用WINDOWS的L2TP客户端进行VPN连接时默认情况下是进行IPSEC加密的,当然通过更改注册表可以使L2TP不用IPSEC加密,不过在这里我们是要在CISCO路由器下进行L2TP OVER IPSEC的相关配置,使得用户可以在不更改注册表的情况下直接使用WINDOWS自带的L2TP客户端来进行连接,非常方便:
aaa new-model//启用AAA
aaa authentication ppp default local//定义默认的认证列表default, 其对PPP认证为本地认证
ip address-pool local
!
vpdn enable//启用vpdn
!
vpdn-group 1 // 新建一个VPDN组
! Default L2TP VPDN group
username qh password 0 qh//这里定义一个本地用户
!
!
!
crypto isakmp policy 10//这里定义一个isakmp策略,注意路由器会按序号匹配策略所定义的参数,先匹配的先采用,如果一个都没有匹配到,则ipsec第一阶段协商失败
crypto isakmp key qhtest address 0.0.0.0 0.0.0.0//这里定义预共享密钥,所有地址都使用这个密钥,路由器会寻找一个地址最匹配的预共享密钥,如果还有更精确的地址匹配,则采用其定义的预共享密钥
!
!
crypto ipsec transform-set myset esp-3des esp-md5-hmac//这里定义变换集,IPSEC阶段2将使用其定义的参数,创建SA
!
crypto dynamic-map mydynamic 10 //定义动态映射图mydynamic
!
!
crypto map mymap 10 ipsec-isakmp dynamic mydynamic//定义映射图mymap
!
!
!
!
interface Loopback1
!
interface FastEthernet0/0
!
interface FastEthernet1/0
!
interface FastEthernet1/1
!
interface Virtual-Template1 //定义虚模板接口
!
ip local pool mypool 10.1.1.2 10.1.1.200//定义地址池