用WINDOWS的L2TP客戶端進行VPN連接時默認情況下是進行IPSEC加密的,當然通過更改注冊表可以使L2TP不用IPSEC加密,不過在這里我們是要在CISCO路由器下進行L2TP OVER IPSEC的相關配置,使得用戶可以在不更改注冊表的情況下直接使用WINDOWS自帶的L2TP客戶端來進行連接:
1. AAA配置
1 aaa new-model //啟用AAA 2 aaa authentication ppp default local //定義默認的認證列表default, 其對PPP認證為本地認證
2. VPDN配置
1 vpdn enable //啟用vpdn 2 vpdn-group 2 // 新建一個VPDN組 3 ! Default L2TP VPDN group 4 accept-dialin //接受撥號進來的連接 5 protocol l2tp //定義協議為L2TP,可選的還有pptp 6 virtual-template 2 //使用虛模板接口2 7 no l2tp tunnel authentication //注意我們是基於access模式的vpdn,所以不需要對隧道進行認證,也就是說每一個用戶都是一個LAC
3. IPSEC配置
1 crypto isakmp policy 10 //定義isakmp策略,注意路由器會按序號匹配策略所定義的參數,先匹配的先采用,如果一個都沒有匹配到,則ipsec第一階段協商失敗 2 encr 3des //加密方式 3 hash md5 //哈希算法 4 authentication pre-share //驗證方式預共享密鑰 5 group 2 //使用DH組2來協商第一階段sa 6 crypto isakmp key 123abc address 0.0.0.0 0.0.0.0 //這里定義預共享密鑰,所有地址都使用這個密鑰,路由器會尋找一個地址最匹配的預共享密鑰,如果還有更精確的地址匹配,則采用其定義的預共享密鑰 7 8 crypto ipsec transform-set TR esp-3des esp-md5-hmac //這里定義變換集,IPSEC階段2將使用其定義的參數,創建SA 9 mode transport //注意WINDOWS L2TP默認使用傳輸模式 10 11 crypto dynamic-map DY 10 //定義動態映射圖DY 12 set transform-set TR //此映射圖引用了前面定義的轉換集 13 14 crypto map MAP 10 ipsec-isakmp dynamic DY//定義映射圖mymap
1 interface FastEthernet0/0 2 3 crypto map MAP //在接口上應用此映射圖
4. Virtual-Template配置
1 interface Virtual-Template2 2 ip unnumbered Loopback0 //借用loopback0口地址,也可用物理接口 3 peer default ip address dhcp-pool VPDN //指定地址池為DHCP地址池 4 ppp authentication pap chap ms-chap ms-chap-v2 //配置驗證方式