配置路由器为×××服务器

下面用Cisco 3660系列路由器配置为远程访问服务器,允许Internet用户通过L2TP协议拨入到企业内网。本实验需要Dynamips软件搭建的网络环境,网络拓扑如图11-24所示,路由器RB模拟企业内网的一个计算机,在路由器RA上配置远程访问服务器,远程用户使用虚拟机来模拟。

实战:配置路由器为×××服务器_第1张图片

▲图11-24 远程访问×××实验环境

按照图11-23所示配置路由器RA和路由器RB的 IP地址,以及远程计算机的IP地址。在路由器RB上添加默认路由。

RB(cofnig)#ip route 0.0.0.0 0.0.0.0 10.0.0.1

1. 在RA上配置L2TP ×××

(1)如图11-25所示,在LNS上配置远程用户拨入的用户名和对应的密码。

clip_image003

▲图11-25 配置远程拨入用户

(2)如图11-26所示,启用VPDN功能(VPDN默认是关闭的)。

clip_image004

▲图11-26 启用VPDN功能

(3)vpdn-group onest-:建立一个虚拟拨号组,并命名为onest-。
accept-dialin:设置允许客户端拨入。
protocol :启用l2TP隧道协议。
virtual-template 1:建立一个虚拟接口 1(一个虚拟拨号组中最多可以建立25个虚拟接口)。

配置过程如图11-27所示。

实战:配置路由器为×××服务器_第2张图片

▲图11-27 建立和配置虚拟拨号组

(4)关闭l2TP隧道的认证功能(也可以开启认证功能,这时候,需要搭建一台CA,然后申请证书,并且客户端也需要申请证书才能连上RA,这样会更安全)。配置过程如图11-28所示。

实战:配置路由器为×××服务器_第3张图片

▲图11-28 关闭L2TP隧道认证功能

(5)建立××× 客户端拨入分配的IP地址的地址池,并命名为onest--user。也可以通过企业内部DHCP服务器申请,如图11-29所示。

clip_image007

▲图11-29 指定分配各远程计算机的地址池

(6)interface virtual-Template 1:进入虚拟拨号组onest-my的虚拟接口1。

(7)ip unnumbered fastEthernet 1/0:借用出口端口fastEthernet 1/0的接口来转发l2TP隧道协议传输的流量。

(8)peer default ip address pool onest--user:设置××× Client拨号动态获得IP地址对应的地址池。

(9)设置客户端拨入LNS服务器需要的认证方式为chap ms-chap。配置过程如图11-30所示。

实战:配置路由器为×××服务器_第4张图片

▲图11-30 配置虚拟拨号组1

(10)如图11-31所示,配置完成之后,在LNS上通过show ip interface brief查看虚拟拨号接口Virtual-Template1的IP地址,可以看出是借用了FastEthernet1/0的IP地址。

实战:配置路由器为×××服务器_第5张图片

▲图11-31 查看配置的Virtual-Template接口

2. 配置×××客户端

(1)如图11-32所示,确保Internet上的计算机能够ping通RA路由器的Fa1/0接口。

实战:配置路由器为×××服务器_第6张图片

▲图11-32 测试到远程访问服务器RA的连通性

(2)如图11-33所示,在计算机中打开“网络连接”窗口,单击“创建一个新的连接”,建立×××拨号连接。

实战:配置路由器为×××服务器_第7张图片

▲图11-33 创建×××拨号连接

(3)在出现的“欢迎使用新建连接向导”对话框中,单击“下一步”按钮。

(4)如图11-34所示,在出现的“网络连接类型”设置界面中,选中“连接到我的工作场所的网路”单选按钮,单击“下一步”按钮。

实战:配置路由器为×××服务器_第8张图片

▲图11-34 选择网络连接类型

(5)如图11-35所示,在出现的“网络连接”设置界面中,选中“虚拟专用网络连接”单选按钮,单击“下一步”按钮。

实战:配置路由器为×××服务器_第9张图片

▲图11-35 选择网络连接

(6)如图11-36所示,在出现的“连接名”设置界面中,输入名称,单击“下一步”按钮。

实战:配置路由器为×××服务器_第10张图片

▲图11-36 指定连接名称

(7)如图11-37所示,在出现的“×××服务器选择”设置界面中,输入远程访问服务器的地址。在这里就是路由器RB连接Internet的IP地址,单击“下一步”按钮。

