IR915 连接 cisco L2tp over ipsec
实验拓扑图如图:
Cisco (AR1)配置
配置
1.AAA配置
aaa new-model //启用AAA
aaa authentication ppp default local //定义默认的认证列表default, 其对PPP认证为本地认证
2.VPDN配置
vpdn enable //启用vpdn
vpdn-group 1 // 新建一个VPDN组
accept-dialin //接收拨号进来的链接
protocol l2tp //定义协议为L2TP,可选的还有PPTP
virtual-template 1 // 使用虚模板接口1
no l2tp tunnel authentication //注意我们是基于access模式的vpdn,所以不需要对隧道进行认证,也就是说每一个用户都是一个LAC
username test1 password 0 123456 //定义一个本地用户
3. IPSec配置
crypto isakmp policy 10 //定义isakmp策略,注意路由器会按序号匹配策略所定义的参数,先匹配的先采用,如果一个都没有匹配到,则ipsec第一阶段协商失败
encr 3des //加密方式
hash md5 //哈希算法
authentication pre-share //验证方式预共享密钥
group 2 //使用DH组2来协商第一阶段
sa
crypto isakmp key 1234 address 0.0.0.0 0.0.0.0 //这里定义预共享密钥,所有地址都使用这个密钥,路由器会寻找一个地址最匹配的预共享密钥,如果还有更精确的地址匹配,则采用其定义的预共享密钥
crypto ipsec transform-set myset esp-3des esp-md5-hmac //这里定义变换集,IPSEC阶段2将使用其定义的参数,创建SA
mode transport //定义模式为传输模式
crypto dynamic-map mydynamic 10 //定义动态映射表mydynamic
set transform-set myset //此映射图引用了前面定义的转换集
crypto map mymap 10 ipsec-isakmp dynamic mydynamic //定义映射表mymap
4.配置接口地址:
interface GigabitEthernet0/1
ip address 113.208.113.38 255.255.255.248
crypto map mymap //在接口上应用此映射图
5.Virtual-Template配置:
interface Virtual-Template1
ip unnumbered GigabitEthernet0/1 //借用物理接口
peer default ip address pool mypool /指定客户端地址池为DHCP地址池
ppp authentication pap chap ms-chap ms-chap-v2 //配置验证方式
ip local pool mypool 192.168.10.2 192.168.10.5 //定义地址池
6.配置内网接口:
interface GigabitEthernet0/0
ip address 192.168.10.1 255.255.255.0
ip nat inside
7.配置nat:
access-list 11 permit 192.168.10.0 0.0.0.255
//配置匹配流
ip nat inside source list 11 interface GigabitEthernet0/1 overload
8.根据实际情况配置路由,保证用户正常上网
ip route 0.0.0.0 0.0.0.0 113.208.113.33
Ihand 915L配置:
IPSEC 配置:
1.IR915L 采用默认的拨号设置,操作步骤 网络 >> 拨号接口 >> 点击应用并保存。
查看状态 显示如下图则拨号成功。
2.Ipsec配置:
选择 VPN 》 IPSEC
3.Ipsec隧道配置:
4.L2TP配置:
选择 VPN >>L2T
P
5.查看L2TP状态
6.测试连通性
