cisco 路由器L2TP over ipsec的配置
 
用WINDOWS的L2TP客户端进行×××连接时,默认情况下是进行IPSEC加密的,当然通过更改注册表(HKLM\Services\rasman\ProhibitIpSec=1)可以使L2TP不用IPSEC加密,不过在这里我们是要在CISCO路由器下进行L2TP OVER IPSEC的相关配置,使得用户可以在不更改注册表的情况下直接使用WINDOWS自带的L2TP客户端来进行连接,非常方便:
aaa new-model//启用AAA
aaa authentication ppp default local//定义默认的认证列表default, 其对PPP认证为本地认证
ip address-pool local
!
vpdn enable//启用vpdn
!
vpdn-group 1           // 新建一个VPDN组
! Default L2TP VPDN group
accept-dialin          //接受拨号进来的连接
protocol l2tp          //定义协议为L2TP,可选的还有pptp
virtual-template 1   //使用虚模板接口1
no l2tp tunnel authentication        //注意我们是基于access模式的vpdn,所以不需要对隧道进行认证,也就是说每一个用户都是一个LAC
username qh password 0 qh        //这里定义一个本地用户
!
!
!
crypto isakmp policy 10           //这里定义一个isakmp策略,注意路由器会按序号匹配策略所定义的参数,先匹配的先采用,如果一个都没有匹配到,则ipsec第一阶段协商失败
encr 3des                               //加密方式
hash md5                                //哈希算法
authentication pre-share           //预共享密钥
group 2                                   //使用DH 组成2来协商第一阶段sa
crypto isakmp key qhtest address 0.0.0.0 0.0.0.0               //这里定义预共享密钥,所有地址都使用这个密钥,路由器会寻找一个地址最匹配的预共享密钥,如果还有更精确的地址匹配,则采用其定义的预共享密钥
!
!
crypto ipsec transform-set myset esp-3des esp-md5-hmac              //这里定义变换集,IPSEC阶段2将使用其定义的参数,创建SA
mode transport                        //注意WINDOWS L2TP默认使用传输模式
!
crypto dynamic-map mydynamic 10              //定义动态映射图mydynamic
set transform-set myset                               //此映射图引用了前面定义的转换集
!
!
crypto map mymap 10 ipsec-isakmp dynamic mydynamic          //定义映射图mymap
!
!
!
!
interface Loopback1
ip address 10.1.1.1 255.255.255.0
!
interface FastEthernet0/0
ip address 198.198.7.211 255.255.255.0
duplex half
crypto map mymap //在接口上应用此映射图
!
interface FastEthernet1/0
no ip address
shutdown
duplex auto
speed auto
!
interface FastEthernet1/1
no ip address
shutdown
duplex auto
speed auto
!
interface Virtual-Template1                  //定义虚模板接口
ip address 172.1.1.1 255.255.255.0
peer default ip address pool mypool     //指定客户端地址池
!
ip local pool mypool 10.1.1.2 10.1.1.200         //定义地址池