1. 概述 本文档主要讲述了关于映翰通InRouter路由器不中心端Cisco Router(支持VPN)构建L2TP VPN的方法。InRouter 61X，Inrouter 71X全系列产品均支持VPN功能，并不众多国际主流中心端设备厂商产品兼容。建立起L2TP VPN之后便可以实现下位机—InRouter设备LAN端不上位机—中心端设备LAN进行双向通信。 2. 网络拓扑 2.1 网络拓扑 2.2 网络拓扑说明  中心端设备为Cisco Router 2821，IOS 为C2800NM-ADVIPSERVICESK9-M,版本15.0(1)M8；外部IP地址173.17.99.100，掩码255.255.255.0；内部IP地址172.16.1.1，掩码255.255.255.0  接入端1设备为InRouter 61X/71X；外部IP地址193.169.99.100，掩码255.255.255.0；内部IP地址192.168.2.1，掩码255.255.255.0  接入端2设备为InRouter 61X/71X；外部IP地址193.169.99.101，掩码255.255.255.0；内部IP地址192.168.3.1，掩码255.255.255.0 3. 配置指导（一台InRouter） 3.1 中心端CiscoRouter基本配置 CiscoRouter>enable //进入特权模式  CiscoRouter# configure terminal //进入配置模式  CiscoRouter(config)#username cisco secret cisco //设置用户名和密码（思科新一代路由器在第一次启动完成后必须设置用户名和密码，否则在下次重启后将无法进入特权模式）  CiscoRouter(config)#enable secret cisco //设置特权模式密码（思科新一代路由器在第一次启动完成后必须设置特权模式密码，否则在下次重启后将无法进入特权模式）  CiscoRouter(config)#interface gigabitEthernet 0/0 //进入接口配置模式（外部或内部接口可自行选择 但必须是具有三层功能以太网口）  CiscoRouter(config-if)#ip address 173.17.99.100 255.255.255.0 //为外部接口指定IP和掩码  CiscoRouter(config-if)#no shutdown //开启接口 CiscoRouter(config-if)#speed auto //设置端口速率为自适应  CiscoRouter(config-if)#duplex auto //设置端口双工模式为自适应  CiscoRouter(config-if)#exit //退出接口配置模式  CiscoRouter(config)#interface gigabitEthernet 0/1 CiscoRouter(config-if)#ip address 172.16.1.1 255.255.255.0 //为内部接口指定IP和掩码  CiscoRouter(config-if)#no shutdown CiscoRouter(config-if)#speed auto CiscoRouter(config-if)#duplex auto CiscoRouter(config-if)#exit CiscoRouter(config)#ip route 0.0.0.0 0.0.0.0 173.17.99.1 //配置静态默认路由（下一跳地址为ISP提供） CiscoRouter(config)#access-list 100 permit ip any any //创建访问控制列表允许所有  CiscoRouter(config)#ip nat inside source list 100 interface GigabitEthernet0/0 overload //在外部接口上启用NAT（PAT）  CiscoRouter(config)#interface gigabitEthernet 0/0 CiscoRouter(config-if)#ip nat outside //划分NAT区域（外部接口为outside）  CiscoRouter(config-if)#exit CiscoRouter(config)#interface gigabitEthernet 0/1 CiscoRouter(config-if)#ip nat inside //划分NAT区域（外部接口为inside）  CiscoRouter(config-if)#end CiscoRouter#write memory //保存配置 至此中心端Cisco Router基本配置完成。 3.2 远端InRouter基本配置 3.2.1 远端InRouter WAN口配置（如无WAN口或采用3G拨号则跳过此步骤） 接通InRouter电源，用一根网线连接InRouter的LAN口和PC，打开浏览器，输入http://192.168.2.1，输入用户名adm,密码123456. 