实战:配置路由器为***服务器
配置路由器为***服务器
下面用Cisco 3660系列路由器配置为远程访问服务器,允许Internet用户通过L2TP协议拨入到企业内网。本实验需要Dynamips软件搭建的网络环境,网络拓扑如图11-24所示,路由器RB模拟企业内网的一个计算机,在路由器RA上配置远程访问服务器,远程用户使用虚拟机来模拟。
▲图11-24 远程访问***实验环境
按照图11-23所示配置路由器RA和路由器RB的 IP地址,以及远程计算机的IP地址。在路由器RB上添加默认路由。
RB(cofnig)#ip route 0.0.0.0 0.0.0.0 10.0.0.1
1. 在RA上配置L2TP ***
(1)如图11-25所示,在LNS上配置远程用户拨入的用户名和对应的密码。
▲图11-25 配置远程拨入用户
(2)如图11-26所示,启用VPDN功能(VPDN默认是关闭的)。
▲图11-26 启用VPDN功能
(3)vpdn-group onest-:建立一个虚拟拨号组,并命名为onest-。
accept-dialin:设置允许客户端拨入。
protocol :启用l2TP隧道协议。
virtual-template 1:建立一个虚拟接口 1(一个虚拟拨号组中最多可以建立25个虚拟接口)。
配置过程如图11-27所示。
▲图11-27 建立和配置虚拟拨号组
(4)关闭l2TP隧道的认证功能(也可以开启认证功能,这时候,需要搭建一台CA,然后申请证书,并且客户端也需要申请证书才能连上RA,这样会更安全)。配置过程如图11-28所示。
▲图11-28 关闭L2TP隧道认证功能
(5)建立*** 客户端拨入分配的IP地址的地址池,并命名为onest--user。也可以通过企业内部DHCP服务器申请,如图11-29所示。
▲图11-29 指定分配各远程计算机的地址池
(6)interface virtual-Template 1:进入虚拟拨号组onest-my的虚拟接口1。
(7)ip unnumbered fastEthernet 1/0:借用出口端口fastEthernet 1/0的接口来转发l2TP隧道协议传输的流量。
(8)peer default ip address pool onest--user:设置*** Client拨号动态获得IP地址对应的地址池。
(9)设置客户端拨入LNS服务器需要的认证方式为chap ms-chap。配置过程如图11-30所示。
▲图11-30 配置虚拟拨号组1
(10)如图11-31所示,配置完成之后,在LNS上通过show ip interface brief查看虚拟拨号接口Virtual-Template1的IP地址,可以看出是借用了FastEthernet1/0的IP地址。
▲图11-31 查看配置的Virtual-Template接口
2. 配置***客户端
(1)如图11-32所示,确保Internet上的计算机能够ping通RA路由器的Fa1/0接口。
▲图11-32 测试到远程访问服务器RA的连通性
(2)如图11-33所示,在计算机中打开“网络连接”窗口,单击“创建一个新的连接”,建立***拨号连接。
▲图11-33 创建***拨号连接
(3)在出现的“欢迎使用新建连接向导”对话框中,单击“下一步”按钮。
(4)如图11-34所示,在出现的“网络连接类型”设置界面中,选中“连接到我的工作场所的网路”单选按钮,单击“下一步”按钮。
▲图11-34 选择网络连接类型
(5)如图11-35所示,在出现的“网络连接”设置界面中,选中“虚拟专用网络连接”单选按钮,单击“下一步”按钮。
▲图11-35 选择网络连接
(6)如图11-36所示,在出现的“连接名”设置界面中,输入名称,单击“下一步”按钮。
▲图11-36 指定连接名称
(7)如图11-37所示,在出现的“***服务器选择”设置界面中,输入远程访问服务器的地址。在这里就是路由器RB连接Internet的IP地址,单击“下一步”按钮。
▲图11-37 输入远程访问服务器的IP地址
(8)如图11-38所示,在出现的“正在完成新建连接向导”设置界面中,选中“在我的桌面上添加一个到此连接的快捷方式”复选框,单击“完成”按钮。
▲图11-38 完成***拨号创建
(9)如图11-39所示,右击刚才创建的***拨号连接,在弹出的快捷菜单中选择“属性”命令。
(10)如图11-40所示,在出现的属性对话框的“安全”选项卡中,选中“高级”单选按钮。单击“设置”按钮。
▲图11-39 更改拨号连接的属性 ▲图11-40 更改安全设置
(11)如图11-41所示,在出现的“高级安全设置”对话框中,选中“允许这些协议”单选按钮,并选中“质询握手身份验证协议”复选框和Microsoft CHAP复选框,取消选中“Microsoft CHAP版本2”复选框,单击“确定”按钮。
▲图11-41 更改高级安全设置
(12)如图11-42所示,在“网络”选项卡中的“***类型”下拉列表框中选择L2TP IPSec ***选项,单击“确定”按钮。完成配置。
▲图11-42 更改***类型
(13)如图11-43所示,设置完成之后,输入用户名和密码(在RA服务器上设置的用户名和密码)连接RA服务器。
(14)如图11-44所示,连接过程中会出现需要证书的错误,这是因为Windows 2000/XP/2003的L2TP默认启动证书方式的IPSec,所以必须向Windows添加 ProbibitIpSec 注册表值,以防止创建用于 L2TP/IPSec 通信的自动筛选器。
ProbibitIpSec 注册表值设置为 1 时,基于 Windows 2000 的计算机不会创建使用 CA 身份验证的自动筛选器,而是检查本地 IPSec 策略或 Active Directory IPSec 策略。
▲图11-43 输入用户名和密码 ▲图11-44 需要证书
3. 修改***客户端的注册表
要向Windows添加 ProbibitIpSec 注册表值,请按照下列步骤操作。
(1)选择“开始”→“运行”命令,在弹出的“运行”对话框中输入regedit,然后单击“确定”按钮。
(2)如图11-45所示,找到下面的注册表子项,然后单击它:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rasman\Parameters
▲图11-45 创建注册表项
(3)在该项中新建一个“DWORD值”。
(4)将DWORD值重命名为ProbibitTpSec。
(5)如图11-46所示,双击ProbibitTpSec,将其值更改为1。
(6)退出注册表编辑器,然后重新启动计算机。
▲图11-46 更改键值
4. 拨号之后访问内网
(1)如图11-47所示,拨号之后查看IP配置,可以看到***拨号后远程访问服务器分配的内网地址172.16.0.1。
▲图11-47 查看拨号后建立的连接
(2)如图11-48所示,访问内网路由器RB的地址
▲图11-48 测试到内网的访问
(3)断开***拨号,你将不能访问内网的计算机。
广告