《CiscoIOSL2TPVPN详细配置》由会员分享,可在线阅读,更多相关《CiscoIOSL2TPVPN详细配置(15页珍藏版)》请在金锄头文库上搜索。
1、Cisco IOS L2TP VPN 详细配置详细配置实验背景: 在现实的网络环境中,我们可能会遇到这样的问题:在一些较大规模的公 司中,分公司或出差的员工需要与公司总部随时交换机密的商务信息。分公司 和出差的员工如何能成功远程访问总公司内部的资源并保证这一过程中的安全 性?如何在局域网上实现一个安全、方便、低成本的远程访问服务呢?本实验将要介绍 Cisco ISO 下的远程访问服务,让远程用户能够安全登 录企业网络从而安全使用网络资源,远程访问服务允许客户端通过拨号连接或 虚拟专用连接登录网络。远程客户机一旦得到 LNS 服务器的确认,就可以访问 网络资源,就好像客户机已经直接连接在局域网上
2、一样 。拨号的远程访问通过 电话线传输数据,虽然效率不高,但是对于那些只有少量数据需要传输的用户, 特别是在家庭中办公的用户来说是一个很好的解决方案。使用虚拟专用连接提 供了高的传输效率,而且降低了投资成本和维护成本。相对于拨号连接来说, 它节约了通信费用,特别是对于外地的分公司来说,解决了一大笔长途电话的 费用。理论指导:远程访问 VPN 主要使用的是基于数据链路层的 PPTP(点到点 隧道协议,由微软、Ascend 和 3COM 等公司支持)、L2F(二层转发协议, 由北方电讯等公司支持)和 L2TP(二层隧道协议,由 IETF 起草,微软等公司 参与,结合了上述两个协议的优点,为众多公司
3、所接受,并且已经成为 FRC 标 准)隧道协议。第二层隧道协议建立在点到点协议 PPP 的基础上,充分利用了 PPP 支持多协议的特性,先把 IP 协议封装到 PPP 帧中,再把数据帧装入隧道 协议。实验目的:1、 理解使用远程访问的原理和意义2、 使用 OSPF 多区域路由协议模拟公网3、 LNS 服务器的配置4、 VPN Client 的具体配置实验网络拓扑:实验步骤1. 配置 R1 和 R2 的网络连通基本参数,并启用 OSPF 多区域路由协议 1.1、 在 cisco 路由器 R1 和 R2 上建立三个 OSPF 区域模拟 ISP Backbone/Internet,并各自添加一条默认
4、路由指向末梢网络(这样可以保证 外网的用户 ping 通 R1 和 R2,否则会显示 Time OUT!)1.2、 配置 LNS 和 WEB 的基本参数LNS 需要配置一条默认路由指向末梢网络,WEB 需要启用 http 服务,并 配置一个默认网关指向 LNS 入口路由接口。2. 配置 LNS 路由器并查看虚拟接口 2.1、 配置 LNS 路由器在 LNS 上配置远程用户拨入的用户名和对应的密码启用 vpdn 功能(vpdn 默认是关闭的)vpdn-group xiaonuo-l2tp:建立一个虚拟拨号组,并命名为 xiaonuo- l2tpaccept-dialin:设置允许客户端拨入pro
5、tocol l2tp:启用 l2tp 隧道协议virtual-template 1:建立一个虚拟接口 1(一个虚拟拨号组里最多可以 建立 25 个虚拟接口)关闭 l2tp 隧道的认证功能(也可以开启认证功能,这时候,需要搭建一台 CA,然后申请证书,并且客户端也需要申请证书才能连上 LNS,这样会更安 全)建立 VPN Client 拨入申请 IP 地址的地址池,并命名为 xiaonuo-l2tp- user。也可以通过企业内部 DHCP 服务器申请interface virtual-Template 1:进入虚拟拨号组 xiaonuo-myl2tp 的虚 拟接口 1ip unnumbered
6、 S0/1:借用出口端口 S0/1 的接口来转发 l2tp 隧道协 议传输的流量,也可以配置一个公网的 IP 地址,这样就需要花费购买一个公网 IP 地址encapsulation ppp :封装 PPP 协议(l2tp 隧道协议是建立在 PPP 链路 上的)peer default ip address pool xiaonuo-l2tp-user:设置 VPN Client 拨号动态获得 IP 地址对应的地址池设置客户端拨入 LNS 服务器需要的认证方式为 chap ms-chap注意:由于这个 IOS 为 c3640-jk9o3s-mz.122-26.bin,功能较单一, 所以只有 ch
7、ap,ms-chap 和 pap 认证,其它功能强的 IOS,比如说 c7200- ik9o3s-mz.124-3.bin 会有更多的认证功能。而且具有 vpn 功能的 IOS 必须 是 k8 和 k9 系列。2.2、 配置完成之后,在 LNS 上通过 show ip interface brief 查看虚拟 拨号接口 Virtual-Template1 的 IP 地址,可以看出是借用了 LNS 的 S0/1 的 IP 地址。3. 配置 VPN Client 3.1、 配置 VPN Client 之前首先要保证能和 LNS 通信才行,可以通过 ping 命令进行验证。新建一个网络连接,并选择“
8、连接到我的工作场所的网络”选择“虚拟专用网络连接”输入公司名称(根据实际情况而定,有利于区别多个 VPN 拨号连接)输入客户端拨号的路由接口:LNS Vritual-Template 1 的 IP 地址设置完成之后,需要设置 VPN Client 的安全协商参数,设置的认证协议 必须和 LNS 上封装的认证协议相同为 ms-chap 和 chap设置 VPN 类型为 L2TP IPSec VPN。设置完成之后,输入用户名和密码(在 LNS 服务器上设置的用户名和密码) 连接 LNS 服务器连接过程中会出现需要证书的错误,这是因为 Windows2000/xp/2003 的L2TP 缺省启动证书
9、方式的 IPSEC,因此必须向 Windows 添加 ProhibitIpSec 注册表值,以防止创建用于 L2TP/IPSec 通信的自动筛选器。ProhibitIpSec 注册表值设置为 1 时,基于 Windows 2000 的计算机 不会创建使用 CA 身份验证的自动筛选器,而是检查本地 IPSec 策略或 Active Directory IPSec 策略。3.2、 修改 VPN Client 的注册表要向 Windows 添加 ProhibitIpSec 注册表值,请按照下列步骤操作:1. 单击“开始”,单击“运行”,键入 regedit,然后单击“确定”。2. 找到下面的注册表子
10、项,然后单击它:HKEY_LOCAL_MACHINESystemCurrentControlSetServicesRasma nParameters 3. 在该项中新建一个“DWORD 值”。6. 退出注册表编辑器,然后重新启动计算机。4. 利用 VPN Client 连接 LNS 路由器 4.1、 输入正确的用户名和密码,连接 LNS 服务器4.2、 查看 VPN Client 和 LNS 的变化参数在 VPN Clinet 上使用 IPCONFIG /ALL 命令可以查看到分配的 IP 地址, 子网掩码以及默认网关在 VPN Client 访问公司内部的 WEB 服务器在 LNS 路由器上使用 show ip interface brief 上可以查看到一个客户端已经 拨入了标识为 Virtual-Access1。
