cisco l2tp vpn实例.docx

1、cisco l2tp vpn实例网络拓扑：说明：本实验通过GSN桥接虚拟机（xp）搭的环境。R1为vpn服务器。R2为http服务器。R1的f0/0接口的网段为192.168.100.0。f1/0接口的网段为172.16.1.0。R2的f0/0接口为172.16.1.2。Vpn分配的网段为172.16.2.0。R1配置：Current configuration : 1000 bytesversion 12.4service timestamps debug datetime msecservice timestamps log datetime msecno service password

2、-encryptionhostname R1boot-start-markerboot-end-markerno aaa new-modelmemory-size iomem 5ip cefno ip domain lookupvpdn enable vpdn-group xiaonuo-l2tpDefault L2TP VPDN group accept-dialin protocol l2tp virtual-template 1 no l2tp tunnel authenticationusername admin privilege 15 password 0 admininterfa

3、ce FastEthernet0/0 ip address 192.168.100.5 255.255.255.0 duplex auto speed autointerface FastEthernet1/0 ip address 172.16.1.1 255.255.255.0 duplex auto speed autointerface Virtual-Template1 ip unnumbered FastEthernet0/0 peer default ip address pool xiaonuo-l2tp-user ppp authentication chap ms-chap

4、ip local pool xiaonuo-l2tp-user 172.16.2.1 172.16.2.10no ip http servercontrol-planeline con 0 exec-timeout 0 0 logging synchronousline aux 0line vty 0 4endR2的配置Current configuration : 578 bytesversion 12.4service timestamps debug datetime msecservice timestamps log datetime msecno service password-

5、encryptionhostname R2boot-start-markerboot-end-markerno aaa new-modelmemory-size iomem 5ip cefno ip domain lookupinterface FastEthernet0/0 ip address 172.16.1.2 255.255.255.0 duplex auto speed autoip default-gateway 172.16.1.1ip http serverip route 0.0.0.0 0.0.0.0 172.16.1.1control-planeline con 0 e

6、xec-timeout 0 0 logging synchronousline aux 0line vty 0 4end window端配置（限xp，window 7没有成功）配置VPN Client配置VPN Client之前首先要保证能和LNS通信才行，可以通过ping命令进行验证。新建一个网络连接，并选择“连接到 我的工作场所的网络”选择“虚拟专用网络连接”输入公司名称（根据实际情况而定，有利于区别多个VPN拨号连接）输入客户端拨号的路由接口：LNS Vritual-Template 1的IP地址设置完成之后，需要设置VPN Client的安全协商参数，设置的认证协议必须和LNS上封装的

7、认证协议相同为ms-chap和chap设置VPN类型为L2TP IPSec VPN。设置完成之后，输入用户名和密码（在LNS服务器上设置的用户名和密码）连接LNS服务器连接过 程中会出现需要证书的错误，这是因为Windows2000/xp/2003的L2TP缺省启动证书方式的IPSEC，因此必须向Windows添加 ProhibitIpSec 注册表值，以防止创建用于 L2TP/IPSec 通信的自动筛选器。ProhibitIpSec 注册表值设置为 1 时，基于 Windows 2000 的计算机不会创建使用 CA 身份验证的自动筛选器，而是检查本地 IPSec 策略或 Active Dir

8、ectory IPSec 策略。这时会提示连接到192.168.100.5出错。错误781，连接需要证书，但是没有找到有效的证书。等等。3.2、 修改VPN Client的注册表要向Windows添加 ProhibitIpSec 注册表值，请按照下列步骤操作：1. 单击“开始”，单击“运行”，键入 regedit，然后单击“确定”。2. 找到下面的注册表子项，然后单击它：HKEY_LOCAL_MACHINESystemCurrentControlSetServicesRasmanParameters3. 在该项中新建一个“DWORD值”。6. 退出注册表编辑器，然后重新启动计算机。4. 利用V

9、PN Client 连接LNS路由器4.1、 输入正确的用户名和密码，连接LNS服务器4.2、 查看VPN Client和LNS的变化参数在VPN Clinet上使用IPCONFIG /ALL命令可以查看到分配的IP地址，子网掩码以及默认网关在VPN Client访问公司内部的WEB服务器在LNS路由器上使用show ip interface brief上可以查看到一个客户端已经拨入了标识为Virtual-Access1。用户登录上vpn后，如果远程网络额外路由就会出现问题，比如：VPN地址池为192.168.1.100-192.168.1.200，而最终访问的地址是192.168.0.1，本地系统会从默认网关发出数据包，而造成无法访问。可以通过修改本地静态路由来解决需要有一条去往vpn的明细路由，访问外网的的默认路由。Route add 172.16.2.0 mask 255.255.255.0 172.16.2.1 metric 1Route change 0.0.0.0 mask 0.0.0.0 192.168.100.201 metric 1这样就可以上外网了。