L2TP 配置 实践出配置

####L2TP 配置


# L2TP(client)-----------------LAC(fa0/0 10.1.1.2/24)--------(fa0/1 10.1.1.1/24)LNS(s0/0 20.0.0.1/24)--------ISP


control:  { L2(pre)   IP    IPsecESP(pre)    UDP     L2TP     IPsecESP(post)     IPsecESP(认证报尾)   L2(post) }
data   :  { L2(pre)   IP    IPsecESP(pre)    UDP     L2TP     PPP(herder)  PPP(load)            IPsecESP(post)   IPsecESP认证报尾   L2(post)}
UDP port:1701
LAC 配置:
conf t
int fa0/0
no sh
ip addr 10.1.1.2 255.255.255.0
exit
username LAC password     password
username LNS passowrd     password           #注意:两次密码必需相同
vpdn enable
vpdn-group 1
accept-dialin 1
protocol
virtual-template 1
initiate-to ip 10.1.1.1                      #指向tunnel 别一端的ip 地址
    #如果是自愿tunnel mode 则不需要这条语句
exit
terminate-from hostname LNS     #对方的host 名称,自愿tunnel mode 测则不需要这条语句
local name LAC
                                             #如果是配自愿tunnel mode 使用命令 no tunnel authentication
LNS 配置:
conf t
int fa0/0
no sh
ip addr 10.1.1.1 255.255.255.0
int s0/0
no sh
ip addr 20.0.0.1 255.255.255.0
clock r 9600
username LAC password     password
username LNS passowrd     password


vpdn enable
vpdn-group 1
request-dialin
protocol
virtual-template 1
terminate-from hostname LAC
exit
local name LNS






int virtual-template 1
ip unn fa0/0
peer default ip address pool -pool 
ppp authenticaton chap
exit
iplocal pool -pool  192.168.2.1 192.168.2.10




Windows客户端设置。
Windows2000/xp/2003的L2TP缺省启动证书方式的IPSEC，因此必须向Windows添加 ProhibitIpSec 注册表值
，以防止创建用于 L2TP/IPSec 通信的自动筛选器。
ProhibitIpSec 注册表值设置为 1 时，基于 Windows 2000 的计算机不会创建使用 CA 身份验证的自动筛选
器，而是检查本地 IPSec 策略或 Active Directory IPSec 策略。


要向Windows添加 ProhibitIpSec 注册表值，请按照下列步骤操作：
1. 单击“开始”，单击“运行”，键入 regedit，然后单击“确定”。
2. 找到下面的注册表子项，然后单击它：
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rasman\Parameters
3. 在该项中新建一个“DWORD值”。
4. 将该值名称修改为“ProhibitIpSec”。
5. 双击该值，将Value data修改为“1”， 然后单击“确定”。
6. 退出注册表编辑器，然后重新启动计算机。