交换机
园区网交换机
数据中心与云计算交换机
中小网络精简型交换机
工业交换机
意图网络指挥官
无线
放装型无线接入点
墙面型无线接入点
智分无线接入点
室外无线接入点
场景化无线
无线控制器
小锐A系列
统一运维
身份管理
服务产品
运营商
政府
金融
互联网
电力能源
制造业
高教/职教
医疗卫生
交通
地产酒店文旅·连锁服务
公共安全
一、组网需求
客户希望出差用户可以使用VPN方式快捷拨入访问内网资源。
二、配置要点
XP系统和win7系统对L2TP vpn的功能支持情况不同:xp系统由于L2TP默认与IPSEC绑定在一起,如果要单独使用L2tp vpn ,需要修改系统注册表项,win7系统默认已可以单独使用L2TP功能,不需要修改注册表项;两种不同的PC客户端的VPN拨号连接的设置方法在本案例的效果验证里会详细说明。
配置步骤简介:
1、启用并配置vpn服务器端。
2、配置vpn账号。
3、VPN网络位置要选择为总部,分支类型必须选择分支机构。
说明:
① VPN服务器隧道IP与客户端地址池IP范围必须是同个网段的,客户端PC实际的网卡IP不能与这VPN服务器隧道IP同个网段。
② 若可以拨通但是无发ping通服务器地址,需要在pc上添加去往服务器网段的路由。
③ 若可以ping通但无法访问,请注意被访问的PC上是否有开防火墙,若有打开防火墙,将其关闭再测试。
④ 配置vpn后设备会自动下发aaa配置 (命令行登录设备的时候会提示输入用户名和密码,所以要重新配置telnet的密码)
进入菜单 高级选项 > 系统设置,选择修改telnet密码:
系统会自动下发用户名为admin 登陆密码为所设置新密码的aaa用户设置,对应命令如下:
username admin password test123
三、配置步骤
1、开始VPN配置
点击“VPN配置”---“开始VPN配置”。
点击开始配置,选择“总部”
点击下一步
选择分支机构,继续点击下一步
选择vpn类型为L2TP
点击下一步
配置VPN服务器隧道ip和地址池ip
本机隧道IP:默认为客户端地址范围的第一个地址,可以不用修改
客户端地址范围: 为客户端拨入时获取的用于与内网通信的虚拟IP地址,注意不能是网络中已经存在的网段,否则会冲突
注意DNS填写,不填写DNS 电脑操作系统为win7的用户拨入后会出现无法访问网页的问题;
如果拨入VPN后直接访问内网服务器的IP地址,而不是服务器对应的网址(即域名),则不需要填写DNS地址;
继续点击下一步:添加vpn拨入的用户名和密码。
单击“下一步”,点完成即可完成配置。
四、配置测试
查看vpn拓扑,是否用用户拨入。
查看pc拨入成功后获取的虚拟地址
在pc上添加去往服务器网段的路由(192.168.10.101是pc获取的虚拟地址)
注意:若可以ping通但无法访问,请注意被访问的PC上是否有开防火墙,若有打开防火墙,将其关闭再测试。
五、客户端设置
windows XP系统的设置方式
对于XP系统,要修改注册与L2TP相关的注册表项,并重启电脑才能正常使用,修改的方式如下:
Windows上L2TP是与IPSec/IKE绑定使用的,而大多数的L2TP设备没有将L2TP与IPSec/IKE绑定。可以通过修改Windows的注册表来解除此限制:
首先点击”开始”,然后选中”运行”,接着键入”regedit”进入注册表编辑器找到这个目录”HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/RasMan/Parameters”然后在这个目录下Windows 2000创建一个名称为” Prohibitipsec”的双字节值并设其值为1,在WindowsXP中,创建的项目为 DWORD类型的,按F5刷新注册表,最后重启你的Windows。下图为xp的注册表操作过程:
最后输入用户名密码:
Windows7的系统电脑无需修改注册表: