ORB305与CISCO路由器构建L2TP over IPSec VPN操作手册-电子发烧友网

ORB305与CISCO路由器构建L2TP over IPSec VPN操作手册
1、网络拓扑
在思科路由器与ORB305之间建立一个安全隧道，对客户路由器端设备子网，与思科路由器端服务器子网之间的数据流进行安全保护，组网拓扑图如图所示。

2、思科路由器端配置指导
(此处以多数客户使用专线上网形式为例)
Cisco（AR1）配置配置1.AAA配置aaa new-model//启用AAA
aaa authentication ppp default local//定义默认的认证列表default,其对PPP认证为本地认证
2.VPDN配置vpdn enable//启用vpdn
vpdn-group 1//新建一个VPDN组
accept-dialin//接收拨号进来的链接
protocol l2tp//定义协议为L2TP，可选的还有PPTP
virtual-template 1//使用虚模板接口1
no l2tp tunnel authentication//注意我们是基于access模式的vpdn，所以不需要对隧道进行认证,也就是说每一个用户都是一个LAC
username test1 password 0 123456//定义一个本地用户
3.IPSec配置crypto isakmp policy 10//定义isakmp策略,注意路由器会按序号匹配策略所定义的参数，先匹配的先采用，如果一个都没有匹配到，则ipsec第一阶段协商失败
encr 3des//加密方式
hash md5//哈希算法
authentication pre-share//验证方式预共享密钥
group 2//使用DH组2来协商第一阶段
sa crypto isakmp key 1234 address 0.0.0.0 0.0.0.0//这里定义预共享密钥，所有地址都使用这个密钥，路由器会寻找一个地址最匹配的预共享密钥，如果还有更精确的地址匹配，则采用其定义的预共享密钥
crypto ipsec transform-set myset esp-3des esp-md5-hmac//这里定义变换集，IPSEC阶段2将使用其定义的参数，创建SA
mode transport//定义模式为传输模式
crypto dynamic-map mydynamic 10//定义动态映射表mydynamic
set transform-set myset//此映射图引用了前面定义的转换集
crypto map mymap 10 ipsec-isakmp dynamic mydynamic//定义映射表mymap
4.配置接口地址：
interface GigabitEthernet0/1
ip address 113.208.113.38 255.255.255.248 crypto map mymap//在接口上应用此映射图
5.Virtual-Template配置：interface Virtual-Template1 ip unnumbered GigabitEthernet0/1//借用物理接口
peer default ip address pool mypool/指定客户端地址池为DHCP地址池
ppp authentication pap chap ms-chap ms-chap-v2//配置验证方式
ip local pool mypool 192.168.10.2 192.168.10.5//定义地址池
6.配置内网接口：
interface GigabitEthernet0/0
ip address 192.168.10.1 255.255.255.0 ip nat inside
7.配置nat：access-list 11 permit 192.168.10.0 0.0.0.255
//配置匹配流ip nat inside source list 11 interface GigabitEthernet0/1 overload
3、ORB305路由器端配置指导
将SIM卡插入路由器卡槽
给设备上电，登入路由器web页面（默认为192.168.2.1）
进入网络→接口→连链路备份界面启用对应SIM卡并上调链路优先级，保存配置