pptp配置例子.docx

pptp配置例子.docx

《pptp配置例子.docx》由会员分享，可在线阅读，更多相关《pptp配置例子.docx（30页珍藏版）》请在冰点文库上搜索。

pptp配置例子

PPTP配置实例（HiPERReOS2008VPN配置手册）

（一）、配置HiPER作为PPTP服务器

图1方案——HiPER作为PPTP服务器

　　在本方案中，某公司总部在上海。

在北京有一个分公司希望可以实现两地局域网内部资源的相互访问。

该公司还有一些出差和远程办公的移动用户希望在远程访问总公司局域网内部资源。

本方案使用PPTP协议建立VPN隧道，在上海公司总部使用HiPERVPN网关作为PPTP服务器，在北京放置任意品牌的标准VPN路由器（推荐使用HiPERVPN网关）作为PPTP客户端，移动用户使用Windows操作系统内置的PPTP客户端软件。

地址如下：

上海（PPTP服务器）：

    局域网网段IP地址：

192.168.123.0/24；

    HiPER的LAN口IP地址：

192.168.123.1/24；

    HiPER的WAN口IP地址：

202.101.35.218/24；

北京（PPTP客户端）：

    局域网网段IP地址：

192.168.16.0/24；

    路由器的LAN口IP地址：

192.168.16.1/24；

移动用户（PPTP客户端）：

    使用Windows操作系统通过PPTP拨号建立PPTP隧道连接。

一、配置HiPER作为PPTP服务器（LAN到LAN/移动用户拨入）

1.       为北京的路由器创建PPTP隧道拨入帐号

在VPN配置—>PPTP和L2TP中，选择“添加”选项，然后在配置参数项中依次输入以下内容：

“设置名”：

vpn_bj

“业务类型”：

拨入（服务器）

“用户类型”：

LAN到LAN

“密码”：

vpntest

“确认密码”：

vpntest

“密码验证方式”：

PAP

“远端内网IP地址”：

192.168.16.1（VPN隧道对端局域网所使用的IP地址）

“远端内网网络掩码”：

255.255.255.0

“分配IP地址”：

选中

“地址池开始地址”：

10.10.10.10（不能和整个VPN方案中所有IP地址段重复）

“地址池地址数”：

50

再单击“保存”按钮。

2.       为移动用户创建PPTP隧道拨入帐号

在VPN配置—>PPTP和L2TP中，选择“添加”选项，然后在配置参数项中依次输入以下内容：

“设置名”：

vpn_mobile

“业务类型”：

拨入（服务器）

“用户类型”：

移动用户

“密码”：

vpntest

“确认密码”：

vpntest

“密码验证方式”：

PAP

“分配IP地址”：

选中（同本节1中配置）

“地址池开始地址”：

10.10.10.10（同本节1中配置）

“地址池地址数”：

50（本节同1中配置）

再单击“保存”按钮。

二、配置HiPER作为PPTP客户端（LAN到LAN）

配置同（配置HiPER作为PPTP客户端）。

在VPN配置—>PPTP和L2TP中，选择“添加”选项，然后在配置参数项中依次输入以下内容：

“设置名”：

vpn_sh

“业务类型”：

拨出（客户端）

“用户名”：

vpn_bj

“协议类型”：

PPTP

“密码”：

vpntest

“确认密码”：

vpntest

“密码验证方式”：

PAP

“远端内网IP地址”：

192.168.123.1（VPN隧道对端局域网所使用的IP地址）

“远端内网子网掩码”：

255.255.255.0

“隧道服务器地址（名）”：

202.101.35.218

再单击“保存”按钮。

三、配置Windows2000作为PPTP客户端（移动用户）

