1、网络拓扑
在思科路由器与ORB305之间建立一个安全隧道,对客户路由器端设备子网,与思科路由器端服务器子网之间的数据流进行安全保护,组网拓扑图如图所示。
2、思科路由器端配置指导
(此处以多数客户使用专线上网形式为例)
Cisco(AR1)配置配置1.AAA配置aaa new-model//启用AAA
aaa authentication ppp default local//定义默认的认证列表default,其对PPP认证为本地认证
2.VPDN配置vpdn enable//启用vpdn
vpdn-group 1//新建一个VPDN组
accept-dialin//接收拨号进来的链接
protocol l2tp//定义协议为L2TP,可选的还有PPTP
virtual-template 1//使用虚模板接口1
no l2tp tunnel authentication//注意我们是基于access模式的vpdn,所以不需要对隧道进行认证,也就是说每一个用户都是一个LAC
username test1 password 0 123456//定义一个本地用户
3.IPSec配置crypto isakmp policy 10//定义isakmp策略,注意路由器会按序号匹配策略所定义的参数,先匹配的先采用,如果一个都没有匹配到,则ipsec第一阶段协商失败
encr 3des//加密方式
hash md5//哈希算法
authentication pre-share//验证方式预共享密钥
group 2//使用DH组2来协商第一阶段
sa crypto isakmp key 1234 address 0.0.0.0 0.0.0.0//这里定义预共享密钥,所有地址都使用这个密钥,路由器会寻找一个地址最匹配的预共享密钥,如果还有更精确的地址匹配,则采用其定义的预共享密钥
crypto ipsec transform-set myset esp-3des esp-md5-hmac//这里定义变换集,IPSEC阶段2将使用其定义的参数,创建SA
mode transport//定义模式为传输模式
crypto dynamic-map mydynamic 10//定义动态映射表mydynamic
set transform-set myset//此映射图引用了前面定义的转换集
crypto map mymap 10 ipsec-isakmp dynamic mydynamic//定义映射表mymap
4.配置接口地址:
interface GigabitEthernet0/1
ip address 113.208.113.38 255.255.255.248 crypto map mymap//在接口上应用此映射图
5.Virtual-Template配置:interface Virtual-Template1 ip unnumbered GigabitEthernet0/1//借用物理接口
peer default ip address pool mypool/指定客户端地址池为DHCP地址池
ppp authentication pap chap ms-chap ms-chap-v2//配置验证方式
ip local pool mypool 192.168.10.2 192.168.10.5//定义地址池
6.配置内网接口:
interface GigabitEthernet0/0
ip address 192.168.10.1 255.255.255.0 ip nat inside
7.配置nat:access-list 11 permit 192.168.10.0 0.0.0.255
//配置匹配流ip nat inside source list 11 interface GigabitEthernet0/1 overload
3、ORB305路由器端配置指导
将SIM卡插入路由器卡槽
给设备上电,登入路由器web页面(默认为192.168.2.1)
进入网络→接口→连链路备份界面启用对应SIM卡并上调链路优先级,保存配置
对应SIM卡拨号成功,当前链路变为绿色
进入网络→VPN→IPsec界面进行路由器(IPsec VPN客户端)配置保存并应用,进入状
态→VPN页面看到IPsec VPN状态为已连接
点击“网络-VPN-L2TP”勾选“启用”;远端地址填写思科路由器的公网IP地址;用户名密码填写在思科路由器default中添加的用户名及密码;认证类型选择“chap”;远端子网填思科路由器下设备的子网地址及掩码。保存并应用。
等待5分钟,在“状态-VPN”查看VPN连接状态。
