以下是配置举例，请参考：

3.1  组网需求

如图1所示，MSR路由器提供L2TP接入，XP主机使用自带L2TP工具拨号接入到MSR，并且使用共享密钥方式对L2TP流进行加密。

图1 MSR系列路由器XP与MSR使用共享密钥方式L2TP over IPsec互通功能的配置组网图

3.2  使用版本

本举例是在Release 2317版本上进行配置和验证的。

3.3  配置注意事项

·     注意主机配置和路由器配置的吻合。

·     通常将主机和安全网关之间的IPsec封装为传输模式。

3.4  配置步骤

3.4.1  Router的配置

# 配置接口Ethernet0/0的IP地址。

<Router> system-view

[Router] interface ethernet 0/0

[Router-Ethernet0/0] ip address 1.1.1.1 255.0.0.0

[Router-Ethernet0/0] quit

# 启用L2TP服务。

[Router] l2tp enable

# 采用ISP域的缺省配置。

[Router] domain system

#在域内配置IP地址池，用于分配给Host。

[Router-isp-system] ip pool 1 192.168.1.1 192.168.1.10

[Router-isp-system] quit

# 设置用户名、密码及服务类型。

[Router] local-user aaa

[Router-luser-aaa] password simple aaa

[Router-luser-aaa] service-type ppp

[Router-luser-aaa] quit

# 配置虚拟模板接口Virtual-Template0。

[Router] interface Virtual-Template0

[Router-Virtual-Template0] ppp authentication-mode chap

[Router-Virtual-Template0] remote address pool 1

[Router-Virtual-Template0] ip address 192.168.1.254 255.255.255.0

[Router-Virtual-Template0] quit

# 设置一个L2TP组，不启用隧道验证。

[Router] l2tp-group 1

[Router-l2tp1] undo tunnel authentication

# 指定接收呼叫的虚拟模板接口。

[Router-l2tp1] allow l2tp virtual-template 0

[Router-l2tp1] quit

# 配置IKE对等体。

[Router] ike peer xp

[Router-ike-peer-xp] pre-shared-key 123

[Router-ike-peer-xp] quit

# 配置安全协议对IP报文的封装形式为传输模式。

[Router] ipsec proposal def

[Router-ipsec-transform-set-def] encapsulation-mode transport

# 配置ESP协议采用sha1认证算法。

[Router-ipsec-transform-set-def] esp authentication-algorithm sha1

[Router-ipsec-transform-set-def] esp encryption-algorithm des

[Router-ipsec-transform-set-def] quit

# 配置IPsec安全策略模板。

[Router] ipsec policy-template test 1

[Router-ipsec-policy-template-test-1] ike-peer xp

[Router-ipsec-policy-template-test-1] proposal def

[Router-ipsec-policy-template-test-1] quit

# 引用IPsec安全策略模板创建一条IPsec安全策略。

[Router] ipsec policy policy 1 isakmp template test

# 在接口Ethernet0/0上应用安全策略。

[Router] interface ethernet 0/0

[Router-Ethernet0/0] ipsec policy policy

[Router-Ethernet0/0] quit

3.4.2  Host的配置

# 修改Windows的注册表，禁用XP默认的IPsec证书的验证方式，然后重启电脑。

图2 修改注册表

# 重启电脑后，进入控制面板à网络连接，创建一个新的连接。

图3 创建一个新连接

# 根据提示选择“下一步”。

图4 新连接向导

# 在单选框中选择“连接到我的工作场所的网络”，然后点击“下一步”。

图5 新建连接向导

# 在单选框中选择“虚拟专用网络连接”，点击“下一步”。

图6 新建连接向导

# 输入连接的名字，此名字可以随便输入。

图7 新建连接向导

# 输入VPN接入服务器地址，即路由器的地址1.1.1.1。

图8 新建连接向导

# 设定使用权限。

图9 新建连接向导

# 点击“完成”，结束向导配置。

图10 新建连接向导

# 点击“取消”，退出连接。

图11 连接页面

# 进入控制面板à管理工具à本地安全策略，进行IPsec相关配置。

图12 本地安全配置

# 根据向导，选择“下一步”。

图13 IP安全策略向导

# 输入IPsec安全策略的名字，然后单击“下一步”。

图14 IP安全策略向导

# 将“激活默认响应规则”的勾选取消，单击“下一步”。

图15 IP安全策略向导

# 保持“编辑属性”的勾选，点击“完成”。

图16 IP安全策略向导

# 在安全策略的属性窗口的规则页，将右下角使用“添加向导”的勾选取消，点击“添加”。

图17 安全策略属性

# “新规则属性”的第一页是“IP筛选器列表”，即路由器上的ACL的配置工作，选择“添加”。

图18 新规则属性

# 取消使用“添加向导”的勾选后，继续点击“添加”。

图19 IP筛选器列表

# 在“筛选器属性”页面，“源地址”不变，在目标地址中选择“一个特定的IP地址”并输入路由器地址。

图20 筛选器属性

# 点击“确定”后，返回IP筛选器列表窗口，选择“确定”，完成筛选器的配置。

图21 返回筛选器列表

# 上述步骤完成后返回“新规则属性”窗口，在筛选器列表的单选框中，选中刚创建的“新IP筛选器列表”。

图22 返回新规则属性窗口

# 在“筛选器操作”页面，配置IPsec安全提议，选择单选框中“需要安全”，点击“编辑”。

图23 新规则属性

# 将ESP加密和完整性的DES和SHA1组合上移到第一位，勾选“接受不安全的通讯……”，然后点击“确定”后，返回“新规则属性”页面。

图24 需要安全属性

# 进入“身份验证方法”页面，即IKE对等体的配置，选择“添加”。

图25 身份验证方法

# 单击单选框中“使用此字符串（预共享密钥）”方法，输入预共享密钥“123”，之后点击“确定”。

图26 身份验证方法

# 上述配置完成后返回属性页面，将刚才生成的“预先共享的密钥”上移到首位。

图27 身份验证方法

# 进入“隧道设置”页面，选择“此规则不指定IPsec隧道”。

图28 隧道设置

# 点击“应用”结束规则属性配置，然后返回安全策略属性页面。

图29 安全策略属性

# 将新建的策略进行指派。

图30 策略指派

# 完成所有上述配置后，就可以进行L2TP连接了。

图31 L2TP连接

3.5  验证配置

完成所有配置后，输入用户名和密码进行L2TP连接就可以连接成功，在MSR上通过display ike sa和display ipsec sa命令可以查看IPsec建立情况。