按照以下步骤配置Windows2000计算机，使其成为PPTP客户端。

1.       配置PPTP拨号连接：

1） 进入Windows2000的“开始”à“设置”à“网络和拨号连接”à“新建连接”。

2） 启动“网络连接向导”，单击“下一步”。

3） 在“网络连接类型”中，选择“通过Internet连接到专用网络”，单击“下一步”。

4） 选择“不拨初始连接”，单击“下一步”。

5） 在“目的地址”一栏，输入准备连接的PPTP服务器的IP地址“202.101.35.218”，单击“下一步”。

6） 选择“只是我自己使用此连接”，单击“下一步”。

7） 输入“您为这个连接使用的名称”为“pptp”。

8） 单击“完成”。

9） 双击“pptp”连接，在pptp连接窗口，单击“属性”。

10）             选择“安全措施”属性页面，选择“高级（自定义设置）”，单击“设置”。

11）             在“数据加密”中选择“可选加密（没有加密也可以连接）”。

12）             在“允许这些协议”选中“不加密的密码（PAP）”、“质询握手身份验证协议（CHAP）”、“MicrosoftCHAP（MS-CHAP）”，单击“确定”。

13）             选择“网络”属性页面，在“我正在呼叫的VPN服务器的类型”选择“点对点隧道协议（PPTP）”。

14）             选择“网络”属性页面。

15）             确认“NWLinkIPX/SPX/NetBIOSCompatibleTransportPrococol”协议没有被选中。

16）             单击“确定“，保存所做的修改。

2.       使用PPTP隧道连接到HiPERPPTP服务器：

1） 确认计算机已经连接到Internet（可能是拨号连接或者是固定IP接入）。

2） 启动前面步骤中创建的“pptp”拨号连接。

3） 输入的PPTP隧道的用户名“vpn_mobile”和密码“vpntest”。

4） 单击“连接“。

5） 连接成功后，在MS-DOS方式下输入“ipconfig”，可以看到一个在PPTP服务器地址池中的地址，就是PPTP服务器分配给本机的IP地址。

四、配置WindowsXP作为PPTP客户端（移动用户）

按照以下步骤配置WindowsXP计算机，使得它能够连接到HiPERPPTP服务器。

1.       配置PPTP拨号连接：

1）  进入WindowsXP的“开始”à“设置”à“控制面板”，选择“切换到分类视图”。

2）  选择“网络和Internet连接”。

3）  选择“建立一个您的工作位置的网络连接”。

4）  选择“虚拟专用网络连接”，单击“下一步”。

5）  为连接输入一个名字为“pptp”，单击“下一步”。

6）  选择“不拨此初始连接”，单击“下一步”。

7）  输入准备连接的PPTP服务器的IP地址“202.101.35.218”，单击“下一步”。

8）  单击“完成”。

9）  双击“pptp”连接，在pptp连接窗口，单击“属性”。

10）选择“安全”属性页面，选择“高级（自定义设置）”，单击“设置”。

11）在“数据加密”中选择“可选加密（没有加密也可以连接）”。

12）在“允许这些协议”选中“不加密的密码（PAP）”、“质询握手身份验证协议（CHAP）”、“MicrosoftCHAP（MS-CHAP）”，单击“确定”。

13）选择“网络”属性页面，在“VPN类型”选择“PPTPVPN”。

14）确认“Internet协议（TCP/IP）”被选中。

15）确认“NWLinkIPX/SPX/NetBIOSCompatibleTransportPrococol”、“微软网络文件和打印共享”、“微软网络客户”协议没有被选中。

