VPN配置实例模板篇文档格式.docx
《VPN配置实例模板篇文档格式.docx》由会员分享,可在线阅读,更多相关《VPN配置实例模板篇文档格式.docx(56页珍藏版)》请在冰豆网上搜索。
!
允许接受远程客户端拨入
protocolpptp
设置隧道协议为pptp
virtual-template1
使用虚模板接口1
exit
usernamepptppassword0pptp
设置用户信息(创建pptp/pptp帐号)
iplocalpoolvpn_add10.32.0.20010.32.0.254
创建本地地址池,分配给拨入的远程VPN客户端,10.32.0.200-10.32.0.254
interfaceFastEthernet1/0
设置FastEthernet1/0口,用于连接Internet
ipnatoutside
指定此接口连接外网
ipaddress192.168.33.39255.255.255.0
为此接口分配IP地址192.168.33.39/24
noshutdown
启用此接口
interfaceFastEthernet1/1
设置FastEthernet1/1口,用于连接本地局域网(内网)
ipnatinside
指定此接口连接内网
ipaddress10.32.0.1255.255.255.0
为此接口分配IP地址10.32.0.1/24
noshutdown
interfaceVirtual-Template1
创建虚模板接口1,使之成为绑定并负载PPTP会话的virtual-access接口模板
pppauthenticationpap
启动PPP验证,并指定身份验证模式为PAP
ipunnumberedFastEthernet1/1
设置此无编号接口关联的接口为FastEthernet1/1
peerdefaultipaddresspoolvpn_add
为拨入的用户选择分配IP地址的策略,使用地址池vpn_add
设置此虚模板接口参与nat,使远程客户端拨号到VPDN路由器之后通过此路由上网
ipnatinsidesourcelist1interfaceFastEthernet1/0overload
设置nat规则,关联ACL1,允许所有源主机进行nat
iproute0.0.0.00.0.0.0192.168.33.1
设置缺省路由即网关192.168.33.1
linevty04
设置vty0-4的密码即telnet口令
login
password0star
telnet口令设置为star
end
write
保存配置
远程VPN客户端设置方法
VPN服务端路由器的查看信息
PPTPserver#showvpdnsession
%NoactiveL2TPtunnels
PPTPSessionInformationTotalsessions1
LocIDRemIDTunIDIntfUsernameStateLastChg
3125630Va0pptpconnected00:
00:
15
PPTPserver#showiproute
Codes:
C-connected,S-static,R-RIP
O-OSPF,IA-OSPFinterarea
N1-OSPFNSSAexternaltype1,N2-OSPFNSSAexternaltype2
E1-OSPFexternaltype1,E2-OSPFexternaltype2
*-candidatedefault
Gatewayoflastresortis192.168.33.1tonetwork0.0.0.0
S*0.0.0.0/0[1/0]via192.168.33.1
C10.32.0.0/24isdirectlyconnected,FastEthernet1/1
C10.32.0.1/32islocalhost.
C10.32.0.200/32isdirectlyconnected,virtual-access0
C192.168.33.0/24isdirectlyconnected,FastEthernet1/0
C192.168.33.39/32islocalhost.
PPTPserver#
L2TP(Layer2TunnelingProtocol)
L2TP作为一种二层隧道协议,结合了PPTP(PointtoPointTunnelingProtocol,点对点隧道协议)和L2F(Layer2Forwarding,二层转发协议)的优点。
L2TP是对Point-to-PointProtocol(PPP)的一种扩展,它依靠利用PPP实现用户身份验证和传输数据。
与PPTP不同的是,L2TP使用UDP作为控制消息与数据消息的传输协议。
L2TP也是实现VPN的一种重要和有效的方法。
VPN使得网络用户访问公司内部网更方便与安全,无论是拨号用户还是其他网络接入方式的用户都可以通过VPN轻松达到这个目的。
hostnameL2TPserver
主机名设置为L2TPserver
vpdn-groupl2tp
DefaultL2TPVPDNgroup,设置vpdn-group接口,名为l2tp
protocoll2tp
设置隧道协议为l2tp
virtual-template2
使用虚模板接口2
exit
usernamel2tppassword0l2tp
设置用户信息(创建l2tp/l2tp帐号)
iplocalpooll2tppool10.32.1.10010.32.1.200
创建本地地址池l2tppool,分配给拨入的远程VPN客户端,10.32.1.100-10.32.1.200
interfaceVirtual-Template2
创建虚模板接口2,使之成为绑定并负载L2TP会话的virtual-access接口模板
pppauthenticationchap
启动PPP验证,并指定身份验证模式为CHAP
peerdefaultipaddresspooll2tppool
为拨入的用户选择分配IP地址的策略,使用地址池l2tppool
Windows上L2TP是与IPSec/IKE绑定使用的,而大多数的L2TP设备没有将L2TP与IPSec/IKE绑定。
可以通过修改Windows的注册表来解除此限制:
首先点击”开始”,然后选中”运行”,
接着键入”regedit”进入注册表编辑器找到这个目录
”HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/RasMan/Parameters”
然后在这个目录下Windows2000创建一个名称为”Prohibitipsec”的双字节值并设其值为1,在WindowsXP中,创建的项目为DWORD类型的,按F5刷新注册表,最后重启你的Windows。
C:
