在现代企业网络架构中,跨地域分支机构之间的安全通信需求日益增长，当两台位于不同地理位置的路由器需要建立加密隧道以传输敏感数据时，IPSec（Internet Protocol Security）VPN 成为最常用的解决方案之一，本文将详细介绍如何在两台路由器之间配置 IPSec VPN，确保数据在公共互联网上传输时的安全性与完整性。

明确基础环境：假设我们有两台路由器，一台位于总部（如华为 AR1220V2），另一台位于分公司（如 Cisco ISR 4321），两者通过公网 IP 地址连接，目标是建立点对点的 IPSec 隧道，使两个子网能够互相访问。

第一步：规划网络地址与安全参数

• 总部内网：192.168.1.0/24
• 分公司内网：192.168.2.0/24
• IPSec 隧道两端公网 IP：总部 203.0.113.10，分公司 203.0.113.20
• 安全协议选择：IKE v2 + ESP（Encapsulating Security Payload）模式
• 加密算法：AES-256
• 认证算法：SHA-256
• DH 组：Group 14（2048位）

第二步：配置 IKE（Internet Key Exchange）策略
在总部路由器上配置 IKE 对等体：

crypto isakmp policy 10
 encryption aes 256
 hash sha256
 authentication pre-share
 group 14
 lifetime 86400

在分公司路由器上做相同配置,确保两端参数一致，接着设置预共享密钥（PSK）：

crypto isakmp key mySecretKey address 203.0.113.10

第三步：配置 IPSec 安全关联（SA）
定义感兴趣流量（即需要加密的数据流）：

crypto ipsec transform-set MY_TRANSFORM_SET esp-aes 256 esp-sha-hmac
 mode tunnel

创建访问控制列表（ACL）指定要保护的流量：

access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255

绑定 IPSec 策略到接口：

crypto map MY_CRYPTO_MAP 10 ipsec-isakmp
 set peer 203.0.113.20
 set transform-set MY_TRANSFORM_SET
 match address 101

在总部和分公司的接口上应用 crypto map：

interface GigabitEthernet0/0
 crypto map MY_CRYPTO_MAP

第四步：验证与排错
使用命令 show crypto session 查看当前活动的隧道状态；若出现“no sa”或“failed to establish”，需检查：

• 预共享密钥是否一致
• 网络连通性（ping 公网 IP）
• ACL 是否正确匹配源/目的子网
• 防火墙是否放行 UDP 500（IKE）和 UDP 4500（NAT-T）

通过以上步骤,两台路由器之间即可建立稳定、加密的 IPSec 隧道，此方案适用于中小企业远程办公、云服务接入、数据中心互联等多种场景，是构建私有广域网（WAN）的核心技术之一，掌握其原理与配置方法，对网络工程师而言至关重要。