L2TP***-router-Over-IPSec

實驗目的：

應用L2TP結合IPSec建立***，實現分公司remote-client通過虛擬專用網連接，連接到總公司邊界路由，進行認證，建立***，實現安全通信。

R5爲總公司內部路由、R1爲總公司網絡邊界路由、R6模擬Internet，R1爲分公司網絡邊界路由、R2爲分公司內網路由。Client接入R2，用 ***連接接入到總公司內網。

實驗拓撲：

實驗配置要點：

R6只需配置IP地址，R5配置IP和默認路由即可、R2配置NAT和IP地址。

R1的配置：

vpdn enable                  //啓用VPDN

vpdn-group 1                //創建VPDN組

 Default L2TP VPDN group    //設置當前組爲默認組

 accept-dialin               //屬性導入

  protocol l2tp               //使用L2TP協議

  virtual-template 1            //調用virtual-template 1設置

 no l2tp tunnel authentication     //禁用L2TP通道認證

username meng password 0 gezi123   //創建用戶名密碼，即建立連接的賬號密碼

crypto isakmp policy 1            //定義IKE策略

 encr 3des

 hash md5

 authentication pre-share

 group 2

crypto isakmp key gezi123 address 0.0.0.0 0.0.0.0  //定義PSK，遠端地址爲所有

!

crypto ipsec transform-set myset esp-3des esp-md5-hmac    //定義轉換集

 mode transport                       //一定要配置成傳輸模式，默認爲tunnel模式

!

crypto dynamic-map dmap 1           //創建動態map

 set transform-set myset 

!

crypto map mymap 1 ipsec-isakmp dynamic dmap     //靜態map調用動態map

interface Serial1/0

 ip address 15.15.15.1 255.255.255.0

 serial restart-delay 0

 clock rate 64000

interface Serial1/1

 ip address 16.16.16.1 255.255.255.0

 serial restart-delay 0

 clock rate 64000

 crypto map mymap                    //網絡出口調用map

interface Virtual-Template1            //創建虛擬模板

 ip address 1.1.1.1 255.255.255.0       //設置ip地址，用於管理和分配地址（必須配）

 peer default ip address pool meng      //給客戶端指定IP地址池

 ppp authentication pap chap ms-chap-v2 //支持的驗證方式:這裏有pap、chap和ms-chap-v2

ip local pool meng 100.1.2.10 100.1.2.20    //定義地址池，用於給client分配ip地址

ip route 0.0.0.0 0.0.0.0 16.16.16.6

client建立連接的步驟：

1、建立一個***連接（創建一個新連接--連接到我的工作場所--選擇虛擬專用網絡--輸入總公司外網地址--創建成功）

2、打開***連接的屬性：在安全選項卡中，點擊ipsec設置，填寫PSK，確定。

3、輸入用戶名和密碼進行連接：

4、通過連接，進行用戶名密碼驗證和註冊，連接完成，就可以與內網進行通信。

 

實驗驗證：

 

r1#sh crypto isakmp sa 

IPv4 Crypto ISAKMP SA

dst             src             state          conn-id slot status

16.16.16.1      26.26.26.2      QM_IDLE           1001    0 ACTIVE

連接到總公司***信息：

測試client到總公司內網的通信情況：

C:\Documents and Settings\User>ping 5.5.5.5

Pinging 5.5.5.5 with 32 bytes of data:

Reply from 5.5.5.5: bytes=32 time=26ms TTL=254

Reply from 5.5.5.5: bytes=32 time=27ms TTL=254

Reply from 5.5.5.5: bytes=32 time=21ms TTL=254

Reply from 5.5.5.5: bytes=32 time=21ms TTL=254

Ping statistics for 5.5.5.5:

    Packets: Sent = 4, Received = 4, Lost = 0 (0% los

Approximate round trip times in milli-seconds:

    Minimum = 21ms, Maximum = 27ms, Average = 23ms

實驗總結：

客戶端可以使用Windows系統（xp或win7），可以在PAT路由器的後面，也可以直接接入Internet，可以使用Windows創建的***連接撥入。可以正確獲得IP、服務器IP、DNS（如果路由器上設置過），可以通過路由器訪問路由器下的其它直連和非直連子網。