cisco l2tp vpn实例.docx
《cisco l2tp vpn实例.docx》由会员分享,可在线阅读,更多相关《cisco l2tp vpn实例.docx(13页珍藏版)》请在冰点文库上搜索。
ciscol2tpvpn实例
网络拓扑:
说明:
本实验通过GSN桥接虚拟机(xp)搭的环境。
R1为vpn服务器。
R2为http服务器。
R1的f0/0接口的网段为192.168.100.0。
f1/0接口的网段为172.16.1.0。
R2的f0/0接口为172.16.1.2。
Vpn分配的网段为172.16.2.0。
R1配置:
Currentconfiguration:
1000bytes
version12.4
servicetimestampsdebugdatetimemsec
servicetimestampslogdatetimemsec
noservicepassword-encryption
hostnameR1
boot-start-marker
boot-end-marker
noaaanew-model
memory-sizeiomem5
ipcef
noipdomainlookup
vpdnenable
vpdn-groupxiaonuo-l2tp
DefaultL2TPVPDNgroup
accept-dialin
protocoll2tp
virtual-template1
nol2tptunnelauthentication
usernameadminprivilege15password0admin
interfaceFastEthernet0/0
ipaddress192.168.100.5255.255.255.0
duplexauto
speedauto
interfaceFastEthernet1/0
ipaddress172.16.1.1255.255.255.0
duplexauto
speedauto
interfaceVirtual-Template1
ipunnumberedFastEthernet0/0
peerdefaultipaddresspoolxiaonuo-l2tp-user
pppauthenticationchapms-chap
iplocalpoolxiaonuo-l2tp-user172.16.2.1172.16.2.10
noiphttpserver
control-plane
linecon0
exec-timeout00
loggingsynchronous
lineaux0
linevty04
end
R2的配置
Currentconfiguration:
578bytes
version12.4
servicetimestampsdebugdatetimemsec
servicetimestampslogdatetimemsec
noservicepassword-encryption
hostnameR2
boot-start-marker
boot-end-marker
noaaanew-model
memory-sizeiomem5
ipcef
noipdomainlookup
interfaceFastEthernet0/0
ipaddress172.16.1.2255.255.255.0
duplexauto
speedauto
ipdefault-gateway172.16.1.1
iphttpserver
iproute0.0.0.00.0.0.0172.16.1.1
control-plane
linecon0
exec-timeout00
loggingsynchronous
lineaux0
linevty04
end
window端配置(限xp,window7没有成功)
配置VPNClient
配置VPNClient之前首先要保证能和LNS通信才行,可以通过ping命令进行验证。
新建一个网络连接,并选择“连接到我的工作场所的网络”
选择“虚拟专用网络连接”
输入公司名称(根据实际情况而定,有利于区别多个VPN拨号连接)
输入客户端拨号的路由接口:
LNSVritual-Template1的IP地址
设置完成之后,需要设置VPNClient的安全协商参数,设置的认证协议必须和LNS上封装的认证协议相同为ms-chap和chap
设置VPN类型为L2TPIPSecVPN。
设置完成之后,输入用户名和密码(在LNS服务器上设置的用户名和密码)连接LNS服务器
连接过程中会出现需要证书的错误,这是因为Windows2000/xp/2003的L2TP缺省启动证书方式的IPSEC,因此必须向Windows添加ProhibitIpSec注册表值,以防止创建用于L2TP/IPSec通信的自动筛选器。
ProhibitIpSec注册表值设置为1时,基于Windows2000的计算机不会创建使用CA身份验证的自动筛选器,而是检查本地IPSec策略或ActiveDirectoryIPSec策略。
这时会提示连接到192.168.100.5出错。
错误781,连接需要证书,但是没有找到有效的证书。
等等。
3.2、修改VPNClient的注册表
要向Windows添加ProhibitIpSec注册表值,请按照下列步骤操作:
1.单击“开始”,单击“运行”,键入regedit,然后单击“确定”。
2.找到下面的注册表子项,然后单击它:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rasman\Parameters
3.在该项中新建一个“DWORD值”。
6.退出注册表编辑器,然后重新启动计算机。
4.利用VPNClient连接LNS路由器
4.1、输入正确的用户名和密码,连接LNS服务器
4.2、查看VPNClient和LNS的变化参数
在VPNClinet上使用IPCONFIG/ALL命令可以查看到分配的IP地址,子网掩码以及默认网关
在VPNClient访问公司内部的WEB服务器
在LNS路由器上使用showipinterfacebrief上可以查看到一个客户端已经拨入了标识为Virtual-Access1。
用户登录上vpn后,如果远程网络额外路由就会出现问题,比如:
VPN地址池为192.168.1.100-192.168.1.200,而最终访问的地址是192.168.0.1,本地系统会从默认网关发出数据包,而造成无法访问。
可以通过修改本地静态路由来解决
需要有一条去往vpn的明细路由,访问外网的的默认路由。
Routeadd172.16.2.0mask255.255.255.0172.16.2.1metric1
Routechange0.0.0.0mask0.0.0.0192.168.100.201metric1
这样就可以上外网了。