用WINDOWS的L2TP客户端进行VPN连接时默认情况下是进行IPSEC加密的,当然通过更改注册表可以使L2TP不用IPSEC加密,不过在这里我们是要在CISCO路由器下进行L2TP OVER IPSEC的相关配置,使得用户可以在不更改注册表的情况下直接使用WINDOWS自带的L2TP客户端来进行连接:
1. AAA配置
1 aaa new-model //启用AAA 2 aaa authentication ppp default local //定义默认的认证列表default, 其对PPP认证为本地认证
2. VPDN配置
1 vpdn enable //启用vpdn 2 vpdn-group 2 // 新建一个VPDN组 3 ! Default L2TP VPDN group 4 accept-dialin //接受拨号进来的连接 5 protocol l2tp //定义协议为L2TP,可选的还有pptp 6 virtual-template 2 //使用虚模板接口2 7 no l2tp tunnel authentication //注意我们是基于access模式的vpdn,所以不需要对隧道进行认证,也就是说每一个用户都是一个LAC
3. IPSEC配置
1 crypto isakmp policy 10 //定义isakmp策略,注意路由器会按序号匹配策略所定义的参数,先匹配的先采用,如果一个都没有匹配到,则ipsec第一阶段协商失败 2 encr 3des //加密方式 3 hash md5 //哈希算法 4 authentication pre-share //验证方式预共享密钥 5 group 2 //使用DH组2来协商第一阶段sa 6 crypto isakmp key 123abc address 0.0.0.0 0.0.0.0 //这里定义预共享密钥,所有地址都使用这个密钥,路由器会寻找一个地址最匹配的预共享密钥,如果还有更精确的地址匹配,则采用其定义的预共享密钥 7 8 crypto ipsec transform-set TR esp-3des esp-md5-hmac //这里定义变换集,IPSEC阶段2将使用其定义的参数,创建SA 9 mode transport //注意WINDOWS L2TP默认使用传输模式 10 11 crypto dynamic-map DY 10 //定义动态映射图DY 12 set transform-set TR //此映射图引用了前面定义的转换集 13 14 crypto map MAP 10 ipsec-isakmp dynamic DY//定义映射图mymap
1 interface FastEthernet0/0 2 3 crypto map MAP //在接口上应用此映射图
4. Virtual-Template配置
1 interface Virtual-Template2 2 ip unnumbered Loopback0 //借用loopback0口地址,也可用物理接口 3 peer default ip address dhcp-pool VPDN //指定地址池为DHCP地址池 4 ppp authentication pap chap ms-chap ms-chap-v2 //配置验证方式