1、網(wǎng)絡(luò)拓?fù)?

在思科路由器與ORB305之間建立一個(gè)安全隧道，對客戶路由器端設(shè)備子網(wǎng)，與思科路由器端服務(wù)器子網(wǎng)之間的數(shù)據(jù)流進(jìn)行安全保護(hù)，組網(wǎng)拓?fù)鋱D如圖所示。

2、思科路由器端配置指導(dǎo)

(此處以多數(shù)客戶使用專線上網(wǎng)形式為例)

Cisco（AR1）配置配置1.AAA配置aaa new-model//啟用AAA

aaa authentication ppp default local//定義默認(rèn)的認(rèn)證列表default,其對PPP認(rèn)證為本地認(rèn)證

2.VPDN配置vpdn enable//啟用vpdn

vpdn-group 1//新建一個(gè)VPDN組

accept-dialin//接收撥號(hào)進(jìn)來的鏈接

protocol l2tp//定義協(xié)議為L2TP，可選的還有PPTP

virtual-template 1//使用虛模板接口1

no l2tp tunnel authentication//注意我們是基于access模式的vpdn，所以不需要對隧道進(jìn)行認(rèn)證,也就是說每一個(gè)用戶都是一個(gè)LAC

username test1 password 0 123456//定義一個(gè)本地用戶

3.IPSec配置crypto isakmp policy 10//定義isakmp策略,注意路由器會(huì)按序號(hào)匹配策略所定義的參數(shù)，先匹配的先采用，如果一個(gè)都沒有匹配到，則ipsec第一階段協(xié)商失敗

encr 3des//加密方式

hash md5//哈希算法

authentication pre-share//驗(yàn)證方式預(yù)共享密鑰

group 2//使用DH組2來協(xié)商第一階段

sa crypto isakmp key 1234 address 0.0.0.0 0.0.0.0//這里定義預(yù)共享密鑰，所有地址都使用這個(gè)密鑰，路由器會(huì)尋找一個(gè)地址最匹配的預(yù)共享密鑰，如果還有更精確的地址匹配，則采用其定義的預(yù)共享密鑰

crypto ipsec transform-set myset esp-3des esp-md5-hmac//這里定義變換集，IPSEC階段2將使用其定義的參數(shù)，創(chuàng)建SA

mode transport//定義模式為傳輸模式

crypto dynamic-map mydynamic 10//定義動(dòng)態(tài)映射表mydynamic

set transform-set myset//此映射圖引用了前面定義的轉(zhuǎn)換集

crypto map mymap 10 ipsec-isakmp dynamic mydynamic//定義映射表mymap

4.配置接口地址：

interface GigabitEthernet0/1

ip address 113.208.113.38 255.255.255.248 crypto map mymap//在接口上應(yīng)用此映射圖

5.Virtual-Template配置：interface Virtual-Template1 ip unnumbered GigabitEthernet0/1//借用物理接口

peer default ip address pool mypool/指定客戶端地址池為DHCP地址池

ppp authentication pap chap ms-chap ms-chap-v2//配置驗(yàn)證方式

ip local pool mypool 192.168.10.2 192.168.10.5//定義地址池

6.配置內(nèi)網(wǎng)接口：

interface GigabitEthernet0/0

ip address 192.168.10.1 255.255.255.0 ip nat inside

7.配置nat：access-list 11 permit 192.168.10.0 0.0.0.255

//配置匹配流ip nat inside source list 11 interface GigabitEthernet0/1 overload

3、ORB305路由器端配置指導(dǎo)

將SIM卡插入路由器卡槽

給設(shè)備上電，登入路由器web頁面（默認(rèn)為192.168.2.1）

進(jìn)入網(wǎng)絡(luò)→接口→連鏈路備份界面啟用對應(yīng)SIM卡并上調(diào)鏈路優(yōu)先級，保存配置

對應(yīng)SIM卡撥號(hào)成功，當(dāng)前鏈路變?yōu)榫G色

進(jìn)入網(wǎng)絡(luò)→VPN→IPsec界面進(jìn)行路由器（IPsec VPN客戶端）配置保存并應(yīng)用，進(jìn)入狀

態(tài)→VPN頁面看到IPsec VPN狀態(tài)為已連接

點(diǎn)擊“網(wǎng)絡(luò)-VPN-L2TP”勾選“啟用”；遠(yuǎn)端地址填寫思科路由器的公網(wǎng)IP地址；用戶名密碼填寫在思科路由器default中添加的用戶名及密碼；認(rèn)證類型選擇“chap”；遠(yuǎn)端子網(wǎng)填思科路由器下設(shè)備的子網(wǎng)地址及掩碼。保存并應(yīng)用。

等待5分鐘，在“狀態(tài)-VPN”查看VPN連接狀態(tài)。