还有一种V P N是远程访问V P N,这种V P N用于在外出差的员工通过Internet访问企业内网。将企业路由器配置成V P N服务器,在外出差的员工将电脑接入Internet就可以建立到企业内网的V P N拨号连接,拨通之后就可以像在公司内网一样访问网络资源。

如图所示,AR1是企业的路由器,将其配置为V P N服务器,PC3建立到AR1的V P N拨号连接,V P N服务器分配给PC3一个192.168.1.4内网地址,注意:和企业内网不在一个网段。PC3访问PC2时,网络层先使用内网地址进行封装,我们称其为内网数据包,该数据包不能在Internet中传输,又把内网数据包当做数据,使用×××服务器的公网地址和PC3的公网地址再次封装为公网数据包,公网数据包就能通过Internet到达V P N服务器了。V P N服务器再将公网封装的部分去掉,将内网数据包发送到企业内网。图中画出了PC3访问PC2数据包在Internet中的封装和在内网的封装示意图,这里省去了数据包加密和完整性的封装。

远程访问V P N使用的协议有L2TP、PPTP。L2TP是IETF标准协议,意味着各种设备厂商的设备之间用L2TP一般不会有问题;而PPTP是微软出的,有些非微软的设备不一定支持。

image

将AR1配置成V P N服务器,需要完成以下配置。

1. 创建V P N拨号账号和密码。

2. 为V P N客户端创建一个地址池。

3. 配置虚拟接口模板。

4. 启用L2TP协议支持,创建L2TP组。

在AR1上的配置。

创建V P N拨号账号和密码。

[AR1]aaa

[AR1-aaa]local-user hanligang password cipher 91xueit

[AR1-aaa]local-user hanligang service-type ppp

[AR1-aaa]quit

为V P N客户端创建一个地址池。

[AR1]ip pool remotePool

[AR1-ip-pool-remotePool]network 192.168.1.0 mask 24

[AR1-ip-pool-remotePool]gateway-list 192.168.1.1

[AR1-ip-pool-remotePool]quit

配置虚拟接口模板。

[AR1]interface Virtual-Template 1

[AR1-Virtual-Template1]ip address 192.168.1.1 24 --设置接口地址

[AR1-Virtual-Template1]ppp authentication-mode pap --PPP身份验证模式

[AR1-Virtual-Template1]remote address pool remotePool --指定给远程计算机分配地址的地址池

[AR1-Virtual-Template1]quit

启用L2TP协议支持,创建L2TP组。

[AR1]l2tp enable --启用L2TP

[AR1]l2tp-group 1

[AR1-l2tp1]tunnel authentication --启用隧道身份验证

[AR1-l2tp1]tunnel password simple huawei --指定隧道身份验证秘钥

[AR1-l2tp1]allow l2tp virtual-template 1 --虚拟接口模板允许使用L2TP协议

[AR1-l2tp1]quit

在使用VMWare Workstation中的虚拟机Windows7充当图中的PC3,安装Windows7中安装华为V P N客户端软件V P NClient_V100R001C02SPC702.exe。

安装完成后,运行该软件,在出现的新建连接向导对话框,选择“通过输入参数创建连接”,点击“下一步”。

在出现的输入登录设置对话框,输入V P N服务器的地址,拨号账户和密码,点击“下一步”。

image

image

在出现的输入L2TP设置对话框,选择“启用隧道验证功能”,输入隧道验证密码,点击“下一步”。

在出现的新建连接完成对话框,输入连接的名称,点击“完成”。

image

image

V P N拨号成功后,在Windows7虚拟机,命令提示符下输入ipconfig,查看拨号建立的连接,从V P N服务器获得的IP地址。

C:\Users\win7>ipconfig

Windows IP 配置

以太网适配器 本地连接* 12: --×××拨号建立的连接。

连接特定的 DNS 后缀 . . . . . . . :

本地链接 IPv6 地址. . . . . . . . : fe80::99ea:c587:55ff:b385%23

IPv4 地址 . . . . . . . . . . . . : 192.168.1.254

子网掩码 . . . . . . . . . . . . : 255.255.255.0

默认网关. . . . . . . . . . . . . : 192.168.1.1

以太网适配器 本地连接 2:

连接特定的 DNS 后缀 . . . . . . . :

本地链接 IPv6 地址. . . . . . . . : fe80::7c8a:eb3c:50b2:4cfe%17

IPv4 地址 . . . . . . . . . . . . : 20.1.3.200

子网掩码 . . . . . . . . . . . . : 255.255.255.0

默认网关. . . . . . . . . . . . . :

建立了V P N拨号后,ping 内网PC1和PC2,测试是否能够访问企业内网。如果不能通,关闭Windows7的防火墙。



华为认证网络工程师(HCNA)-路由交换视频教程

http://edu.51cto.com/course/11268.html?qd=hlg