目录
总部与分支站点之间建立隧道
基础配置
配置L2TP VPN
编辑配置L2TP Over IPSec
L2TP Over IPSec隧道内运行OSPF协议
总部与分支站点之间建立隧道
拓扑如下
基础配置
R1
int g0/1
ip add 10.1.1.1 30
int g0/0
ip add 192.168.10.254 24
exit
ip route 0.0.0.0 0.0.0.0 10.1.1.2
R3
int g0/3
ip add 30.1.1.2 30
int g0/0
ip add 192.168.20.254 24
exit
ip route 0.0.0.0 0.0.0.0 30.1.1.1
R2
int g0/1
ip add 10.1.1.2 30
int g0/3
ip add 30.1.1.1 30
exit
PC1
int g0/0
ip add 192.168.10.1 24
exit
ip route 0.0.0.0 0.0.0.0 192.168.10.254
PC2
int g0/0
ip add 192.168.20.1 24
exit
ip route 0.0.0.0 0.0.0.0 192.168.20.254
配置L2TP VPN
1、配置LNS VPDN (R1)
vpdn enable
vpdn-group 1
accept-dialin
protocol l2tp
virtual-template 1
exit
l2tp tunnel authentication # 按需启用l2tp隧道认证功能
l2tp tunnel password ruijie # 按需配置l2tp隧道密码为“ruijie”
注意:在LNS上配置了隧道认证和密码后,必须在L2TP客户端上也配置隧道认证和相同的密码,否则L2TP无法协商成功。
2、配置LNS地址池和用户信息
ip local pool p1 100.0.0.1 100.0.0.254 # 配置l2tp用户的地址池
username test password test # 添加需要本地认证的L2TP客户端账号密码信息
3、配置LNS Virtual-Template接口
interface loopback 0 # 添加loopback接口,该接口地址用于供VPDN虚模板使用
ip address 100.0.0.1 255.255.255.255
interface Virtual-Template 1
ppp authentication pap chap # 指定优先使用pap认证,同时支持chap认证
ip unnumbered Loopback 0 # 指定虚模板引用loopback 1的地址
peer default ip address pool p1 # 指定l2tp客户端所使用的地
4、配置分支路由器L2TP CLASS (R3)
l2tp-class l2x
hostname site1
authentication # 开启L2TP隧道认证
password ruijie # 配置L2TP隧道认证密码为“ruijie”
注意:在l2TP客户端上配置的隧道认证密码必须与服务器上的相同,否则L2TP无法协商成功。
5、配置分支路由器L2TP pseudowire-class 接口
pseudowire-class pw
encapsulation l2tpv2 # 指定使用l2tpv2封装
protocol l2tpv2 l2x # 指定协议类型为l2tpv2作为隧道协议,并指定使用"l2x"的l2tp class
ip local interface g0/3 # 指定L2TP隧道协商的源地址,该地址为外网口地址
6、配置分支路由器的Virtual-ppp接口
配置L2TP Over IPSec
总部使用动态IPSec模式(不能使用安全框架模式)
vpdn-group 1
l2tp tunnel force_ipsec # 强制L2TP隧道的所有流量都需要经过IPSec隧道传输
!
crypto isakmp policy 1
encryption 3des
authentication pre-share
hash md5
group 2
!
crypto isakmp key 7 ruijie@123 address 0.0.0.0 0.0.0.0
crypto ipsec transform-set myset esp-3des esp-md5-hmac
mode transport
!
crypto dynamic-map dymymap 10
set transform-set myset
set autoup
!
crypto map mymap 5 ipsec-isakmp dynamic dymymap
!
interface g0/1
crypto map mymap
分支站点使用IPSec安全框架(模版文件)
crypto isakmp policy 1
encryption 3des
authentication pre-share
hash md5
group 2
!
crypto isakmp key 7 ruijie@123 address 10.1.1.1 255.255.255.255
crypto ipsec transform-set myset esp-3des esp-md5-hmac
mode transport
!
crypto ipsec profile wenjian
set transform-set myset
!
interface Virtual-ppp 1
tunnel protection ipsec profile wenjian
L2TP Over IPSec隧道内运行OSPF协议
只需在OSPF进程内宣告虚拟隧道接口和相应的内网即可
R1
router ospf 100
router-id 100.0.0.1
yes
network 100.0.0.1 0.0.0.0 area 0
network 192.168.10.254 0.0.0.0 area 0
exit
R3
router ospf 100
router-id 100.0.0.2
yes
network 100.0.0.2 0.0.0.0 area 0
network 192.168.20.254 0.0.0.0 area 0
exit
使用PC1 ping PC2测试
这里还需要注意的是:L2TP隧道内承载的OSPF网络类型为P2P类型,无需选举DR和BDR,因此可快速收敛
以上是较方便的L2TP Over IPSec,按其原理:被IPSec保护L2TP流量就算作L2TP Over IPSec的话,其实也可以两端配置静态IPSec,感兴趣流匹配两端建立隧道的公网地址即可