cisco l2tp vpn实例.docx

cisco l2tp vpn实例.docx

《cisco l2tp vpn实例.docx》由会员分享，可在线阅读，更多相关《cisco l2tp vpn实例.docx（13页珍藏版）》请在冰点文库上搜索。

ciscol2tpvpn实例

网络拓扑：

说明：

本实验通过GSN桥接虚拟机（xp）搭的环境。

R1为vpn服务器。

R2为http服务器。

R1的f0/0接口的网段为192.168.100.0。

f1/0接口的网段为172.16.1.0。

R2的f0/0接口为172.16.1.2。

Vpn分配的网段为172.16.2.0。

R1配置：

Currentconfiguration:

1000bytes

version12.4

servicetimestampsdebugdatetimemsec

servicetimestampslogdatetimemsec

noservicepassword-encryption

hostnameR1

boot-start-marker

boot-end-marker

noaaanew-model

memory-sizeiomem5

ipcef

noipdomainlookup

vpdnenable

vpdn-groupxiaonuo-l2tp

DefaultL2TPVPDNgroup

accept-dialin

protocoll2tp

virtual-template1

nol2tptunnelauthentication

usernameadminprivilege15password0admin

interfaceFastEthernet0/0

ipaddress192.168.100.5255.255.255.0

duplexauto

speedauto

interfaceFastEthernet1/0

ipaddress172.16.1.1255.255.255.0

duplexauto

speedauto

interfaceVirtual-Template1

ipunnumberedFastEthernet0/0

peerdefaultipaddresspoolxiaonuo-l2tp-user

pppauthenticationchapms-chap

iplocalpoolxiaonuo-l2tp-user172.16.2.1172.16.2.10

noiphttpserver

control-plane

linecon0

exec-timeout00

loggingsynchronous

lineaux0

linevty04

end

R2的配置

Currentconfiguration:

578bytes

version12.4

servicetimestampsdebugdatetimemsec

servicetimestampslogdatetimemsec

noservicepassword-encryption

hostnameR2

boot-start-marker

boot-end-marker

noaaanew-model

memory-sizeiomem5

ipcef

noipdomainlookup

interfaceFastEthernet0/0

ipaddress172.16.1.2255.255.255.0

duplexauto

speedauto

ipdefault-gateway172.16.1.1

iphttpserver

iproute0.0.0.00.0.0.0172.16.1.1

control-plane

linecon0

exec-timeout00

loggingsynchronous

lineaux0

linevty04

end

window端配置（限xp，window7没有成功）

配置VPNClient

配置VPNClient之前首先要保证能和LNS通信才行，可以通过ping命令进行验证。

新建一个网络连接，并选择“连接到我的工作场所的网络”

选择“虚拟专用网络连接”

输入公司名称（根据实际情况而定，有利于区别多个VPN拨号连接）

输入客户端拨号的路由接口：

LNSVritual-Template1的IP地址

设置完成之后，需要设置VPNClient的安全协商参数，设置的认证协议必须和LNS上封装的认证协议相同为ms-chap和chap

设置VPN类型为L2TPIPSecVPN。

设置完成之后，输入用户名和密码（在LNS服务器上设置的用户名和密码）连接LNS服务器

连接过程中会出现需要证书的错误，这是因为Windows2000/xp/2003的L2TP缺省启动证书方式的IPSEC，因此必须向Windows添加ProhibitIpSec注册表值，以防止创建用于L2TP/IPSec通信的自动筛选器。

ProhibitIpSec注册表值设置为1时，基于Windows2000的计算机不会创建使用CA身份验证的自动筛选器，而是检查本地IPSec策略或ActiveDirectoryIPSec策略。

这时会提示连接到192.168.100.5出错。

错误781，连接需要证书，但是没有找到有效的证书。

等等。

3.2、修改VPNClient的注册表

要向Windows添加ProhibitIpSec注册表值，请按照下列步骤操作：

1.单击“开始”，单击“运行”，键入regedit，然后单击“确定”。

2.找到下面的注册表子项，然后单击它：

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rasman\Parameters

3.在该项中新建一个“DWORD值”。

6.退出注册表编辑器，然后重新启动计算机。

4.利用VPNClient连接LNS路由器

4.1、输入正确的用户名和密码，连接LNS服务器

4.2、查看VPNClient和LNS的变化参数

在VPNClinet上使用IPCONFIG/ALL命令可以查看到分配的IP地址，子网掩码以及默认网关

在VPNClient访问公司内部的WEB服务器

在LNS路由器上使用showipinterfacebrief上可以查看到一个客户端已经拨入了标识为Virtual-Access1。

用户登录上vpn后，如果远程网络额外路由就会出现问题，比如：

VPN地址池为192.168.1.100-192.168.1.200，而最终访问的地址是192.168.0.1，本地系统会从默认网关发出数据包，而造成无法访问。

可以通过修改本地静态路由来解决

需要有一条去往vpn的明细路由，访问外网的的默认路由。

Routeadd172.16.2.0mask255.255.255.0172.16.2.1metric1

Routechange0.0.0.0mask0.0.0.0192.168.100.201metric1

这样就可以上外网了。