16）单击“确定”，保存所做的修改。

2.       使用PPTP隧道连接到HiPERPPTP服务器：

1） 确认计算机已经连接到Internet（可能是拨号连接或者是固定IP接入）。

2） 启动前面步骤中创建的“pptp”拨号连接。

3） 输入的pptp用户名“vpn_mobile”和密码“vpntest”。

4） 单击“连接”。

5） 连接成功后，在MS-DOS方式下输入“ipconfig”，可以看到一个在PPTP服务器地址池中的地址，就是PPTP服务器分配给本机的IP地址。

五、相关状态信息

　　在VPN配置—>PPTP和L2TP的“PPTP/L2TP信息列表”，检查HiPER（PPTP服务器）连接后的相关状态信息，如表1、表2所示。

表1  HiPER作为PPTP服务器—PPTP/L2TP信息列表

表2  HiPER作为PPTP服务器—PPTP/L2TP信息列表（续表5-10）

　　当PPTP客户端成功连接到PPTP服务器之后，“会话状态”由“关闭”变成“已连接”，“协议类型”显示为“PPTP”。

同时“虚接口地址”显示为分配给PPTP客户端的IP地址。

此时“使用时间”开始计时，如果隧道有数据流量，那么“出流量”和“入流量”则开始计数。

如果隧道没有数据流量，那么“空闲时间”开始计时。

（二）、 配置HiPER作为PPTP客户端

图2   方案——HiPER作为PPTP客户端

　　在本方案中，某公司总部在上海。

在北京有一个分公司希望可以实现两地局域网内部资源的相互访问。

本方案使用PPTP协议建立VPN隧道，在上海公司总部使用任意品牌的标准VPN路由器（推荐使用HiPERVPN网关）PPTP服务器，在北京分公司使用HiPERVPN网关作为PPTP客户端。

地址如下：

上海（PPTP服务器）：

    局域网网段IP地址：

192.168.123.0/24；

    路由器的LAN口IP地址：

192.168.123.1/24；

    路由器的WAN口IP地址：

202.101.35.218/24；

北京（PPTP客户端）：

    局域网网段IP地址：

192.168.16.0/24；

    HiPER的LAN口IP地址：

192.168.16.1/24；

一、配置HiPER作为PPTP客户端（LAN到LAN）

在VPN配置—>PPTP和L2TP中，选择“添加”选项，然后在配置参数项中依次输入以下内容：

“设置名”：

vpn_sh

“业务类型”：

拨出（客户端）

“用户名”：

vpn_bj

“协议类型”：

PPTP

“密码”：

vpntest

“确认密码”：

vpntest

“密码验证方式”：

PAP

“远端内网IP地址”：

192.168.123.1（VPN隧道对端局域网所使用的IP地址）

“远端内网子网掩码”：

255.255.255.0

“隧道服务器地址（名）”：

202.101.35.218

再单击“保存”按钮。

二、配置HiPER作为PPTP服务器（LAN到LAN）

配置同章节5.3.1.1“配置HiPER作为PPTP服务器”。

三、配置Windows2000Server作为PPTP服务器（LAN到LAN）

按照以下步骤配置Windows2000Server计算机，使其成为PPTP服务器。

1.       设置“路由和远程访问”服务：

1） 进入Windows2000Server的“开始”à“程序”à“管理工具”à“路由和远程访问”配置界面，如图3所示。

 图3 路由和远程访问界面一

2） 择“服务器状态”，单击鼠标右键，选择“添加服务器”；

3） 选择“这台计算机”，单击确定，进入如图4所示界面；

图4  路由和远程访问界面二

4） 选择上一步添加的计算机，单击鼠标右键，选择“配置和启用路由和远程访问”。

5） 单击“下一步”。

6） 选择“手动配置服务器”，单击“下一步”。

7） 单击“完成”。

8） 单击“是”，以开启“路由和远程访问”服务，如图5。

图5  路由和远程访问界面三

9） 选择“SERVER”，单击鼠标右键，选择“属性”。

图6 路由和远程访问界面四

10）             进入“常规”属性页面（如图6所示），在“启用此计算机作为”选中“路由器”、“用于局域网和请求拨号路由选择”、“远程访问服务器”。

11）             进入“安全”属性页面，在“验证提供程序”，选择“Windows身份验证”，单击“身份验证方法”，进入如图7所示界面。

12）             选中“Microsoft加密身份验证（MS-CHAP）”、“加密身份验证（CHAP）”、“不加密的密码（PAP）”，单击“确定”。

图7身份验证方法界面

13）             进入“IP”属性页面，选中“启用IP路由”，选中“允许基于IP的远程访问和请求拨号连接”。

选择“静态地址池”，单击“添加”，进入如图8所示界面。

14）             输入起始IP地址“192.168.123.201”，地址数“50”（输入Windows2000Server局域网端口所在网段一段空闲的IP地址），单击确定。

