解决L2TP over IPSEC VPN利用手机、windows自带客户端及VPN Client都可以成功拨号案例

发布时间:  2014-05-21 浏览次数:  724 下载次数:  0
问题描述
      实际环境中,客户需要实现L2TP over IPSEC VPN配置后,可以用用手机、windows自带客户端及VPN Client都可以成功拨号的情况。因此以下配置就是针对此种场景的配置方法。
告警信息
处理过程
 l2tp enable
#
acl number 3005
rule 5 permit udp source-port eq 1701
#
acl number 3010
#
ike proposal 4
encryption-algorithm aes-cbc
dh group2          //手机拨号必须是DH group2组
#
ike proposal 5
encryption-algorithm 3des-cbc
dh group2
#
实现原理
可选:执行命令ike-proposal proposal-number,引用已配置的IKE安全提议。
IKE安全提议协商原则:
若在此引用了已配置的IKE安全提议,则IKE协商时只发送引用的IKE安全提议,响应方在自己的IKE安全提议配置中寻找与之相匹配的IKE安全提议,如果没有匹配的则协商失败。

若在此没有引用IKE安全提议(例如同时支持预共享和证书认证时),那么:

主模式:IKE协商时将发送发起方配置的所有IKE安全提议,响应方在自己的IKE安全提议中依次寻找参数与之匹配的IKE安全提议。

野蛮模式:IKE协商时将只发送缺省的IKE安全提议(default),响应方也会用缺省的IKE安全提议(default)匹配。

方案特点:写两条 ike proposal 但不引用
#
ike peer 1
pre-shared-key %$%$3-![KH7QrRnF#SEi7+!Fi\SJ%$%$

#
ipsec proposal 1
encapsulation-mode transport
esp authentication-algorithm sha1
esp encryption-algorithm aes
#
ipsec proposal 5
encapsulation-mode transport
esp authentication-algorithm sha1
esp encryption-algorithm 3des
#
ipsec policy-template mobile1 10
security acl 3005
ike-peer 1
proposal 1  5
#
ipsec policy mobile 1 isakmp template mobile1
#
interface Virtual-Template1
ppp authentication-mode pap
ppp timer negotiate 10
ppp ipcp dns 218.85.157.99
alias L2TP_LNS_1                        
ip address 192.168.12.1 255.255.255.0
remote address pool 1
#
interface GigabitEthernet0/0/0
ip address 111.111.111.90 255.255.255.248
ipsec policy mobile
#
l2tp-group 1
undo tunnel authentication
allow l2tp virtual-template 1
tunnel name svn
#
aaa
ip pool 1 192.168.12.10 192.168.12.254

因此,按如上配置,实际测试证实可实现通过手机、windows 自带客户端、vpn Client  同时拨入的效果。
根因
建议与总结

END