L2TP×××-router-Over-IPSec

实验目的：

应用L2TP结合IPSec创建×××，实现分公司remote-client经过虚拟专用网链接，链接到总公司边界路由，进行认证，创建×××，实现安全通讯。

R5为总公司内部路由、R1为总公司网络边界路由、R6模拟Internet，R1为分公司网络边界路由、R2为分公司内网路由。Client接入R2，用 ***链接接入到总公司内网。

实验拓扑：

实验配置要点：

R6只需配置IP地址，R5配置IP和默认路由便可、R2配置NAT和IP地址。

R1的配置：

vpdn enable                  //启用VPDN

vpdn-group 1                //建立VPDN组

 Default L2TP VPDN group    //设置当前组为默认组

 accept-dialin               //属性导入

  protocol l2tp               //使用L2TP协议

  virtual-template 1            //调用virtual-template 1设置

 no l2tp tunnel authentication     //禁用L2TP通道认证

username meng password 0 gezi123   //建立用户名密码，即创建链接的帐号密码

crypto isakmp policy 1            //定义IKE策略

 encr 3des

 hash md5

 authentication pre-share

 group 2

crypto isakmp key gezi123 address 0.0.0.0 0.0.0.0  //定义PSK，远端地址为全部

!

crypto ipsec transform-set myset esp-3des esp-md5-hmac    //定义转换集

 mode transport                       //必定要配置成传输模式，默认为tunnel模式

!

crypto dynamic-map dmap 1           //建立动态map

 set transform-set myset 

!

crypto map mymap 1 ipsec-isakmp dynamic dmap     //静态map调用动态map

interface Serial1/0

 ip address 15.15.15.1 255.255.255.0

 serial restart-delay 0

 clock rate 64000

interface Serial1/1

 ip address 16.16.16.1 255.255.255.0

 serial restart-delay 0

 clock rate 64000

 crypto map mymap                    //网络出口调用map

interface Virtual-Template1            //建立虚拟模板

 ip address 1.1.1.1 255.255.255.0       //设置ip地址，用于管理和分配地址（必须配）

 peer default ip address pool meng      //给客户端指定IP地址池

 ppp authentication pap chap ms-chap-v2 //支持的验证方式:这里有pap、chap和ms-chap-v2

ip local pool meng 100.1.2.10 100.1.2.20    //定义地址池，用于给client分配ip地址

ip route 0.0.0.0 0.0.0.0 16.16.16.6

client创建链接的步骤：

一、创建一个×××链接（建立一个新链接--链接到个人工做场所--选择虚拟专用网络--输入总公司外网地址--建立成功）

二、打开×××链接的属性：在安全选项卡中，点击ipsec设置，填写PSK，肯定。

三、输入用户名和密码进行链接：

四、经过链接，进行用户名密码验证和注册，链接完成，就能够与内网进行通讯。

 

实验验证：

 

r1#sh crypto isakmp sa 

IPv4 Crypto ISAKMP SA

dst             src             state          conn-id slot status

16.16.16.1      26.26.26.2      QM_IDLE           1001    0 ACTIVE

链接到总公司×××信息：

测试client到总公司内网的通讯状况：

C:\Documents and Settings\User>ping 5.5.5.5

Pinging 5.5.5.5 with 32 bytes of data:

Reply from 5.5.5.5: bytes=32 time=26ms TTL=254

Reply from 5.5.5.5: bytes=32 time=27ms TTL=254

Reply from 5.5.5.5: bytes=32 time=21ms TTL=254

Reply from 5.5.5.5: bytes=32 time=21ms TTL=254

Ping statistics for 5.5.5.5:

    Packets: Sent = 4, Received = 4, Lost = 0 (0% los

Approximate round trip times in milli-seconds:

    Minimum = 21ms, Maximum = 27ms, Average = 23ms

实验总结：

客户端可使用Windows系统（xp或win7），能够在PAT路由器的后面，也能够直接接入Internet，可使用Windows建立的×××链接拨入。能够正确得到IP、服务器IP、DNS（若是路由器上设置过），能够经过路由器访问路由器下的其它直连和非直连子网。