes 256
 hash sha256
 authentication pre-share
 group 5
 lifetime 86400

然后配置预共享密钥（PSK）：

crypto isakmp key mysecretkey address 203.0.113.100

第二阶段是配置Crypto IPsec Transform Set（IKE阶段2）,定义数据加密和完整性保护规则：

crypto ipsec transform-set MYTRANSFORM esp-aes 256 esp-sha-hmac
 mode transport

创建Crypto Map，将ACL、Transform Set与对端IP地址绑定：

crypto map MYMAP 10 ipsec-isakmp
 set peer 203.0.113.100
 set transform-set MYTRANSFORM
 match address 100

应用该crypto map到接口（如GigabitEthernet0/0）：

interface GigabitEthernet0/0
 crypto map MYMAP

对于远程用户接入场景，可部署SSL VPN（如Cisco AnyConnect），这通常需要启用HTTPS服务,并配置客户端访问策略：

ssl server default
 ssl authenticate user

需定义用户身份验证（本地数据库或RADIUS服务器），并为不同用户组分配权限,如访问特定内网资源。

验证配置是否成功的方法包括：

• show crypto session 查看当前活跃会话；
• show crypto isakmp sa 检查IKE SA状态；
• show crypto ipsec sa 验证IPSec SA；
• 使用ping测试加密流量是否通达。

思科VPN配置命令体系完整、逻辑清晰，但要求工程师具备扎实的网络基础（如IP路由、ACL、NAT等）和安全意识，建议在实验室环境反复练习，结合日志分析（如debug crypto ipsec）排查问题，随着SD-WAN和零信任架构兴起，掌握传统IPSec/SSL配置仍是构建下一代安全网络的重要基石。