Cisco路由器配置基于L2TP的IPSec接入服务器

最新推荐文章于 2024-01-25 15:40:00 发布
最新推荐文章于 2024-01-25 15:40:00 发布
阅读量9.3k 收藏 12
点赞数 1
分类专栏: Cisco与网络技术 文章标签: 路由器 cisco authentication vpn interface windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/robur/article/details/4853749
版权

本文描述了如何在一台Cisco IOS Router上配置基于L2TP的IPSec VPN,并且允许远程的Windows客户端用户,使用Windows自带的功能进行VPN拨入。

飘红部分表示配置的关键命令。

!
!
aaa new-model //开启AAA
!
!
aaa authentication ppp default local //使用本地用户名和密码验证PPP拨入
aaa authorization network default local
!        
aaa session-id common
!
!
vpdn enable //开启VPDN
!        
vpdn-group 1 //VPDN组1
! Default L2TP VPDN group
 accept-dialin //接受拨入
  protocol l2tp //使用L2TP协议
  virtual-template 1 //虚拟模版1
 no l2tp tunnel authentication //不对L2TP隧道进行验证
!
!
username user password 7 120C161200 //本地的用户名和密码
!
!
!
crypto isakmp policy 10 //isakmp策略,编号是10。可以存在多个isakmp策略,按编号从小到大依次匹配。
 encr 3des //3DES加密
 authentication pre-share //使用预共享密钥
 group 2 //DF组2
crypto isakmp key user address 0.0.0.0 0.0.0.0 //设置预共享密钥。如果有多个预共享密钥,则遵循掩码最长匹配原则。
!
!
crypto ipsec transform-set set-10 esp-3des esp-sha-hmac //ipsec变换集
 mode transport //Windows的客户端默认是transport模式
!
crypto dynamic-map dyn1 10 //动态映射
 set nat demux //打开NAT支持
 set transform-set set-10 //关联IPSec变换集10
!
!
crypto map l2tp_vpn client configuration address respond
crypto map l2tp_vpn 10 ipsec-isakmp dynamic dyn1 //关联动态映射
!
!
!
interface Ethernet0 //PPPoE的物理接口
 no ip address
 pppoe enable group global
 pppoe-client dial-pool-number 1
!
interface FastEthernet0 //连接内部局域网
 ip address 192.168.1.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly
 ip tcp adjust-mss 1414
 speed auto
!
interface Virtual-Template1 //虚拟模版1
 ip address 192.168.4.1 255.255.255.0 //为便于管理,划分到一个局域网内不存在的子网
 ip tcp header-compression ietf-format //tcp头压缩,不是必须的
 peer default ip address pool vpn_pool //给客户端指定IP地址池,另一种方法是通过DHCP分配。
 ppp mtu adaptive //自适应MTU
 ppp encrypt mppe auto passive //自动协商PPP加密,不是必须的
 ppp authentication pap chap ms-chap-v2 callin //支持的验证方式,这里有pap、chap和ms-chap-v2
 ppp chap hostname user //这里稍微废话两句。这算是一个小问题,因为AAA要做本地验证,所以一定会有username命令出现。这样chap就认为PPP连接需要双向验证,而且自动发送的是路由器的主机名。这个命令让chap以特定的用户名进行双向验证,用户名是上面username命令中设置的。
!
interface Dialer0 //PPPoE拨号接口
 ip address negotiated
 ip mtu 1454 //思科设置为1454可以减少报头在总流量中的占用率,跑得快。。。
 ip nat outside
 ip virtual-reassembly max-reassemblies 256
 encapsulation ppp
 dialer pool 1
 ppp authentication pap callin
 ppp pap sent-username abc password 123456
 crypto map l2tp_vpn //在接口上应用crypto映射(这个接口是希望接受VPN拨入的接口)
 max-reserved-bandwidth 80
!
ip local pool vpn_pool 192.168.4.10 192.168.4.19 //本地的地址池,用于指配给VPN客户端,跟虚拟模版在一个子网里。

 


经实践证明:

客户端可以使用Windows系统(xp或win7),可以在PAT路由器的后面,也可以直接接入Internet,可以使用Windows创建的VPN连接拨入。可以正确获得IP、服务器IP、DNS(如果路由器上设置过),可以通过路由器访问路由器下的其它直连和非直连子网。

3DES、SHA、DH组2,对于Windows xp和更高的版本来说,是一个安全级别比较低的策略,不过也可以用。Windows在尝试连接的时候,会按安全性由高到低尝试N个自己的策略。

