VPN_L2TP 构建方法

一．定义：为L2F与PPTP的混合体。

LAC：L2TP 访问集中器 LNS：L2TP网络服务器 二．工作方式：

基本类似于前面的PPTP 与PPTP不同的是： L2TP 维护隧道是使用UDP 做封装的，使用的UDP 的（1701），而不是PPTP 的增强GRP 封装。

其自身不支持加密，使用IPSEC 加密即L2TP overIPSEC 。先协商IPSEC 隧道，再建立L2TP 隧道，因此后者信息都会IPSEC 保护起来。 三．实验如下：

同前面PPTP的需求：

1. ip，配通。

2. sever上做L2TP： R1:…….conf t

…….Username cisco password cisco …….vpdn enable …….vpdn-group 1 ……. …….accept-dialin ……. …….protocol L2tp

……. …….virtual-template 1 将模板引入VPDN组中 ……. …….no L2tp tunnel authentication

…….ip local pool ippool 192.168.100.10 192.168.100.100 给地址池（这里则是采取分配相同的网段IP从而让其不用产生默认路由而通路）

…….int virtual-template 1 定义模板，方便分配 ……. …….encapsulation ppp ……. …….ip unnumbered e0/0

……. …….peer default ip address pool ip pool 从地址池中分配IP ……. …….ppp authentication chap ……. …….exit …….exit

此时PC上安装vpn 拨：

----regedit :注册表中----HKEY_LOCAL_MATCHINE-------SYSTEM----Current

ControlSet----Services----RasMAN----Parameters 创建一个Dword文件：ProhibitIPSec 改值1

之后重启：

选择安全验证方式：

Ping通。 二：

使用ipsec做保护：则原来的服务器要创建IPSEC 其次现在的client要删除ProhibitIPsec的文件，并修改验证的方式，需加入ipsec的保护： R1：

-------conf t

-------crypto isakmp policy 10 --------------hash sha

--------------encryption 3des

--------------authentication pre-share --------------group 2 --------------exit

-------crypto isakmp key 0 cisco123 address 0.0.0.0 0.0.0.0

-------crypto ipsec transform-set Myset esp-3des esp-md5-hmac (因为

windows默认为md5验证，因此这里采取)

--------------mode transport 采取IPSEC传输模式，不同于PPTP的隧道

方式

--------------exit

-------crypto map map 10 ipsec-isakmp profile pro --------------set transform-set Myset --------------exit -------vpdn-group 1

--------------L2tp security crypto profile pro --------------exit -------int e0/0

-------crypto map map -------exit

Client不能用刚才的ProhibitIpsec 文件

只能删除，重新创建新的VPN的属性连接服务器：如下改动:

此时隧道建立，通过L2TP建立了连接，ping通。