3.2.2 远端InRouter LAN口配置 至此InRouter基本配置完成 3.3 L2tp VPN配置 3.3.1中心端Cisco Router L2tp VPN配置 CiscoRouter>enable CiscoRouter# configure terminal CiscoRouter(config)#vpdn enable //开启VPDN功能  CiscoRouter(config)#vpdn-group l2tp //创建VPDN组  CiscoRouter(config-vpdn)#accept-dialin //定义允许拨入  CiscoRouter(config-vpdn-acc-in)#protocol l2tp //设置使用l2tp协议  CiscoRouter(config-vpdn-acc-in)#virtual-template 1 //关联虚拟拨号模板  CiscoRouter(config-vpdn-acc-in)#exit CiscoRouter(config-vpdn)#no l2tp tunnel authentication //关闭l2tp的隧道验证功能  CiscoRouter(config)#interface Virtual-Template 1 //创建虚拟拨号模板  CiscoRouter(config-if)#ip address 10.255.255.254 255.255.255.0 //为虚拟拨号模板指定一个IP地址，该IP地址建议不Local Pool同一网段  CiscoRouter(config-if)#peer default ip address pool l2tp //指定拨号用户虚拟IP地址池  CiscoRouter(config-if)#ppp authentication chap //定义拨号用户的验证方式  CiscoRouter(config-if)#exit CiscoRouter(config)#ip local pool l2tp 10.255.255.1 10.255.255.10 //定义拨号用户虚拟IP地址池  CiscoRouter(config)#exit CiscoRouter#wr 至此中心端Cisco Router L2tp VPN配置结束 3.3.2 远端InRouter L2tp VPN配置 3.4 验证 3.4.1 中心端验证 CiscoRouter#show vpdn tunnel L2TP Tunnel Information Total tunnels 1 sessions 1 LocID RemID Remote Name State Remote Address Port Sessions L2TP 23174 35630 s_L2TP_tunnel est 193.169.99.100 1701 0 l2tp 上述信息显示L2tp 隧道已建立成功 3.4.2 远端InRouter验证 3.5 补充 在完成上述配置之后，远端InRouter内部网络可以访问中心端CiscoRouter的内部网络，但是中心端CiscoRouter内部网络却无法访问远端InRouter的内部网络，因为中心端CiscoRouter上没有到远端InRouter内部网络的路由，所以需要在中心端添加一条静态路由，切记！ CiscoRouter(config)#ip route 192.168.2.0 255.255.255.0 10.255.255.1 //192.168.2.0 255.255.255.0为远端InRouter的内部网络，10.255.255.1为在配置远端InRouter的L2TP时填写的“本地IP地址” 4. 配置指导（多台Inrouter） 4.1 新增远端InRouter配置 4.1.1 新增远端InRouter WAN口配置（如无WAN口或采用3G拨号则跳过此步骤） 接通InRouter电源，用一根网线连接InRouter的LAN口和PC，打开浏览器，输入http://192.168.3.1，输入用户名adm,密码123456. 4.1.2 新增远端InRouter LAN口配置 至此新增远端InRouter基本配置完成 4.1.3 新增远端InRouter L2TP VPN配置 4.2 中心端CiscoRouter路由器配置 只需增加一条静态路由，到新增远端InRouter内部网络的下一跳为在配置新增远端InRouter L2TP VPN时填写的”本地IP地址”，其他无需更改。 CiscoRouter(config)#ip route 192.168.3.0 255.255.255.0 10.255.255.2 //192.168.3.0 255.255.255.0为新增远端InRouter的内部网络，10.255.255.2为在配置远端InRouter的L2TP时填写的“本地IP地址” 4.3 验证 4.3.1 中心端验证 CiscoRouter#show vpdn tunnel L2TP Tunnel Information Total tunnels 2 sessions 2 LocID RemID Remote Name State Remote Address Port Sessions L2TP 23174 35630 s_L2TP_tunnel est 193.169.99.100 1701 0 l2tp 8463 63411 s_L2TP_tunnel est 193.169.99.101 1701 1 l2tp 上述信息显示L2tp 隧道已建立成功 4.3.2 远端InRouter验证 5.备注  中心Cisco Router的IOS版本要求高于12.0丏须支持IPsec VPN；  中心端外部接口建议采用静态IP地址，如采用拨号方式可获取固定IP地址也可；  远端IP地址采用静态和动态均可。