图8新建地址范围界面

15）             在“适配器”，选中“允许RAS选择适配器”（如果计算机只安装了一块网卡，看不到此选项），单击“确定”。

16）             选择“远程访问策略”，单击鼠标右键，选择“新建远程访问策略”。

17）             填入远程访问策略的名称“vpn”，单击“下一步”。

18）             单击“添加”。

19）             选中“NAS-Port-Type”，单击“添加”，如图9所示。

20）             将“可用类型”“Virtual（VPN）”添加到“选择的类型”中，单击“确定”。

图9  NAS-Port-Type界面

21）             单击“下一步”。

22）             选中“授予远程访问权限”，单击“下一步”。

23）             单击“编辑配置文件”，进入如图10所示界面。

24）             在“身份验证”属性页面，选中“Microsoft加密身份验证（MS-CHAP）”、“加密身份验证（CHAP）”、“未加密的密码（PAP，SPAP）”，单击确定。

图10 编辑拨入配置文件界面

25）             单击“确定”。

26）             选中“端口”，单击鼠标右键，选择“属性”。

27）             选中“WAN微型端口（PPTP）”，单击“配置”，进入如图11所示界面。

28）             根据实际PPTP客户端的数量，调整“最多端口数”，单击确定。

图11配置设备界面

29）             路由和远程访问服务配置完成。

3.       配置拨入的VPN用户帐号：

1） 进入Windows2000Server的开始à程序à管理工具à计算机管理（注意：

如果配置了Windows2000Server成为域控制器，可以在ActiveDirectory的用户管理中添加用户帐号）。

2） 选中“本地用户和组”à“用户”，单击鼠标右键，选择“新用户”，进入如图12所示界面。

3） 首先依次填入以下参数，然后单击“创建”按钮。

“用户名”：

vpn_bj

“密码”：

vpntest

“确认密码”：

vpntest

“用户下次登录时须更改密码”：

取消选中

“用户不能更改密码”：

选中

“密码永不过期”：

选中

图12 新用户界面

4） 选中上一步新建的“vpn_bj”用户，单击鼠标右键，选择属性。

5） 在“拨入”属性页面，在“远程访问权限”选择“通过远程访问策略控制访问”。

6） 在“回拨选项”选择“不回拨”。

7） 选中“分配静态IP地址”，从地址池中选择一个IP地址192.168.123.240（在“路由和远程访问”中第14步配置）作为分配给此帐号的IP地址。

8） 选中“应用静态路由”。

9） 单击“添加路由”，进入如图13所示界面。

10）             填入北京路由器局域网的网段，目标：

192.168.16.0，网络掩码：

255.255.255.0，跃点数“1”，单击确定。

图13 添加静态路由界面

11）             单击两次“确定”。

12）             VPN用户帐号配置完成。

4.       查看PPTP隧道连接状态：

进入Windows2000Server的“开始”à“程序”à“管理工具”à“路由和远程访问”，选中“远程访问客户端”，可以在窗口右侧看到拨入的用户信息。

双击“拨入的用户”，可以查看一些实时的PPTP隧道连接信息，如图14所示。

图14VPN状态信息界面

四、配置Cisco路由器作为PPTP服务器（LAN到LAN）

       按照以下步骤配置Cisco路由器，使其成为PPTP服务器。

Cisco在做VPN接入的时候，必须配置RadiusServer为Cisco验证用户身份、添加用户路由。

图15方案——Cisco路由器作为PPTP服务器

1.       配置Cisco成为PPTP服务器

//配置PPTP服务器的全局参数

vpdnenable

vpdn-group1

    accept-dialin

    protocolPPTP

    virtual-template1

    localnamerunway

 lcprenegotiationalways

//配置PPTP服务器的Virtual-Template（IP地址unnumbered路由器WAN口）

interfaceVirtual-Template1

    ipunnumberedEthernet0/0

    peerdefaultipaddresspooldefault

    pppauthenticationpap

