Cisco L2TP OVER IPSEC

　　用WINDOWS的L2TP客户端进行VPN连接时默认情况下是进行IPSEC加密的，当然通过更改注册表可以使L2TP不用IPSEC加密，不过在这里我们是要在CISCO路由器下进行L2TP OVER IPSEC的相关配置，使得用户可以在不更改注册表的情况下直接使用WINDOWS自带的L2TP客户端来进行连接：

1.　　AAA配置

aaa new-model                 //启用AAA
aaa authentication ppp default local    //定义默认的认证列表default, 其对PPP认证为本地认证

2.　　VPDN配置

 vpdn enable                               //启用vpdn
    vpdn-group 2                           // 新建一个VPDN组
    ! Default L2TP VPDN group
    accept-dialin                          //接受拨号进来的连接
    protocol l2tp                          //定义协议为L2TP，可选的还有pptp
    virtual-template 2                     //使用虚模板接口2
    no l2tp tunnel authentication          //注意我们是基于access模式的vpdn，所以不需要对隧道进行认证,也就是说每一个用户都是一个LAC

3.　　IPSEC配置

crypto isakmp policy 10                       //定义isakmp策略,注意路由器会按序号匹配策略所定义的参数，先匹配的先采用，如果一个都没有匹配到，则ipsec第一阶段协商失败
    encr 3des                                 //加密方式
    hash md5                                  //哈希算法
    authentication pre-share                  //验证方式预共享密钥
    group 2                                   //使用DH组2来协商第一阶段sa
    crypto isakmp key 123abc address 0.0.0.0 0.0.0.0   //这里定义预共享密钥，所有地址都使用这个密钥，路由器会寻找一个地址最匹配的预共享密钥，如果还有更精确的地址匹配，则采用其定义的预共享密钥

crypto ipsec transform-set TR esp-3des esp-md5-hmac   //这里定义变换集，IPSEC阶段2将使用其定义的参数，创建SA
    mode transport                                   //注意WINDOWS L2TP默认使用传输模式

crypto dynamic-map DY 10                              //定义动态映射图DY
    set transform-set TR                              //此映射图引用了前面定义的转换集

crypto map MAP 10 ipsec-isakmp dynamic DY//定义映射图mymap

interface FastEthernet0/0
   
    crypto map MAP       //在接口上应用此映射图

4.　　Virtual-Template配置

interface Virtual-Template2
      ip unnumbered Loopback0          //借用loopback0口地址，也可用物理接口
      peer default ip address dhcp-pool VPDN         //指定地址池为DHCP地址池
      ppp authentication pap chap ms-chap ms-chap-v2      //配置验证方式