ORB305與CISCO路由器構(gòu)建L2TP over IPSec VPN操作手冊
1、網(wǎng)絡(luò)拓?fù)?br />在思科路由器與ORB305之間建立一個(gè)安全隧道，對(duì)客戶路由器端設(shè)備子網(wǎng)，與思科路由器端服務(wù)器子網(wǎng)之間的數(shù)據(jù)流進(jìn)行安全保護(hù)，組網(wǎng)拓?fù)鋱D如圖所示。

2、思科路由器端配置指導(dǎo)
(此處以多數(shù)客戶使用專線上網(wǎng)形式為例)
Cisco（AR1）配置配置1.AAA配置aaa new-model//啟用AAA
aaa authentication ppp default local//定義默認(rèn)的認(rèn)證列表default,其對(duì)PPP認(rèn)證為本地認(rèn)證
2.VPDN配置vpdn enable//啟用vpdn
vpdn-group 1//新建一個(gè)VPDN組
accept-dialin//接收撥號(hào)進(jìn)來的鏈接
protocol l2tp//定義協(xié)議為L2TP，可選的還有PPTP
virtual-template 1//使用虛模板接口1
no l2tp tunnel authentication//注意我們是基于access模式的vpdn，所以不需要對(duì)隧道進(jìn)行認(rèn)證,也就是說每一個(gè)用戶都是一個(gè)LAC
username test1 password 0 123456//定義一個(gè)本地用戶
3.IPSec配置crypto isakmp policy 10//定義isakmp策略,注意路由器會(huì)按序號(hào)匹配策略所定義的參數(shù)，先匹配的先采用，如果一個(gè)都沒有匹配到，則ipsec第一階段協(xié)商失敗
encr 3des//加密方式
hash md5//哈希算法
authentication pre-share//驗(yàn)證方式預(yù)共享密鑰
group 2//使用DH組2來協(xié)商第一階段
sa crypto isakmp key 1234 address 0.0.0.0 0.0.0.0//這里定義預(yù)共享密鑰，所有地址都使用這個(gè)密鑰，路由器會(huì)尋找一個(gè)地址最匹配的預(yù)共享密鑰，如果還有更精確的地址匹配，則采用其定義的預(yù)共享密鑰
crypto ipsec transform-set myset esp-3des esp-md5-hmac//這里定義變換集，IPSEC階段2將使用其定義的參數(shù)，創(chuàng)建SA
mode transport//定義模式為傳輸模式
crypto dynamic-map mydynamic 10//定義動(dòng)態(tài)映射表mydynamic
set transform-set myset//此映射圖引用了前面定義的轉(zhuǎn)換集
crypto map mymap 10 ipsec-isakmp dynamic mydynamic//定義映射表mymap
4.配置接口地址：
interface GigabitEthernet0/1
ip address 113.208.113.38 255.255.255.248 crypto map mymap//在接口上應(yīng)用此映射圖
5.Virtual-Template配置：interface Virtual-Template1 ip unnumbered GigabitEthernet0/1//借用物理接口
peer default ip address pool mypool/指定客戶端地址池為DHCP地址池
ppp authentication pap chap ms-chap ms-chap-v2//配置驗(yàn)證方式
ip local pool mypool 192.168.10.2 192.168.10.5//定義地址池
6.配置內(nèi)網(wǎng)接口：
interface GigabitEthernet0/0
ip address 192.168.10.1 255.255.255.0 ip nat inside
7.配置nat：access-list 11 permit 192.168.10.0 0.0.0.255
//配置匹配流ip nat inside source list 11 interface GigabitEthernet0/1 overload
3、ORB305路由器端配置指導(dǎo)
將SIM卡插入路由器卡槽
給設(shè)備上電，登入路由器web頁面（默認(rèn)為192.168.2.1）
進(jìn)入網(wǎng)絡(luò)→接口→連鏈路備份界面啟用對(duì)應(yīng)SIM卡并上調(diào)鏈路優(yōu)先級(jí)，保存配置

對(duì)應(yīng)SIM卡撥號(hào)成功，當(dāng)前鏈路變?yōu)榫G色
進(jìn)入網(wǎng)絡(luò)→VPN→IPsec界面進(jìn)行路由器（IPsec VPN客戶端）配置保存并應(yīng)用，進(jìn)入狀

態(tài)→VPN頁面看到IPsec VPN狀態(tài)為已連接

點(diǎn)擊“網(wǎng)絡(luò)-VPN-L2TP”勾選“啟用”；遠(yuǎn)端地址填寫思科路由器的公網(wǎng)IP地址；用戶名密碼填寫在思科路由器default中添加的用戶名及密碼；認(rèn)證類型選擇“chap”；遠(yuǎn)端子網(wǎng)填思科路由器下設(shè)備的子網(wǎng)地址及掩碼。保存并應(yīng)用。

等待5分鐘，在“狀態(tài)-VPN”查看VPN連接狀態(tài)。