在当今远程办公和分布式团队日益普及的背景下,企业网络对安全、稳定且灵活的远程访问需求不断增长，虚拟专用网络（VPN）作为保障数据传输隐私与安全的核心技术，已成为现代路由器部署中的标配功能，作为一名网络工程师，掌握如何在主流路由器设备上配置VPN服务，不仅是日常工作技能，更是构建高可用网络架构的关键一环。

本文将详细介绍在典型的企业级路由器（以Cisco IOS为例）中配置IPSec-based站点到站点（Site-to-Site）VPN的基本流程，并提供关键命令及常见问题排查方法，帮助你快速上手并落地实施。

配置前需明确以下前提条件：

1. 两端路由器均具备公网IP地址（或通过NAT穿透机制支持）；
2. 配置目标为两个不同地理位置的分支机构互联；
3. 安全策略已由网络安全团队确认（如加密算法、认证方式等）。

第一步：定义感兴趣流量（Traffic to be Encrypted） 使用access-list定义哪些内网子网之间需要通过VPN隧道通信，总部内网192.168.1.0/24与分部内网192.168.2.0/24之间的流量需加密：

ip access-list extended VPN-Traffic
 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255

第二步：配置IPSec策略（Crypto Map） 这是整个配置的核心部分，包括加密算法（如AES-256）、哈希算法（SHA-256）、DH组（Diffie-Hellman Group 2）、IKE版本（建议v2）等：

crypto isakmp policy 10
 encryption aes 256
 hash sha256
 authentication pre-share
 group 2
crypto isakmp key your-pre-shared-key address <remote-router-ip>

接着配置IPSec transform-set（即加密封装参数）：

crypto ipsec transform-set MY-TRANSFORM esp-aes 256 esp-sha-hmac
 mode tunnel

然后创建crypto map，绑定ACL和transform-set：

crypto map MY-CRYPTO-MAP 10 ipsec-isakmp
 set peer <remote-router-ip>
 set transform-set MY-TRANSFORM
 match address VPN-Traffic

第三步：应用crypto map到接口 将生成的crypto map绑定到外网接口（通常是GigabitEthernet0/0）：

interface GigabitEthernet0/0
 crypto map MY-CRYPTO-MAP

第四步：验证与调试 配置完成后，使用以下命令检查状态：

• show crypto session：查看当前活动的VPN会话；
• show crypto isakmp sa：检查IKE阶段1协商状态；
• show crypto ipsec sa：查看IPSec阶段2的SA状态；
• 若出现“Failed”或“No IKE SA”，则需检查预共享密钥是否一致、防火墙是否放行UDP 500/4500端口、NAT设置是否冲突等。

特别提醒：若两端路由器位于NAT环境后，应启用NAT-T（NAT Traversal）功能，在ISAKMP策略中添加命令：

crypto isakmp keepalive 10

对于动态路由协议（如OSPF）通过VPN隧道传播的情况，建议在隧道接口上启用路由协议，或使用静态路由指向远端网络。

路由器上的VPN配置虽看似复杂,但只要遵循“定义流量 → 设置安全策略 → 应用接口”的逻辑顺序，就能逐步完成，熟练掌握这些命令不仅提升运维效率，还能增强企业网络的安全韧性，建议在测试环境中先行演练，再上线生产环境，确保万无一失。