jw
当前位置:主页 > R_S >

实战:配置路由器为VPN服务器

发布时间:2013-02-20 | 佚名:www.07net01.com

配置路由器VPN服务器

下面用Cisco 3660系列路由器配置为远程访问服务器,允许Internet用户通过L2TP协议拨入到企业内网。本实验需要Dynamips软件搭建的网络环境,网络拓扑如图11-24所示,路由器RB模拟企业内网的一个计算机,在路由器RA上配置远程访问服务器,远程用户使用虚拟机来模拟。

实战:配置路由器为VPN服务器

▲图11-24 远程访问VPN实验环境

按照图11-23所示配置路由器RA和路由器RB的 IP地址,以及远程计算机的IP地址。在路由器RB上添加默认路由。

RB(cofnig)#ip route 0.0.0.0 0.0.0.0 10.0.0.1

1. 在RA上配置L2TP VPN

(1)如图11-25所示,在LNS上配置远程用户拨入的用户名和对应的密码。

实战:配置路由器为VPN服务器

▲图11-25 配置远程拨入用户

(2)如图11-26所示,启用VPDN功能(VPDN默认是关闭的)。

实战:配置路由器为VPN服务器

▲图11-26 启用VPDN功能

(3)vpdn-group style="background-image: none; border-bottom: 0px; border-left: 0px; padding-left: 0px; 506px; padding-right: 0px; height: 181px; border-top: 0px; border-right: 0px; padding-top: 0px" title="clip_image005" border="0" src="http://www.07net01.com/uploads/allimg/130220/10041AT8-3.png" width="503" height="181" />

▲图11-27 建立和配置虚拟拨号组

(4)关闭l2TP隧道的认证功能(也可以开启认证功能,这时候,需要搭建一台CA,然后申请证书,并且客户端也需要申请证书才能连上RA,这样会更安全)。配置过程如图11-28所示。

实战:配置路由器为VPN服务器

▲图11-28 关闭L2TP隧道认证功能

(5)建立VPN 客户端拨入分配的IP地址的地址池,并命名为onest-l2tp-user。也可以通过企业内部DHCP服务器申请,如图11-29所示。

实战:配置路由器为VPN服务器

▲图11-29 指定分配各远程计算机的地址池

(6)interface virtual-Template 1:进入虚拟拨号组onest-myl2tp的虚拟接口1。

(7)ip unnumbered fastEthernet 1/0:借用出口端口fastEthernet 1/0的接口来转发l2TP隧道协议传输的流量。

(8)peer default ip address pool style="background-image: none; border-bottom: 0px; border-left: 0px; padding-left: 0px; 754px; padding-right: 0px; height: 300px; border-top: 0px; border-right: 0px; padding-top: 0px" title="clip_image008" border="0" src="http://www.07net01.com/uploads/allimg/130220/1004164627-6.png" width="754" height="300" />

▲图11-30 配置虚拟拨号组1

(10)如图11-31所示,配置完成之后,在LNS上通过show ip interface brief查看虚拟拨号接口Virtual-Template1的IP地址,可以看出是借用了FastEthernet1/0的IP地址。

实战:配置路由器为VPN服务器

▲图11-31 查看配置的Virtual-Template接口

2. 配置VPN客户端

(1)如图11-32所示,确保Internet上的计算机能够ping通RA路由器的Fa1/0接口。

实战:配置路由器为VPN服务器

▲图11-32 测试到远程访问服务器RA的连通性

(2)如图11-33所示,在计算机中打开“网络连接”窗口,单击“创建一个新的连接”,建立VPN拨号连接。

实战:配置路由器为VPN服务器

▲图11-33 创建VPN拨号连接

(3)在出现的“欢迎使用新建连接向导”对话框中,单击“下一步”按钮。

(4)如图11-34所示,在出现的“网络连接类型”设置界面中,选中“连接到我的工作场所的网路”单选按钮,单击“下一步”按钮。

实战:配置路由器为VPN服务器

▲图11-34 选择网络连接类型

(5)如图11-35所示,在出现的“网络连接”设置界面中,选中“虚拟专用网络连接”单选按钮,单击“下一步”按钮。

实战:配置路由器为VPN服务器

▲图11-35 选择网络连接

(6)如图11-36所示,在出现的“连接名”设置界面中,输入名称,单击“下一步”按钮。

实战:配置路由器为VPN服务器

▲图11-36 指定连接名称

(7)如图11-37所示,在出现的“VPN服务器选择”设置界面中,输入远程访问服务器的地址。在这里就是路由器RB连接Internet的IP地址,单击“下一步”按钮。

