配置出差用户利用L2TP over IPSec隧道接入总部的示例

规格

适用于所有版本、所有形态的路由器。

组网需求

如图6-48所示，某企业使用RouterA作为总部网关。企业的出差员工用PC A通过公网与总部建立通信。为了保证出差员工接入内网的安全性，企业希望在出差员工和总部网关之间建立一个L2TP over IPSec隧道。

本示例配置步骤在PC终端上以Windows 7系统为例。

图6-48 配置PC与路由器建立L2TP over IPSec隧道组网图

操作步骤

1. 配置RouterA

   
   

   #                                                                               
    sysname RouterA  //配置设备名称
   #  
    l2tp enable   //开启L2TP功能#
   ipsec proposal prop  //配置IPSec安全提议                              
    encapsulation-mode transport                                                   
   #                                                                               
   ike proposal 5  //配置IKE安全提议                                    
    encryption-algorithm aes-cbc-128   //V200R008及之后的版本，aes-cbc-128参数修改为aes-128
    authentication-algorithm sha2-256 
   #
   ike peer peer1 v1  //配置IKE对等体及其使用的协议时，不同的软件版本间的配置有差异：
   V200R008之前的版本命令为ike peer peer-name [ v1 | v2 ]。V200R008及之后的版本命令为ike peer peer-name和version { 1 | 2 }，如果对等体IKEv1和IKEv2版本同时启用，设备发起协商时会使用IKEv2协议，响应协商时则同时支持IKEv1协议和IKEv2协议。自V200R008版本到V200R021版本，缺省情况下，对等体IKEv1和IKEv2同时启用。如果设备需要使用IKEv1协议，则可以执行命令undo version 2；V200R021及之后版本，缺省情况下，启用对等体IKEv2版本。如果设备需要使用IKEv1协议，需要先执行命令version 1，再执行命令undo version 2。
    pre-shared-key cipher %^%#JvZxR2g8c;a9~FPN~n'$7`DEV&=G(=Et02P/%\*!%^%#  //配置预共享密钥
    ike-proposal 5                                                                 
   #
   ipsec policy-template temp1 10  //配置策略模板                                                
    ike-peer peer1                                                                 
    proposal prop                                                                  
   #
   ipsec policy policy1 10 isakmp template temp1  //配置安全策略    
   #
   ip pool 1   //配置IP地址池为L2TP客户端分配地址
    gateway-list 10.2.1.1  
    network 10.2.1.0 mask 255.255.255.0 
   # 
   aaa   //配置AAA本地认证，用户名为vpdnuser，密码为YsHsjx_202206
    authentication-scheme l2tp
     authentication-mode local 
    domain l2tp 
     authentication-scheme l2tp
    local-user vpdnuser password cipher %^%#!~$GMN5Gj=j&f)IjQ8\>~b\-1"i^b@~.)+,2gi9K%^%#
    local-user vpdnuser privilege level 0                                          
    local-user vpdnuser service-type ppp
   # 
   interface GigabitEthernet1/0/0                                                         
    ip address 1.1.1.2 255.255.255.0                                        
    ipsec policy policy1                                                          
   #
   interface Virtual-Template1   //创建VT虚拟接口模板，配置拨号参数
    ppp authentication-mode chap domain l2tp   //配置认证方式时必须携带域名
    remote address pool 1   //引用IP地址池
    ip address 10.2.1.1 255.255.255.0
   #
   l2tp-group 1   //创建L2TP组，配置L2TP连接参数
    undo tunnel authentication   //手机拨号接入，建议关闭隧道验证功能
    allow l2tp virtual-template 1
   #
   ip route-static 0.0.0.0 0.0.0.0 1.1.1.1  //配置静态路由，保证两端路由可达
   ip route-static 10.2.1.0 255.255.255.0 Virtual-Template1
   # 
   return

   
   

2. 配置出差用户的个人PC。以下为Windows 7系统的示例。

1. 在“网络和共享中心”左侧区域中选择“更改适配器设置”。

2. 在新建的VPN连接处，单击鼠标右键并选择“属性”。

3. 设置“选项”，选择“连接时显示进度”。

4. 设置“安全”，在“VPN类型”中选择“使用IPsec的第2层隧道协议”，在“数据加密”中选择“需要加密”，并点击“高级设置”，选择“使用预共享的密钥作身份验证”，并输入密钥。

5. 设置“网络”，选择“Internet 协议版本 4”。

   
   

6. 选择“开始 > 控制面板”。

7. 选择“网络和Internet”。

8. 打开“网络和共享中心”。

9. 选择“设置新的连接或网络”。

10. 选择“连接到工作区”。

11. 选择“使用我的Internet连接”。

12. 设置Internet地址和目标名称。

    Internet地址设置为RouterA外网接口的IP地址（域名固定的情况下，可以填写固定域名）。

13. 设置用户名、密码。

    
    

14. 设置完成后，单击“连接”。

15. 单击“跳过”，跳过验证过程。显示“连接已经可用”后，单击“关闭”。

16. 在“开始 > 运行”中，输入services.msc命令，单击“确定”，进入“服务”界面。

17. 在“名称”一列中，查看“IPsec Policy Agent”的状态，确保状态为“已启用”。如果不为“已启用”，请右键单击“IPsec Policy Agent”，选择“属性”，在“属性”中设置“启动类型”为自动，单击“应用”。之后在“服务状态”中选择“启动”。

18. 关闭“服务”界面。

19. 查看IPSec服务状态，保证IPSec服务开启。

    
    

    
    

20. 创建L2TP over IPSec连接。

    
    

    
    

21. 设置IKE连接参数。

    
    

    
    

3. 验证配置结果

   
   

   # 配置成功后，PC A使用系统自带软件进行拨号，拨号成功。

   在RouterA上执行命令display l2tp tunnel，可以看到L2TP隧道建立成功。

   在RouterA上执行命令display ike sa，可以看到SA建立成功。

   
   

配置注意事项

• 两端用于IKE协商的预共享密钥保持一致。

• L2TP客户端软件不支持隧道验证时，需在设备上关闭隧道验证功能。

• 出差员工与总部之间是建立基于主机到网关的IPSec隧道，因此需要基于传输模式建立IPSec隧道