Cisco 1721,配合VPN加速模块,目前测试来看达到512Kbps的线速转发是没问题的,在开着SDM的情况下CPU占用12%。(ADSL线路的上行,也没法再快了)

 

目前还没有研究客户端用路由器怎么做(应该会比较简单),弄好了之后再在上面封装个GRE,俺的跨越半个地球的安全线路就算可以大功告成了。

robur
关注
  • 1
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
CISCO路由器实现L2TP-VPDN
01-04
CISCO路由器实现L2TP-VPDN-路由器L2TP
H3C SecPathF10X0_L2TP over IPSec配置.IOS、Android、Win7、Win10免客户端接入
04-07
H3C防火墙F10X0 V7版本,配置L2tp over ipsec,实现ios和android以及各版本Windows终端,免客户端接入配置,内含关键配置点说明。
IPsec v p n详解--拨号地址
weixin_33704591的博客
11-20 1119
三.拨号地址v p n设置1. 组网需求本例将 IPSec 和ADSL 相结合,是目前实际中广泛应用的典型案例。(1) Router B 通过ADSL 直接连接公网的DSLAM 接入端,作为PPPoE 的client端。RouterB 从ISP 动态获得的IP 地址为私网地址。(2)总公司局域网通过 Router A 接入到ATM 网络。(3)为了保证信息安全采用 IPSec...
Cisco L2TP配置命令详细介绍
Galdys的专栏
01-22 1万+
一、VPDN简介 VPDN(Virtual Private Dial Network,虚拟私有拨号网)是指利用公共网络(如ISDN和PSTN)的拨号功能及接入网来实现虚拟专用网,从而为企业、小型ISP、移动办公人员提供接入服务。  VPDN采用专用的网络加密通信协议,在公共网络上为企业建立安全的虚拟专网。企业驻外机构和出差人员可从远程经由公共网络,通过虚拟加密隧道实现和企业总部之间的网络连接,
Cisco L2TP 配置实例
Galdys的专栏
01-22 1万+
1、在企业端配置L2TP。 ENT_LNS(config)#username cisco password 0 cisco ENT_LNS(config)#vpdn enable ENT_LNS(config)#vpdn-group myl2tp ENT_LNS(config-vpdn)#accept-dialin ENT_LNS(config-vpdn-acc-in)#protoc
思科防火墙IPsec配置--野蛮模式(基于8.0版本)
最新发布
xiayu0912的专栏
01-25 1623
动态crypto maps只设置在野蛮模式的接收端,和静态crypto maps一样,也是把一些分散的信息集中起来形成一个完整的ipsec连接信息,里面的匹配规则也和静态crypto maps一样从低到高匹配,配置方式也和静态crypto maps一样。配置cryto map。cryto map是一个列表,该列表记录那些数据包需要建立IPsec, 将前面配置的一些分散的信息绑定到一起形成一个ipsec连接的完整信息,这个列表有序号,序号可以随意填,匹配IPSEC参数的时候按照序号从低到高的顺序进行匹配。
思科路由器对接山石网科防火墙——IPSec.doc
08-18
思科路由器对接山石网科防火墙——IPSec.doc
Cisco路由器配置命令大全.rar_Cisco路由器配置命令大全
07-15
Cisco路由器配置命令大全,文档中包含了Cisco路由器配置的各种命令
CISCO路由器配置NAT功能实现多机Internet接入
08-02
### 在CISCO路由器配置NAT功能实现多机Internet接入 #### 一、NAT技术原理及应用背景 随着互联网的飞速发展,IPv4协议32位的地址空间已经无法满足用户的需求,而IPv6协议虽然能提供更大的地址空间,但其推广速度...
【隧道篇 / IPsec】(7.0) ❀ 02. 两端都是ADSL拨号宽带建立IPsec连接 (点对点) ❀ FortiGate 防火墙
防火墙技术专栏
04-12 3496
上一篇文章我们介绍了在两边都有可以远程的公网IP的情况下,用向导快速的建立了IPsec安全隧道。但是如果用的是ADSL拨号宽带,每次连接都会变更IP,那么IPsec肯定会经常断开,有什么好办法解决吗?...
【隧道篇 / IPsec】(5.2) ❀ 03. IPsec - 拨号宽带 to 固定IP宽带 (策略模式) ❀ FortiGate 防火墙
防火墙技术专栏
09-06 9619
【简介】现在很多单位都有分公司或者分部,距离离的还比较远,但又经常需要两点之间进行安全的通迅,防火墙与防火墙之间建立IPsec可以很好满足要求,固定IP宽带和ADSL拨号宽带都很常见,这里介绍两种不同宽带连接IPsec配置方法。 IPsec的作用 IPsec作为一项成熟的技术,广泛应用于组织总部和分支机构之间的组网互联,其利用组织已有的互联网出口,虚拟出一......
IPSec增强原理—L2TP over IPSec
WFlySky的博客
11-21 8999