实战:配置路由器为VPN服务器

▲图11-37 输入远程访问服务器的IP地址

(8)如图11-38所示,在出现的“正在完成新建连接向导”设置界面中,选中“在我的桌面上添加一个到此连接的快捷方式”复选框,单击“完成”按钮。

实战:配置路由器为VPN服务器

▲图11-38 完成VPN拨号创建

(9)如图11-39所示,右击刚才创建的VPN拨号连接,在弹出的快捷菜单中选择“属性”命令。

(10)如图11-40所示,在出现的属性对话框的“安全”选项卡中,选中“高级”单选按钮。单击“设置”按钮。

实战:配置路由器为VPN服务器 实战:配置路由器为VPN服务器

▲图11-39 更改拨号连接的属性 ▲图11-40 更改安全设置

(11)如图11-41所示,在出现的“高级安全设置”对话框中,选中“允许这些协议”单选按钮,并选中“质询握手身份验证协议”复选框和Microsoft CHAP复选框,取消选中“Microsoft CHAP版本2”复选框,单击“确定”按钮。

实战:配置路由器为VPN服务器

▲图11-41 更改高级安全设置

(12)如图11-42所示,在“网络”选项卡中的“VPN类型”下拉列表框中选择L2TP IPSec VPN选项,单击“确定”按钮。完成配置。

实战:配置路由器为VPN服务器

▲图11-42 更改VPN类型

(13)如图11-43所示,设置完成之后,输入用户名和密码(在RA服务器上设置的用户名和密码)连接RA服务器。

(14)如图11-44所示,连接过程中会出现需要证书的错误,这是因为Windows 2000/XP/2003的L2TP默认启动证书方式的IPSec,所以必须向Windows添加 ProbibitIpSec 注册表值,以防止创建用于 L2TP/IPSec 通信的自动筛选器。

ProbibitIpSec 注册表值设置为 1 时,基于 Windows 2000 的计算机不会创建使用 CA 身份验证的自动筛选器,而是检查本地 IPSec 策略或 Active Directory IPSec 策略。

实战:配置路由器为VPN服务器 实战:配置路由器为VPN服务器

▲图11-43 输入用户名和密码 ▲图11-44 需要证书

3. 修改VPN客户端的注册表

要向Windows添加 ProbibitIpSec 注册表值,请按照下列步骤操作。

(1)选择“开始”→“运行”命令,在弹出的“运行”对话框中输入regedit,然后单击“确定”按钮。

(2)如图11-45所示,找到下面的注册表子项,然后单击它:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rasman\Parameters

实战:配置路由器为VPN服务器

▲图11-45 创建注册表项

(3)在该项中新建一个“DWORD值”。

(4)将DWORD值重命名为ProbibitTpSec。

(5)如图11-46所示,双击ProbibitTpSec,将其值更改为1。

(6)退出注册表编辑器,然后重新启动计算机。

实战:配置路由器为VPN服务器

▲图11-46 更改键值

4. 拨号之后访问内网

(1)如图11-47所示,拨号之后查看IP配置,可以看到VPN拨号后远程访问服务器分配的内网地址172.16.0.1。

实战:配置路由器为VPN服务器

▲图11-47 查看拨号后建立的连接

(2)如图11-48所示,访问内网路由器RB的地址

实战:配置路由器为VPN服务器

▲图11-48 测试到内网的访问

(3)断开VPN拨号,你将不能访问内网的计算机。

广告

实战:配置路由器为VPN服务器

实战:配置路由器为VPN服务器

实战:配置路由器为VPN服务器

实战:配置路由器为VPN服务器


编译:实战:配置路由器为VPN服务器

地址:http://www.07net01.com/r_s/69723.html

  • 更多
    相关内容
    jw
    关于我们 | 联系我们 | 版权声明 | 意见反馈 | 网站地图 | 在线帮助 | | HowToBeautiful | HowSmokeyEye
    本站为您提供优质的Cisco网络技术相关文档与资讯,如果您有好的建议或意见,请发邮件告知我们。Email:bbc12000@163.com
    www.07net01.com 版权所有 Copyright 2000-2011 All rights reserved. 鲁ICP备11010007号-1