在现代企业网络中,远程访问和站点间互联的安全性至关重要,Cisco 2800 系列路由器作为一款经典的企业级设备,支持多种安全特性,IPsec(Internet Protocol Security)VPN 是实现加密通信的核心技术之一,本文将详细介绍如何在 Cisco 2800 路由器上配置一个基于预共享密钥的 IPsec Site-to-Site VPN,适用于分支机构与总部之间的安全连接。
确保你已具备以下条件:
- 两台 Cisco 2800 路由器(总部路由器 R1 和分支路由器 R2);
- 各自拥有公网 IP 地址;
- 内网子网地址明确(如总部为 192.168.1.0/24,分支为 192.168.2.0/24);
- 具备 CLI 访问权限和基本的 IOS 知识。
第一步:配置接口和路由 登录到每台路由器的 CLI,进入全局配置模式,为各接口分配 IP 地址并启用接口:
interface GigabitEthernet0/0
ip address 203.0.113.1 255.255.255.0
no shutdown
!
interface GigabitEthernet0/1
ip address 192.168.1.1 255.255.255.0
no shutdown然后配置静态路由,确保内部流量能正确转发到对端网络:
ip route 192.168.2.0 255.255.255.0 203.0.113.2第二步:定义感兴趣流量(Traffic to be Encrypted) 使用访问控制列表(ACL)指定哪些流量需要被加密:
access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255第三步:配置 IPsec 安全策略(Crypto Map) 这是关键步骤,定义加密参数、预共享密钥和对端地址:
crypto isakmp policy 10
encry aes
authentication pre-share
group 2
!
crypto isakmp key mysecretkey address 203.0.113.2
!
crypto ipsec transform-set MYTRANSFORM esp-aes esp-sha-hmac
!
crypto map MYMAP 10 ipsec-isakmp
set peer 203.0.113.2
set transform-set MYTRANSFORM
match address 101第四步:应用 crypto map 到接口 将 crypto map 应用到外网接口(GigabitEthernet0/0):
interface GigabitEthernet0/0
crypto map MYMAP第五步:验证和排错 配置完成后,使用以下命令检查状态:
show crypto isakmp sa:查看 IKE 隧道是否建立;show crypto ipsec sa:确认 IPsec SA 是否激活;ping 192.168.2.100:测试内网连通性。
若遇到问题,请检查 ACL 是否匹配、预共享密钥是否一致、防火墙是否阻断 UDP 500(IKE)或 ESP 协议。
通过以上步骤,你可以成功在 Cisco 2800 路由器上部署一个稳定、安全的 IPsec Site-to-Site VPN,该配置不仅满足基本需求,还可扩展至动态路由(如 OSPF over IPsec)、多隧道负载分担等高级场景,对于运维人员而言,掌握此类配置是构建健壮企业网络的基础技能。
VPN加速器|半仙VPN加速器-免费VPN梯子首选半仙VPN
