用WINDOWS的L2TP客户端进行×××连接时,默认情况下是进行IPSEC加密的,当然通过更改注册表(HKLM\Services\rasman\ProhibitIpSec=1)可以使L2TP不用IPSEC加密,不过在这里我们是要在CISCO路由器下进行L2TP OVER IPSEC的相关配置,使得用户可以在不更改注册表的情况下直接使用WINDOWS自带的L2TP客户端来进行连接,非常方便:
aaa new-model//启用AAA aaa authentication ppp default local//定义默认的认证列表default, 其对PPP认证为本地认证 ip address-pool local ! vpdn enable//启用vpdn ! vpdn-group 1 // 新建一个VPDN组 ! Default L2TP VPDN group accept-dialin //接受拨号进来的连接 protocol l2tp //定义协议为L2TP,可选的还有pptp virtual-template 1 //使用虚模板接口1 no l2tp tunnel authentication //注意我们是基于access模式的vpdn,所以不需要对隧道进行认证,也就是说每一个用户都是一个LAC username qh password 0 qh //这里定义一个本地用户 ! ! ! crypto isakmp policy 10 //这里定义一个isakmp策略,注意路由器会按序号匹配策略所定义的参数,先匹配的先采用,如果一个都没有匹配到,则ipsec第一阶段协商失败 encr 3des //加密方式 hash md5 //哈希算法 authentication pre-share //预共享密钥 group 2 //使用DH 组成2来协商第一阶段sa crypto isakmp key qhtest address 0.0.0.0 0.0.0.0 //这里定义预共享密钥,所有地址都使用这个密钥,路由器会寻找一个地址最匹配的预共享密钥,如果还有更精确的地址匹配,则采用其定义的预共享密钥 ! ! crypto ipsec transform-set myset esp-3des esp-md5-hmac //这里定义变换集,IPSEC阶段2将使用其定义的参数,创建SA mode transport //注意WINDOWS L2TP默认使用传输模式 ! crypto dynamic-map mydynamic 10 //定义动态映射图mydynamic set transform-set myset //此映射图引用了前面定义的转换集 ! ! crypto map mymap 10 ipsec-isakmp dynamic mydynamic //定义映射图mymap ! ! ! ! interface Loopback1 ip address 10.1.1.1 255.255.255.0 ! interface FastEthernet0/0 ip address 198.198.7.211 255.255.255.0 duplex half crypto map mymap //在接口上应用此映射图 ! interface FastEthernet1/0 no ip address shutdown duplex auto speed auto ! interface FastEthernet1/1 no ip address shutdown duplex auto speed auto ! interface Virtual-Template1 //定义虚模板接口 ip address 172.1.1.1 255.255.255.0 peer default ip address pool mypool //指定客户端地址池 ! ip local pool mypool 10.1.1.2 10.1.1.200 //定义地址池
cisco 路由器L2TP over ipsec的配置用WINDOWS的L2TP客户端进行×××连接时,默认情况下是进行IPSEC加密的,当然通过更改注册表(HKLM\Services\rasman\ProhibitIpSec=1)可以使L2TP不用IPSEC加密,不过在这里我们是要在CISCO路由器下进行L2TP O...