//配置PPTP地址池

iplocalpooldefault10.0.0.110.0.0.254

2.       配置Cisco成为RadiusClient

//配置一个Cisco访问帐号

usernameadminpasswordadmin321

//配置Cisco的AAA

aaanew-model

aaaauthenticationlogindefaultlocal

aaaauthenticationpppdefaultgroupradiuslocal

aaaauthorizationnetworkdefaultgroupradiuslocal

aaaaccountingexecdefaultstart-stopgroupradius

aaaaccountingnetworkdefaultstart-stopgroupradius

//配置Radius服务器的IP地址和口令

radius-serverhost192.168.123.10auth-port1812acct-port1813

radius-serverretransmit3

radius-serverkeytesting123

3.       在Windows2000Server上安装“Internet验证服务”：

1）  进入Windows2000Server的“开始”à“设置”à“控制面板”à“添加/删除程序”。

2）  选择“添加/删除Windows组件”。

3）  选择“组件”à“网络服务”à“Internet验证服务”，单击“确定”。

4）  如果需要的话插入MicrosoftWindows2000Server安装软盘或者CD。

4.       配置Windows2000Server的Internet验证服务”服务：

1）  进入Windows2000Server的“开始”à“程序”à“管理工具”à“Internet验证服务”配置界面，如图16所示。

图16 Internet验证服务界面

2）  选中“客户端”，单击鼠标右键，选择“新建客户端”。

3）  “为客户端输入一个好记的名称”填入“cisco”，“协议”选择“RADIUS”，单击“下一步”，进入如图17所示界面。

4）  填入“客户端地址（IP或DNS）”：

192.168.123.1；“客户端-供应商”：

RADIUSStandard；“共享的机密”：

testing123；“确认共享的机密”：

testing123。

确认“客户端必须总是在请求中发送签名属性”没有被选中，然后单击“完成”。

图17 cisco属性界面

5）  选择“远程访问策略”，单击鼠标右键，选择“新建远程访问策略”。

6）  填入远程访问策略的名称“cisco”，单击“下一步”。

7）  单击“添加”，进入如图18所示界面。

图18选择属性界面

8）  选中“Day-And-Time-Restrictions”，单击“添加”，进入如图19所示界面。

图19 选择属性界面

9）  选择“允许”，单击“确定”。

10）选中“授予远程访问权限”，单击“下一步”。

11）单击“编辑配置文件”。

12）在“身份验证”属性页面（如图20所示），选中“Microsoft加密身份验证（MS-CHAP）”、“加密身份验证（CHAP）”、“未加密的密码（PAP，SPAP）”，单击“确定”。

图20编辑拨入配置文件界面

13）单击“确定”。

5.       配置拨入的VPN用户帐号：

1）  进入Windows2000Server的“开始”à“程序”à“管理工具”à“计算机管理”（注意：

如果配置了Windows2000Server成为域控制器，可以在ActiveDirectory的用户管理中添加用户帐号）。

2）  选中“本地用户和组”à“用户”，单击鼠标右键，选择“新用户”，进入如图21所示界面。

3）  首先依次填入以下参数，然后单击“创建”按钮。

“用户名”：

vpn_bj

“密码”：

vpntest

“确认密码”：

vpntest

“用户下次登录时须更改密码”：

取消选中

“用户不能更改密码”：

选中

“密码永不过期”：

选中

图21新用户界面

4）  选中上一步新建的“vpn_bj”用户，单击鼠标右键，选择“属性”。

5）  在“拨入”属性页面，在“远程访问权限”选择“通过远程访问策略控制访问”。

6）  在“回拨选项”选择“不回拨”。

7）  选中“分配静态IP地址”，从CiscoVPN地址池中选择一个IP地址10.0.0.123（在“路由和远程访问”中第14步配置）作为分配给此帐号的IP地址。

8）  选中“应用静态路由”。

9）  单击“添加路由”，进入如图22所示界面。

10）填入北京路由器局域网的网段，目标：

192.168.16.0，网络掩码：

255.2