一、Cisco 服务器配置

1. PPPOE 拨号配置 interface FastEthernet0/0 no ip address

duplex auto speed auto

pppoe enable group global

pppoe-client dial-pool-number 1 no keepalive

!

interface Dialer0 mtu 1492

ip address negotiated ip nat outside

ip nat enable

ip virtual-reassembly in encapsulation ppp

dialer pool 1 dialer-group 1

ppp authentication chap pap callin ppp chap hostname 05929991564

ppp chap password 0 924976

!

2. IPSEC 隧道模式配置

crypto isakmp policy 10 encr 3des

hash md5

authentication pre-share group 2

crypto isakmp key test address 0.0.0.0 0.0.0.0 crypto isakmp keepalive 60 3

!

crypto ipsec transform-set mytran esp-3des esp-sha-hmac

!

crypto dynamic-map dymap 10 set transform-set mytran

set pfs group 2 (PFS 可以不配置，但若配置了，四信路由器必须开启 PFS，否则会一直处于

第二阶段协商中）

match address 100 （必须应用 ACL 访问控制列表，若无列表，IPSEC 建立失败，并处于第

二阶段协商中）

!

crypto map mymap client configuration address respond crypto map mymap 10 ipsec-isakmp dynamic dymap

3. L2TP VPND 配置

vpdn enable

!

vpdn-group 1

! Default L2TP VPDN group accept-dialin

protocol l2tp virtual-template 1

no l2tp tunnel authentication

!

interface Virtual-Template1

ip address 200.200.200.1 255.255.255.0 peer default ip address pool vpn_pool ppp mtu adaptive

ppp authentication ms-chap-v2 ms-chap chap pap ppp chap hostname cisco

crypto map mymap （策略需应用于 VPND 接口上）

!

username test password 0 test

ip local pool vpn_pool 200.200.200.2 200.200.200.100

4. 内网网段模拟

interface Loopback2

ip address 10.0.0.1 255.255.255.0 ip nat inside

ip virtual-reassembly in

!

5. 访问控制列表（10.0.0.0 网段为 CISCO 服务器内网网段，192.168.1.0 网段为四信路由 器内网网段，若没有该访问控制列表,IPSEC 建立不通，且处于第二阶段协商中）

access-list 100 permit ip 10.0.0.0 0.0.0.255 192.168.1.0 0.0.0.255

6. 保障两端 IPSEC 子网互通，需要添加静态路由，若无静态路由，子网无法互通。

ip route 192.168.1.0 255.255.255.0 200.200.200.20

二、四信路由器配置

1. 必须使用定制版本，深圳艾默生版本

2. 先建 L2TP 连接服务端，当 L2TP 获取到隧道地址后，再使用隧道地址建 IPSEC

(远程子网任意填，不使用0.0.0.0 0.0.0.0，且必须指定隧道IP，若无该IP，服务端无法 指定静态路由下一跳）

3. IPSEC 配置
 

三、连接状态

1. L2TP 连接状态

2. IPSEC 连接状态

四、测试结果

1. PC 机 ping CISCO 服务器内网