L2TP over IPSec,即先用L2TP封装报文再用IPSec封装,这样可以综合两种VPN的优势,通过L2TP实现用户验证和地址分配,并利用IPSec保障通信的安全性。L2TP over IPSec既可以用于分支接入总部,也可以用于出差员工接入总部。 分支接入总部网络的L2TP over IPSec的工作原理如图1所示。 图1 L2TP over IPSec报文封装和隧道协商过程 报文在隧道中传输时先进行L2TP封装再进行IPSec封装。IPSec封装过程中增加的IP头即源地址为IPSec网关应用I
L2TP/L2TP over IPSec
weixin_45123715的博客
08-26 9760
L2TP VPN: 二层VPN,用于远程访问C/S结构,L2TP VPN是一种用于承载PPP报文的隧道技术,主要用于在远程办公场景中为出差员工远程访问企业内网资源提供接入服务。 二层隧道协议L2TP ( Layer 2 Tunneling Protocol )是虚拟私有拨号网VPDN ( Virtual Private Dial-up Network )隧道协议的一种,扩展了点到点协议PPP ( Point-to-Point Protocol )的应用,是远程拨号用户接入企业总部网络的一种重要VPN技术。
Cisco_L2TP_××× 配置实例
weixin_34228387的博客
07-28 1447
1、路由器配置L2TP。L2TP(config)#usernameciscopassword0cisco//创建***用户,并设置权限密码L2TP(config)#vpdnenable//启用vpdn功能,默认为关闭L2TP(config)#vpdn-groupmyl2tp//创建一个***组L2TP(config-vpdn)#accept-...
L2TP详解(一)
热门推荐
永远是少年
08-03 1万+
今天继续给大家介绍HCIE安全。本文给大家介绍的是L2TP相关内容,包括L2TP的特点和应用场景。 一、L2TP简介 L2TP是一种二层的VPN技术,它提供了对PPP链路层数据帧的隧道传输支持,允许二层链路端点和PPP会话驻留在不同设备上,扩展了PPP模型。 在L2TP中,用户通过PPP拨号到LAC(L2TP Access Concentrator,L2TP访问集中器)上,LAC通过L2TP隧道将PPP报文透明传输到LNS(L2TP Network Server,L2TP网络服务器),LNS随即与用户建立P
Cisco L2TP 协议配置命令
Galdys的专栏
02-17 3930
8.1 命令列表   L2TP协议配置命令包括:   * accept dialin l2tp virtual-template   * clear vpdn tunnel l2tp   * force-local-chap   * interface virtual-template   * l2tp tunnel authentication   * l2tp tunnel pa
cisco: L2TP over ipsec配置(1)
Galdys的专栏
01-22 6854
用WINDOWS的L2TP客户端进行VPN连接时默认情况下是进行IPSEC加密的,当然通过更改注册表可以使L2TP不用IPSEC加密,不过在这里我们是要在CISCO路由器下进行L2TP OVER IPSEC的相关配置,使得用户可以在不更改注册表的情况下直接使用WINDOWS自带的L2TP客户端来进行连接,非常方便: aaa new-model//启用AAA aaa authenticati
Cisco 路由配置 L2TP拨号,并建立GRE ipv6隧道
Connor_xie的博客
12-19 1555
网络拓扑结构 Router#show run Router#show running-config Building configuration… Current configuration : 1947 bytes ! ! Last configuration change at 03:05:52 UTC Thu Dec 19 2019 ! version 15.5 service times...
如何配置路由器实现L2TP拨号用户始终使用指定的IP地址
weixin_33701294的博客
10-10 2826
如何配置路由器实现L2TP拨号用户始终使用指定的IP地址 需求:AR46-80(LAC)下面接50个L2TP拨号用户,要求每个用户都使用指定的IP地址,而不是LNS随机分配的IP地址。 组网:PC--------AR46-80---------AR28-11 AR46-80上配置PPPoE-Server和L2TP的LAC,AR28-11做LNS。 该需求的实现方法,是...
l2tp over ipsec配置命令
04-24
Cisco设备上配置l2tp over ipsec 1. 创建ISAKMP策略 crypto isakmp policy 10 authentication pre-share encryption aes hash sha group 2 lifetime 3600 2. 创建预共享密钥 crypto isakmp key presharedkey ...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值