实战:配置路由器为×××服务器_第11张图片

▲图11-37 输入远程访问服务器的IP地址

(8)如图11-38所示,在出现的“正在完成新建连接向导”设置界面中,选中“在我的桌面上添加一个到此连接的快捷方式”复选框,单击“完成”按钮。

实战:配置路由器为×××服务器_第12张图片

▲图11-38 完成×××拨号创建

(9)如图11-39所示,右击刚才创建的×××拨号连接,在弹出的快捷菜单中选择“属性”命令。

(10)如图11-40所示,在出现的属性对话框的“安全”选项卡中,选中“高级”单选按钮。单击“设置”按钮。

实战:配置路由器为×××服务器_第13张图片 实战:配置路由器为×××服务器_第14张图片

▲图11-39 更改拨号连接的属性 ▲图11-40 更改安全设置

(11)如图11-41所示,在出现的“高级安全设置”对话框中,选中“允许这些协议”单选按钮,并选中“质询握手身份验证协议”复选框和Microsoft CHAP复选框,取消选中“Microsoft CHAP版本2”复选框,单击“确定”按钮。

实战:配置路由器为×××服务器_第15张图片

▲图11-41 更改高级安全设置

(12)如图11-42所示,在“网络”选项卡中的“×××类型”下拉列表框中选择L2TP IPSec ×××选项,单击“确定”按钮。完成配置。

实战:配置路由器为×××服务器_第16张图片

▲图11-42 更改×××类型

(13)如图11-43所示,设置完成之后,输入用户名和密码(在RA服务器上设置的用户名和密码)连接RA服务器。

(14)如图11-44所示,连接过程中会出现需要证书的错误,这是因为Windows 2000/XP/2003的L2TP默认启动证书方式的IPSec,所以必须向Windows添加 ProbibitIpSec 注册表值,以防止创建用于 L2TP/IPSec 通信的自动筛选器。

ProbibitIpSec 注册表值设置为 1 时,基于 Windows 2000 的计算机不会创建使用 CA 身份验证的自动筛选器,而是检查本地 IPSec 策略或 Active Directory IPSec 策略。

实战:配置路由器为×××服务器_第17张图片 实战:配置路由器为×××服务器_第18张图片

▲图11-43 输入用户名和密码 ▲图11-44 需要证书

3. 修改×××客户端的注册表

要向Windows添加 ProbibitIpSec 注册表值,请按照下列步骤操作。

(1)选择“开始”→“运行”命令,在弹出的“运行”对话框中输入regedit,然后单击“确定”按钮。

(2)如图11-45所示,找到下面的注册表子项,然后单击它:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rasman\Parameters

实战:配置路由器为×××服务器_第19张图片

▲图11-45 创建注册表项

(3)在该项中新建一个“DWORD值”。

(4)将DWORD值重命名为ProbibitTpSec。

(5)如图11-46所示,双击ProbibitTpSec,将其值更改为1。

(6)退出注册表编辑器,然后重新启动计算机。

实战:配置路由器为×××服务器_第20张图片

▲图11-46 更改键值

4. 拨号之后访问内网

(1)如图11-47所示,拨号之后查看IP配置,可以看到×××拨号后远程访问服务器分配的内网地址172.16.0.1。

实战:配置路由器为×××服务器_第21张图片

▲图11-47 查看拨号后建立的连接

(2)如图11-48所示,访问内网路由器RB的地址

实战:配置路由器为×××服务器_第22张图片

▲图11-48 测试到内网的访问

(3)断开×××拨号,你将不能访问内网的计算机。

广告

实战:配置路由器为×××服务器_第23张图片

实战:配置路由器为×××服务器_第24张图片

实战:配置路由器为×××服务器_第25张图片

实战:配置路由器为×××服务器_第26张图片