1、拓扑说明   2、CiscoRouter做 LNS（L2TP Network Server） 配置 在配置之前确保LAS公网203.86.63.237 的L2TP端口 UDP1701 没有被禁用。 说明：该文档黑体显示部分为通过CISCO show running－config所显示内容。红色字体为注解部分，说明该配置的作用和如何对该项进行配置。配置生效后即可成功使用该LNS。 Router(config)#do show run  Building configuration... Current configuration : 5445 bytes ! version 12.3 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname Router username userone password 0 userone   ///配置本地认证时的用户名和密码，0 表示显示口令，7表示加密显示口令 username usetwo password 0 usertwo aaa new-model          //必须进行配置，否则不能使用aaa的新功能。             ! ! aaa authentication enable default enable aaa authentication ppp default local    //配置LNS对呼入的PPP用户进行本地认证，也可进行AAA认证。 ! vpdn enable              ////打开vpdn使能开关。方法：Router(config)#vpdn enable ! !  vpdn-group 1          //第一个vpdn组，方法：Router(config)#vpdn-group 1 ! Default L2TP VPDN group  accept-dialin           //允许拨入   protocol l2tp   virtual-template 2   local name l2tp         //定义组名  lcp renegotiation always  // LCP的keepalive。  no l2tp tunnel authentication   //此项必配，目前版本不支持Challenge AVP，需要配置此项规避 Router(config-vpdn)#no l2tp tunnel authentication ! interface FastEthernet0/0  ip address 203.86.63.237 255.255.255.248  ip nat outside ! interface FastEthernet0/1  ip address 172.16.1.1 255.255.255.0  ip nat inside  interface Virtual-Template2  //建立虚拟模板，用作PPP用户呼入时使用。  ip address 10.10.10.1 255.255.255.0  //虚模板接口地址  peer default ip address pool l2tp  //给用户从l2tp ip池中分配ip地址  ppp authentication chap callin    //ppp的认证方式为chap ! ip local pool l2tp 172.16.1.190 172.16.1.195  //l2tp 地址池 ip route 0.0.0.0 0.0.0.0 203.86.63.233       //路由器默认路由器 ip route 192.168.1.0 255.255.255.0 172.16.1.191  //去往192.168.1.0/24网段的路由 ip route 192.168.2.0 255.255.255.0 172.16.1.192  //去往192.168.1.0/24网段的路由   3、IR900 L2TPCleint 配置      以拓扑中IR900-2为路由器为例，登陆路由器后。配置IR900 L2TP客户端前，应保证该设备已经通过无线3G、4G拨号上网并且可以与LNS通信。进入 VPN-L2TP-L2TP客户端选项卡中进行配置如图3-1。 第一步：VPN-L2TP客户端 图3-1 1、创建L2TPCLass，名称为“1”，认证方式为“否”，主机名自定义，认证秘钥为空（对应cisco配置中的no l2tp authentication ; 2、创建Pseudowrie Class ,调用L2TPClass1，使用IR900的WAN的口为源端口“cellular1”，数据封装协议用L2TPv2。 3、L2TP隧道配置中，填写LNS服务器地址，调用Pseudowrie Class1，认证方式为CHAP，用户名密码填入、本地IP 172.16.1.192（Cisco IP  l2tp pool中的地址），远端IP 10.10.10.1（Cisco interface virtu1-template2 的IP）。建立成功后如图3-2。 图3-2 测试隧道是否成功，如下图3-3，ping 172.16.1.1 ，该IP地址为Cisco LAN接口 F0/1的IP地址，同时在专家选项中填写源IP地址 “-I 192.168.2.1”。以IR900 的LAN接口为源访问Cisco的LAN接口。 若可以ping通则说明，IR900的LAN 可以通过隧道访问CiscoRouter的LAN。   第二步：添加回程（去往Cisco LAN）路由，网络-静态路由 点击“新增” 目的网络 172.16.1.0/24 接口virtual-ppp1  路由状态中是路由器的实时路由状态，若L2TP没有建立成功， 两条接口为virtual-ppp1的路由条目都不会存在于路由状态页面。   第三步：ping测试连接   专家选项中“-I 192.168.2.1”表示是以为源IP地址 192.168.2.1 ping 目的IP地址 172.16.1.1。