L2TP×××-router-Over-IPSec

實驗目的：

應用L2TP結合IPSec創建×××，實現分公司remote-client經過虛擬專用網鏈接，鏈接到總公司邊界路由，進行認證，創建×××，實現安全通訊。

R5爲總公司內部路由、R1爲總公司網絡邊界路由、R6模擬Internet，R1爲分公司網絡邊界路由、R2爲分公司內網路由。Client接入R2，用 ***鏈接接入到總公司內網。

實驗拓撲：

實驗配置要點：

R6只需配置IP地址，R5配置IP和默認路由便可、R2配置NAT和IP地址。

R1的配置：

vpdn enable                  //啓用VPDN

vpdn-group 1                //建立VPDN組

 Default L2TP VPDN group    //設置當前組爲默認組

 accept-dialin               //屬性導入

  protocol l2tp               //使用L2TP協議

  virtual-template 1            //調用virtual-template 1設置

 no l2tp tunnel authentication     //禁用L2TP通道認證

username meng password 0 gezi123   //建立用戶名密碼，即創建鏈接的帳號密碼

crypto isakmp policy 1            //定義IKE策略

 encr 3des

 hash md5

 authentication pre-share

 group 2

crypto isakmp key gezi123 address 0.0.0.0 0.0.0.0  //定義PSK，遠端地址爲全部

!

crypto ipsec transform-set myset esp-3des esp-md5-hmac    //定義轉換集

 mode transport                       //必定要配置成傳輸模式，默認爲tunnel模式

!

crypto dynamic-map dmap 1           //建立動態map

 set transform-set myset 

!

crypto map mymap 1 ipsec-isakmp dynamic dmap     //靜態map調用動態map

interface Serial1/0

 ip address 15.15.15.1 255.255.255.0

 serial restart-delay 0

 clock rate 64000

interface Serial1/1

 ip address 16.16.16.1 255.255.255.0

 serial restart-delay 0

 clock rate 64000

 crypto map mymap                    //網絡出口調用map

interface Virtual-Template1            //建立虛擬模板

 ip address 1.1.1.1 255.255.255.0       //設置ip地址，用於管理和分配地址（必須配）

 peer default ip address pool meng      //給客戶端指定IP地址池

 ppp authentication pap chap ms-chap-v2 //支持的驗證方式:這裏有pap、chap和ms-chap-v2

ip local pool meng 100.1.2.10 100.1.2.20    //定義地址池，用於給client分配ip地址

ip route 0.0.0.0 0.0.0.0 16.16.16.6

client創建鏈接的步驟：

一、創建一個×××鏈接（建立一個新鏈接--鏈接到個人工做場所--選擇虛擬專用網絡--輸入總公司外網地址--建立成功）

二、打開×××鏈接的屬性：在安全選項卡中，點擊ipsec設置，填寫PSK，肯定。

三、輸入用戶名和密碼進行鏈接：

四、經過鏈接，進行用戶名密碼驗證和註冊，鏈接完成，就能夠與內網進行通訊。

 

實驗驗證：

 

r1#sh crypto isakmp sa 

IPv4 Crypto ISAKMP SA

dst             src             state          conn-id slot status

16.16.16.1      26.26.26.2      QM_IDLE           1001    0 ACTIVE

鏈接到總公司×××信息：

測試client到總公司內網的通訊狀況：

C:\Documents and Settings\User>ping 5.5.5.5

Pinging 5.5.5.5 with 32 bytes of data:

Reply from 5.5.5.5: bytes=32 time=26ms TTL=254

Reply from 5.5.5.5: bytes=32 time=27ms TTL=254

Reply from 5.5.5.5: bytes=32 time=21ms TTL=254

Reply from 5.5.5.5: bytes=32 time=21ms TTL=254

Ping statistics for 5.5.5.5:

    Packets: Sent = 4, Received = 4, Lost = 0 (0% los

Approximate round trip times in milli-seconds:

    Minimum = 21ms, Maximum = 27ms, Average = 23ms

實驗總結：

客戶端可使用Windows系統（xp或win7），能夠在PAT路由器的後面，也能夠直接接入Internet，可使用Windows建立的×××鏈接撥入。能夠正確得到IP、服務器IP、DNS（若是路由器上設置過），能夠經過路由器訪問路由器下的其它直連和非直連子網。