ipsec over l2tp.doc

MSR系列路由器 用L2TP+IPsec+PPPOE实现一总部、多分支式通信 关键字：MSR，L2TP，IPsec，PPPOE，总部，分支，VPN，site-to-site 一、组网： 二、客户需求 分支通过PPPOE拨上LAC，并触发LAC和LNS建立L2TP隧道，要求分支和总部的内网可以互访。 三、设计方案 当拨号成功以后，总部网关LNS会给分支网关client分配一个IP地址，这时候他们之间就可以通信了。这个时候总部LNS只会有分支网关的路由，而不会有分支内网的路由，如果要实现总部内网和分支内网间的通信还是存在问题的，这个时候就要在总部配置一条目的地址为分支内网的静态路由，下一条指向分支网关，但是分支网关的IP地址是总部LNS这边的地址池里面动态分配的，所以下一条无法定义为具体的IP地址，只能定义为虚模板。不过这是一总部多分支的组网，所有的L2TP连接都是用的同一虚模板，所以无法满足用同一个下一跳地址实现和多个分支的通信。在这种情况下只能在L2TP上复用IPsec来实现路由功能，在LNS的虚接口virtual-template上下发IPsec策略，不同目的地址的数据流会触发不同的acl来和不同的IPsec对等体（分支）通信，这样就可以实现一对多的精确路由了。 四、配置 client-1配置 # //定义触发IPsec的数据流，匹配由本端内网始发的数据 acl number 3000 ?rule 0 permit ip source 55 # //配置IKE对等体 ike peer peer ?exchange-mode aggressive ?pre-shared-key 123 //以name的方式标示对等体 ?id-type name //标识对端name ?remote-name center //对等体的IP地址为LNS虚模板的地址 ?remote-address //标识本端name ?local-name client # //创建安全提议，采用缺省配置 ipsec proposal def # //创建安全策略 ipsec policy policy 1 isakmp ?security acl 3000 ?ike-peer peer ?proposal def # //创建PPPOE拨号口 interface Dialer0 ?link-protocol ppp //验证方式为chap，并配置用户名和密码 ?ppp chap user pc@ ?ppp chap password simple pc //IP地址由PPP协商获得（由LNS分配） ?ip address ppp-negotiate //拨号用户，必须配置 ?dialer user pppoe //拨号捆绑，必须配置 ?dialer bundle 1 //应用安全策略，实现分支网关到总部网关的IPsec VPN ?ipsec policy policy # interface GigabitEthernet0/0 ?port link-mode route //在G0/0接口下使能pppoe-client,绑定拨号捆绑 ?pppoe-client dial-bundle-number 1 # interface GigabitEthernet0/1 ?port link-mode route ip address # //默认路由指向LNS ip route-static # Client-2配置 # //定义触发IPsec的数据流，匹配由本端内网始发的数据 acl number 3000 ?rule 0 permit ip source 55 # //配置IKE对等体 ike peer peer ?exchange-mode aggressive ?pre-shared-key 123 //以name的方式标示对等体 ?id-type name //标识对端name ?remote-name center //对等体的IP地址为LNS虚模板的地址 ?remote-address //标识本端name ?local-name client # //创建安全提议，采用缺省配置 ipsec proposal def # //创建安全策略 ipsec policy policy 1 isakmp ?security acl 3000 ?ike-peer peer ?proposal def # //创建PPPOE拨号口 interface Dialer0 ?link-protocol ppp //验证方式为chap，并配置用户名和密码 ?ppp chap user pc2@ ?ppp chap password simp