一、概述

上次我们进行了标准L2TP的配置，但是在最后我们在进行业务流量访问时看到流量是没有进行加密的，这就导致可能得安全风险，所以这里其实可以退像GRE那样调用IPSec框架来进行加密保护。

现在需要配置IPSec，然后针对L2TP的流量进行加密，IPSec前面的知识已经讲过了，感兴趣可以去前面翻一下。

二、L2TP Over IPSEC配置

大致步骤：

• 基于原来的L2TP配置
• 创建acl匹配感兴趣流
• 创建ike、ipsec安全提议
• 创建ike 对等体
• 创建ipsec 策略模板
• 在接口调用ipsec策略

配置：

# 创建一个高级ACL，用来匹配响应L2TP流量，因为L2TP协议就是使用端口1701
acl number 3001rule 10 permit udp source-port eq 1701# ike安全提议
ike proposal 1encryption-algorithm 3des             # 加密算法dh group1                             # DH组，后面可能用到authentication-algorithm md5          # 认证算法使用md5authentication-method pre-share       # 认证方式为密码integrity-algorithm hmac-sha2-256     # 缺省配置，不用管prf hmac-sha2-256                     # 缺省配置，不用管# ipsec 安全提议
ipsec proposal 1encapsulation-mode transport          # 这里的模式要选择传输模式esp authentication-algorithm sha2-256 # esp的认证算法和加密算法，后面客户端要设置esp encryption-algorithm aes-256# ike peer 对等体
ike peer l2tpclientpre-shared-key Aa12345678             # 协商密码ike-proposal 1                        # 调用ike 安全提议# 这里使用模板方式创建ipsec策略，因为L2TP是可以多人同时拨号进来的，所以采用前面IPSec的一对一主模式就不适合了，这里使用策略模板
ipsec policy-template l2tp 1           # 创建一个名称为l2tp的模板，然后配置模板中的第1个策略security acl 3001                     # 调用acl       ike-peer l2tpclient                   # 调用ike peerproposal 1                            # 调用ipsec安全提议，就是将写在ipsec策略的内容写在模板里 scenario point-to-multi-point l2tp-user-access  # 这条是允许点到多点拨号的配置，也就是一个服务器端可以多个用户拨号进来# 通过策略模板创建一个策略
ipsec policy l2tp-policy 1 isakmp template l2tp   # 创建一个l2tp-policy策略，策略的第一条规则使用了模板l2tp的配置# 在接口调用ipsec策略
interface GigabitEthernet1/0/1undo shutdownip address 110.230.112.50 255.255.255.0service-manage http permitservice-manage https permitservice-manage ping permitservice-manage ssh permitservice-manage snmp permitservice-manage telnet permitipsec policy l2tp-policy              # 调用ipsec策略

三、客户端配置与验证

客户端也需要修改，可以直接修改，也可以新建一个连接配置。

路由配置与之前的保持一致即可。

验证数据加密。

总结：通过在L2TP的基础上，利用ipsec安全框架可以实现业务流量的加密保护，参考前面IPSec的配置，基本上不难。