一、Cisco 服务器配置
1. PPPOE 拨号配置 interface FastEthernet0/0 no ip address
duplex auto speed auto
pppoe enable group global
pppoe-client dial-pool-number 1 no keepalive
!
interface Dialer0 mtu 1492
ip address negotiated ip nat outside
ip nat enable
ip virtual-reassembly in encapsulation ppp
dialer pool 1 dialer-group 1
ppp authentication chap pap callin ppp chap hostname 05929991564
ppp chap password 0 924976
!
2. IPSEC 隧道模式配置
crypto isakmp policy 10 encr 3des
hash md5
authentication pre-share group 2
crypto isakmp key test address 0.0.0.0 0.0.0.0 crypto isakmp keepalive 60 3
!
crypto ipsec transform-set mytran esp-3des esp-sha-hmac
!
crypto dynamic-map dymap 10 set transform-set mytran
set pfs group 2 (PFS 可以不配置,但若配置了,四信路由器必须开启 PFS,否则会一直处于
第二阶段协商中)
match address 100 (必须应用 ACL 访问控制列表,若无列表,IPSEC 建立失败,并处于第
二阶段协商中)
!
crypto map mymap client configuration address respond crypto map mymap 10 ipsec-isakmp dynamic dymap
3. L2TP VPND 配置
vpdn enable
!
vpdn-group 1
! Default L2TP VPDN group accept-dialin
protocol l2tp virtual-template 1
no l2tp tunnel authentication
!
interface Virtual-Template1
ip address 200.200.200.1 255.255.255.0 peer default ip address pool vpn_pool ppp mtu adaptive
ppp authentication ms-chap-v2 ms-chap chap pap ppp chap hostname cisco
crypto map mymap (策略需应用于 VPND 接口上)
!
username test password 0 test
ip local pool vpn_pool 200.200.200.2 200.200.200.100
4. 内网网段模拟
interface Loopback2
ip address 10.0.0.1 255.255.255.0 ip nat inside
ip virtual-reassembly in
!
5. 访问控制列表(10.0.0.0 网段为 CISCO 服务器内网网段,192.168.1.0 网段为四信路由 器内网网段,若没有该访问控制列表,IPSEC 建立不通,且处于第二阶段协商中)
access-list 100 permit ip 10.0.0.0 0.0.0.255 192.168.1.0 0.0.0.255
6. 保障两端 IPSEC 子网互通,需要添加静态路由,若无静态路由,子网无法互通。
ip route 192.168.1.0 255.255.255.0 200.200.200.20
二、四信路由器配置
1. 必须使用定制版本,深圳艾默生版本
2. 先建 L2TP 连接服务端,当 L2TP 获取到隧道地址后,再使用隧道地址建 IPSEC
(远程子网任意填,不使用0.0.0.0 0.0.0.0,且必须指定隧道IP,若无该IP,服务端无法 指定静态路由下一跳)
3. IPSEC 配置
三、连接状态
1. L2TP 连接状态
2. IPSEC 连接状态
四、测试结果
1. PC 机 ping CISCO 服务器内网
2. 四信 IPSEC 数据包加密测试
附件下载:cisco&四信ipsec over l2tp(隧道)配置.pdf