\DocumentsandSettings\RedGiant>
ipconfig/all
WindowsIPConfiguration
HostName............:
cs
PrimaryDnsSuffix.......:
NodeType............:
Unknown
IPRoutingEnabled........:
No
WINSProxyEnabled........:
Ethernetadapter本地连接:
Connection-specificDNSSuffix.:
Description...........:
RealtekRTL8139FamilyPCIFastEthernetNIC
PhysicalAddress.........:
00-15-F2-DC-96-B4
DhcpEnabled...........:
IPAddress............:
192.168.33.31
SubnetMask...........:
255.255.255.0
DefaultGateway.........:
192.168.33.1
DNSServers...........:
202.101.98.55
Ethernetadapter{8D69DFE8-6751-483F-96BE-475399C6E2FB}:
MediaState...........:
Mediadisconnected
VCDVNCAdapter-数据包计划程序微型端口
02-50-F2-3D-00-01
PPPadapterl2tp:
WAN(PPP/SLIP)Interface
00-53-45-00-00-00
10.32.1.100
255.255.255.255
L2TPserver#shvpdntunnel
L2TPTunnelInformationTotaltunnels1
LocIDRemIDRemoteNameStateRemoteAddressPortSessionsL2TPClass/
VPDNGroup
2022csest192.168.33.3117011l2tp
%NoactivePPTPtunnels
L2TPserver#shvpdnsession
L2TPSessionInformationTotalsessions1
LocIDRemIDTunIDUsername,Intf/StateLastChg
Vcid,Circuit
1120l2tp,va0est00:
20
L2TPserver#shiproute
C10.32.1.0/24isdirectlyconnected,FastEthernet1/1
C10.32.1.1/32islocalhost.
C10.32.1.100/32isdirectlyconnected,virtual-access0
C192.168.33.29/32islocalhost.
L2TPserver#
路由器同时作为PPTPServer与L2TPServer实例
进入全局配置模式
hostnamevpnserver
设置路由器主机名为vpnserver
enablepassword0star
设置enable口令为star
定义acl1,允许所有源地址(用来关联nat)
使能VPDN功能
vpdnsource-ip192.168.33.39
设置使用本地源地址,这样远程客户端的隧道目的地址必须与本地地址一致才可以建立隧道
vpdn-groupstar-l2tp
设置vpdn-group接口star-l2tp
virtual-template20
exit
localnamel2tp_server
设置本地名称为l2tp_server,隧道建立时作为本地的记录性属性发送给对端
l2tptunnelauthentication
启动通道验证
l2tptunnelpasswordpass
设置通道验证口令为pass
vpdn-groupstar-pptp
设置vpdn-group接口star-pptp
protocolpptp
virtual-template10
localnamepptp_server
source-ip192.168.33.39
usernamergnospassword0rgnos
设置用户信息(创建rgnos/rgnos帐号)
iplocalpooll2tppool192.168.0.201192.168.0.210
创建本地地址池l2tppool,分配给拨入的L2TP远程VPN客户端,192.168.0.201-192.168.0.210
iplocalpoolpptppool192.168.1.211192.168.1.220
创建本地地址池pptppool,分配给拨入的PPTP远程VPN客户端,192.168.1.211-192.168.1.220
设置FastEthernet1/1口,用于连接本地局域网
ipaddress192.168.1.1255.255.255.0
为此接口分配IP地址192.168.1.1/24
interfaceloopback1
设置回环口loopback1,用来作为L2TP客户端拨入VPDN服务端路由器之后网关
ipaddress192.168.0.1255.255.255.0
为此接口分配IP地址
interfaceVirtual-Template20
建虚模板接口20,使之成为绑定并负载L2TP会话的virtual-access接口模板
ipunnumberedloopback1
设置此无编号接口关联的接口为loopback1
interfaceVirtual-Template10
建虚模板接口10,使之成为绑定并负载PPTP会话的virtual-access接口模板
启动PPP验证,并指定身份验证模式为PAP
peerdefaultipaddresspoolpptppool
为拨入的用户选择分配IP地址的策略,使用地址池pptppool
ipnatinsidesourcelist1interfacefast1/0overload
iproute0.0.0.00.0.0.0FastEthernet1/0192.168.33.1
VPN客户端路由器配置
进入全局配置模式
hostnameR1762
设置路由器主机名为R1762
enablepassword0star
设置enable口令为star,即特权口令
access-list2permitany
定义ACL1/ACL2,允许所有源地址(用来关联nat)
l2tp-classl2x
创建名为l2x的l2tp-class,设定L2TP控制连接相关参数,将被pseudowire-class引用
authentication
使用通道身份验证
hostnameL2TP_client
设置本地主机名为L2
升级会员 