1、cisco l2tp vpn实例网络拓扑:说明:本实验通过GSN桥接虚拟机(xp)搭的环境。R1为vpn服务器。R2为http服务器。R1的f0/0接口的网段为192.168.100.0。f1/0接口的网段为172.16.1.0。R2的f0/0接口为172.16.1.2。Vpn分配的网段为172.16.2.0。R1配置:Current configuration : 1000 bytesversion 12.4service timestamps debug datetime msecservice timestamps log datetime msecno service password
2、-encryptionhostname R1boot-start-markerboot-end-markerno aaa new-modelmemory-size iomem 5ip cefno ip domain lookupvpdn enable vpdn-group xiaonuo-l2tpDefault L2TP VPDN group accept-dialin protocol l2tp virtual-template 1 no l2tp tunnel authenticationusername admin privilege 15 password 0 admininterfa
3、ce FastEthernet0/0 ip address 192.168.100.5 255.255.255.0 duplex auto speed autointerface FastEthernet1/0 ip address 172.16.1.1 255.255.255.0 duplex auto speed autointerface Virtual-Template1 ip unnumbered FastEthernet0/0 peer default ip address pool xiaonuo-l2tp-user ppp authentication chap ms-chap
4、ip local pool xiaonuo-l2tp-user 172.16.2.1 172.16.2.10no ip http servercontrol-planeline con 0 exec-timeout 0 0 logging synchronousline aux 0line vty 0 4endR2的配置Current configuration : 578 bytesversion 12.4service timestamps debug datetime msecservice timestamps log datetime msecno service password-
5、encryptionhostname R2boot-start-markerboot-end-markerno aaa new-modelmemory-size iomem 5ip cefno ip domain lookupinterface FastEthernet0/0 ip address 172.16.1.2 255.255.255.0 duplex auto speed autoip default-gateway 172.16.1.1ip http serverip route 0.0.0.0 0.0.0.0 172.16.1.1control-planeline con 0 e
6、xec-timeout 0 0 logging synchronousline aux 0line vty 0 4end window端配置(限xp,window 7没有成功)配置VPN Client配置VPN Client之前首先要保证能和LNS通信才行,可以通过ping命令进行验证。新建一个网络连接,并选择“连接到 我的工作场所的网络”选择“虚拟专用网络连接”输入公司名称(根据实际情况而定,有利于区别多个VPN拨号连接)输入客户端拨号的路由接口:LNS Vritual-Template 1的IP地址设置完成之后,需要设置VPN Client的安全协商参数,设置的认证协议必须和LNS上封装的
7、认证协议相同为ms-chap和chap设置VPN类型为L2TP IPSec VPN。设置完成之后,输入用户名和密码(在LNS服务器上设置的用户名和密码)连接LNS服务器连接过 程中会出现需要证书的错误,这是因为Windows2000/xp/2003的L2TP缺省启动证书方式的IPSEC,因此必须向Windows添加 ProhibitIpSec 注册表值,以防止创建用于 L2TP/IPSec 通信的自动筛选器。ProhibitIpSec 注册表值设置为 1 时,基于 Windows 2000 的计算机不会创建使用 CA 身份验证的自动筛选器,而是检查本地 IPSec 策略或 Active Dir
8、ectory IPSec 策略。这时会提示连接到192.168.100.5出错。错误781,连接需要证书,但是没有找到有效的证书。等等。3.2、 修改VPN Client的注册表要向Windows添加 ProhibitIpSec 注册表值,请按照下列步骤操作:1. 单击“开始”,单击“运行”,键入 regedit,然后单击“确定”。2. 找到下面的注册表子项,然后单击它:HKEY_LOCAL_MACHINESystemCurrentControlSetServicesRasmanParameters3. 在该项中新建一个“DWORD值”。6. 退出注册表编辑器,然后重新启动计算机。4. 利用V
9、PN Client 连接LNS路由器4.1、 输入正确的用户名和密码,连接LNS服务器4.2、 查看VPN Client和LNS的变化参数在VPN Clinet上使用IPCONFIG /ALL命令可以查看到分配的IP地址,子网掩码以及默认网关在VPN Client访问公司内部的WEB服务器在LNS路由器上使用show ip interface brief上可以查看到一个客户端已经拨入了标识为Virtual-Access1。用户登录上vpn后,如果远程网络额外路由就会出现问题,比如:VPN地址池为192.168.1.100-192.168.1.200,而最终访问的地址是192.168.0.1,本地系统会从默认网关发出数据包,而造成无法访问。可以通过修改本地静态路由来解决需要有一条去往vpn的明细路由,访问外网的的默认路由。Route add 172.16.2.0 mask 255.255.255.0 172.16.2.1 metric 1Route change 0.0.0.0 mask 0.0.0.0 192.168.100.201 metric 1这样就可以上外网了。
copyright@ 2008-2023 冰点文库 网站版权所有
经营许可证编号:鄂ICP备19020893号-2