在现代企业网络架构中,虚拟专用网络（VPN）已成为保障远程访问安全、实现分支机构互联的重要技术手段，作为网络工程师，掌握如何通过路由器命令行界面（CLI）配置VPN是必不可少的核心技能之一，本文将详细介绍如何在主流路由器（如Cisco IOS或华为VRP系统）中使用命令行配置IPsec VPN，涵盖从基本参数设置到策略应用的完整流程。

明确配置目标：假设我们有一台Cisco路由器，需要建立一个站点到站点（Site-to-Site）IPsec VPN隧道，连接总部与分部，第一步是在全局模式下定义加密映射（crypto map），这是配置的核心组件。

crypto isakmp policy 10
 encryp aes
 authentication pre-share
 group 2

此命令设置了IKE（Internet Key Exchange）协商策略，使用AES加密算法、预共享密钥认证方式，并指定Diffie-Hellman组为2，确保密钥交换的安全性。

第二步,配置预共享密钥（PSK）：

crypto isakmp key mysecretkey address 203.0.113.10

这里,mysecretkey 是双方协商使用的密钥，0.113.10 是对端路由器的公网IP地址，该密钥必须在两端一致，否则无法完成IKE阶段1的握手。

第三步,定义IPsec transform set（加密转换集）：

crypto ipsec transform-set MYTRANSFORM esp-aes esp-sha-hmac

这一步指定了数据封装时使用的加密和哈希算法：ESP（封装安全载荷）使用AES加密，SHA-1进行完整性校验。

第四步,创建并应用crypto map：

crypto map MYMAP 10 ipsec-isakmp
 set peer 203.0.113.10
 set transform-set MYTRANSFORM
 match address 100

match address 100 指向一个标准ACL，用于定义哪些流量需通过此隧道传输。

access-list 100 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255

表示源网段192.168.1.0/24与目的网段192.168.2.0/24之间的流量走VPN隧道。

将crypto map绑定到物理接口：

interface GigabitEthernet0/0
 crypto map MYMAP

至此,整个IPsec隧道配置完成，建议使用以下命令验证状态：

show crypto isakmp sa
show crypto ipsec sa
ping 192.168.2.1 source 192.168.1.1

若所有状态均为“UP”，说明隧道已成功建立，还应考虑日志记录、故障排查（如MTU问题、ACL错误）、以及定期轮换密钥等运维实践。

通过上述步骤,网络工程师可在无图形界面的环境中高效部署和维护企业级VPN服务，提升网络安全性和可扩展性，掌握这些命令不仅是技能体现，更是构建健壮网络基础设施的关键一环。