配置Cisco 3660系列路由器为VPN服务器的方法

下面用Cisco 3660系列路由器配置为远程访问服务器，允许Internet用户通过L2TP协议拨入到企业内网。本实验需要Dynamips软件搭建的网络环境，网络拓扑如图11-24所示，路由器RB模拟企业内网的一个计算机，在路由器RA上配置远程访问服务器，远程用户使用虚拟机来模拟。

▲图11-24 远程访问VPN实验环境

按照图11-23所示配置路由器RA和路由器RB的 IP地址，以及远程计算机的IP地址。在路由器RB上添加默认路由。

RB（cofnig）#ip route 0.0.0.0 0.0.0.0 10.0.0.1

1. 在RA上配置L2TP VPN

（1）如图11-25所示，在LNS上配置远程用户拨入的用户名和对应的密码。

▲图11-25 配置远程拨入用户

（2）如图11-26所示，启用VPDN功能（VPDN默认是关闭的）。

▲图11-26 启用VPDN功能

（3）vpdn-group onest-l2tp：建立一个虚拟拨号组，并命名为onest-l2tp。
accept-dialin：设置允许客户端拨入。
protocol l2tp：启用l2TP隧道协议。
virtual-template 1：建立一个虚拟接口 1（一个虚拟拨号组中最多可以建立25个虚拟接口）。

配置过程如图11-27所示。

▲图11-27 建立和配置虚拟拨号组

（4）关闭l2TP隧道的认证功能（也可以开启认证功能，这时候，需要搭建一台CA，然后申请证书，并且客户端也需要申请证书才能连上RA，这样会更安全）。配置过程如图11-28所示。

▲图11-28 关闭L2TP隧道认证功能

（5）建立VPN 客户端拨入分配的IP地址的地址池，并命名为onest-l2tp-user。也可以通过企业内部DHCP服务器申请，如图11-29所示。

▲图11-29 指定分配各远程计算机的地址池

（6）interface virtual-Template 1：进入虚拟拨号组onest-myl2tp的虚拟接口1。

（7）ip unnumbered fastEthernet 1/0：借用出口端口fastEthernet 1/0的接口来转发l2TP隧道协议传输的流量。

（8）peer default ip address pool onest-l2tp-user：设置VPN Client拨号动态获得IP地址对应的地址池。

（9）设置客户端拨入LNS服务器需要的认证方式为chap ms-chap。配置过程如图11-30所示。

▲图11-30 配置虚拟拨号组1 http://www.luyouqiwang.com/15467 

（10）如图11-31所示，配置完成之后，在LNS上通过show ip interface brief查看虚拟拨号接口Virtual-Template1的IP地址，可以看出是借用了FastEthernet1/0的IP地址。

▲图11-31 查看配置的Virtual-Template接口

2. 配置VPN客户端

（1）如图11-32所示，确保Internet上的计算机能够ping通RA路由器的Fa1/0接口。

▲图11-32 测试到远程访问服务器RA的连通性

（2）如图11-33所示，在计算机中打开“网络连接”窗口，单击“创建一个新的连接”，建立VPN拨号连接。

▲图11-33 创建VPN拨号连接

（3）在出现的“欢迎使用新建连接向导”对话框中，单击“下一步”按钮。

（4）如图11-34所示，在出现的“网络连接类型”设置界面中，选中“连接到我的工作场所的网路”单选按钮，单击“下一步”按钮。

▲图11-34 选择网络连接类型

（5）如图11-35所示，在出现的“网络连接”设置界面中，选中“虚拟专用网络连接”单选按钮，单击“下一步”按钮。

▲图11-35 选择网络连接

（6）如图11-36所示，在出现的“连接名”设置界面中，输入名称，单击“下一步”按钮。

▲图11-36 指定连接名称

（7）如图11-37所示，在出现的“VPN服务器选择”设置界面中，输入远程访问服务器的地址。在这里就是路由器RB连接Internet的IP地址，单击“下一步”按钮。

▲图11-37 输入远程访问服务器的IP地址

（8）如图11-38所示，在出现的“正在完成新建连接向导”设置界面中，选中“在我的桌面上添加一个到此连接的快捷方式”复选框，单击“完成”按钮。

▲图11-38 完成VPN拨号创建

（9）如图11-39所示，右击刚才创建的VPN拨号连接，在弹出的快捷菜单中选择“属性”命令。

（10）如图11-40所示，在出现的属性对话框的“安全”选项卡中，选中“高级”单选按钮。单击“设置”按钮。

▲图11-39 更改拨号连接的属性 ▲图11-40 更改安全设置

（11）如图11-41所示，在出现的“高级安全设置”对话框中，选中“允许这些协议”单选按钮，并选中“质询握手身份验证协议”复选框和Microsoft CHAP复选框，取消选中“Microsoft CHAP版本2”复选框，单击“确定”按钮。

▲图11-41 更改高级安全设置

（12）如图11-42所示，在“网络”选项卡中的“VPN类型”下拉列表框中选择L2TP IPSec VPN选项，单击“确定”按钮。完成配置。

▲图11-42 更改VPN类型

（13）如图11-43所示，设置完成之后，输入用户名和密码（在RA服务器上设置的用户名和密码）连接RA服务器。

（14）如图11-44所示，连接过程中会出现需要证书的错误，这是因为Windows 2000/XP/2003的L2TP默认启动证书方式的IPSec，所以必须向Windows添加 ProbibitIpSec 注册表值，以防止创建用于 L2TP/IPSec 通信的自动筛选器。

ProbibitIpSec 注册表值设置为 1 时，基于 Windows 2000 的计算机不会创建使用 CA 身份验证的自动筛选器，而是检查本地 IPSec 策略或 Active Directory IPSec 策略。

▲图11-43 输入用户名和密码 ▲图11-44 需要证书

3. 修改VPN客户端的注册表

要向Windows添加 ProbibitIpSec 注册表值，请按照下列步骤操作。

（1）选择“开始”→“运行”命令，在弹出的“运行”对话框中输入regedit，然后单击“确定”按钮。

（2）如图11-45所示，找到下面的注册表子项，然后单击它：

HKEY_LOCAL_MACHINESystemCurrentControlSetServicesRasmanParameters

▲图11-45 创建注册表项

（3）在该项中新建一个“DWORD值”。

（4）将DWORD值重命名为ProbibitTpSec。

（5）如图11-46所示，双击ProbibitTpSec，将其值更改为1。

（6）退出注册表编辑器，然后重新启动计算机。

▲图11-46 更改键值

4. 拨号之后访问内网

（1）如图11-47所示，拨号之后查看IP配置，可以看到VPN拨号后远程访问服务器分配的内网地址172.16.0.1。

▲图11-47 查看拨号后建立的连接

（2）如图11-48所示，访问内网路由器RB的地址

▲图11-48 测试到内网的访问

（3）断开VPN拨号，你将不能访问内网的计算机。