交换机
园区网交换机
数据中心与云计算交换机
中小网络精简型交换机
工业交换机
意图网络指挥官
无线
放装型无线接入点
墙面型无线接入点
智分无线接入点
室外无线接入点
场景化无线
无线控制器
小锐A系列
统一运维
身份管理
服务产品
运营商
政府
金融
互联网
电力能源
制造业
高教/职教
医疗卫生
交通
地产酒店文旅·连锁服务
公共安全
一、网络需求
为了不改变当前的网络拓扑环境,V1600S以桥模式串接在网络中,外网用户拨通L2TP VPN并获取到虚拟地址后,实现访问V1600S的内网资源的需求。
二、网络拓扑
路由器内网口地址:10.0.0.1/24
V1600S的桥管理IP地址是:10.0.0.254/24
内网电脑IP:10.0.0.2/24
三、配置要点
先保证在没有V1600S的情况下,用户也能正常的访问互联网,所以以下先配置出口RSR路由器
1.配置出口RSR路由器:
1)不把接V1600S接入到网络中,先配置出口RSR路由器的基本上网功能,使内网用户能访问互联网
2)配置一条去往VPN虚拟网段的回指路由(这个配置非常重要,否则即使拨通了VPN,也无法正常访问内网的资源)
3)配置端口映射:把V1600S的udp 1701端口映射出去
2.配置V1600S的基本桥模式配置,保证在没做VPN配置之前,内网用户数据能正常的穿过V1600S,到达出口路由器后能访问互联网。
1)配置桥组
5)配置访问规则,使用户数据能正常通过V1600S
(注:初始化的V1600S默认产生以下两条访问规则,序号为1的安全规则是对任何数据都是放通,不进行任何的修改,
序号为2的安全规则是对任何数据都进行阻断;访问规则的处理顺序是由上往下,从第一访问规则开始匹配,如果新增加了访问规则,记得根据实际的网络需求调整好规则之间的顺序)
本案例中,我们可以不新增访问规则,使用默认的两条访问规则就可以。
3.配置V1600S的相关L2TP配置
1)添加认证用户
2)给外网用户分配地址段
3)重载L2TP vpn 服务(每次重新修改L2TP的相关配置,都需要做一次重载,否则配置不会生效)
四、配置步骤
1.出口RSR路由器的配置
-------以下的配置保证内网用户的基本上网是基本的上网-------------
RSR路由的上网配置:配置内网的用户能够正常访问internet
以下是命令配置
interface GigabitEthernet 0/0 //内网口
ip nat inside
ip address 10.0.0.1 255.255.255.0
interface GigabitEthernet 0/1 //外网接口
ip nat outside
ip address 172.18.10.99 255.255.255.0
ip access-list extended 110 //与NAT相关的ACL
10 permit ip any any
ip nat inside source list 110 pool nat_pool overload
ip nat pool nat_pool prefix-length 24
address 172.18.10.99 172.18.10.99 match interface GigabitEthernet 0/1
-------------------------配置默认路由和静态路由----------------------------------------
ip route 0.0.0.0 0.0.0.0 172.18.10.1 //配置去往外网的默认路由
ip route 192.168.100.0 255.255.0.0 10.0.0.254 //配置一条去往VPN虚拟网段的回指路由,这个配置非常重要
-----------以下配置是对内网的V1600S的L2TP UDP 1701 端口做映射-------------------
ip nat inside source static udp 10.0.0.254 1701 172.18.10.99 1701 permit-inside
2.配置V1600S
-----------------------配置V1600S的基本桥模式配置--------------------------------------
1)配置桥组:网络管理----网桥设置
把Eth1和Eth4加入到br0,网络管理---->网络接口
2)配置访问规则:访问控制---->访问规则
初始化的V1600S默认产生以下两条安全规则:序号为1的安全规则是对任何数据都是放通,不进行任何的修改,
序号为2的安全规则是对任何数据都进行阻断。 本案例中,我们可以不新增访问规则,使用默认的两条访问规则就可以,如下图所示。
--------------------------------配置V1600S的L2TP------------------------------------------
3.配置L2TP VPN
1.添加L2TP认证用户:用户认证---->ppp用户管理
此处添加的用户名和口令,提供外网用户拨进来时使用,本案例中用户名为test ,密码:123456
2)端用户设置:l2tp---->端用户设置
虚IP地址池:分配给端用户的连续的IP地址段;此处分配的地址段为192.168.100.1~192.168.100.2
端用户认证源:使用本地PPP用户数据库
3))重载L2TP vpn 服务:l2tp vpn ----->重载L2TP VPN
五、配置验证
-----------------------------------------------------------------------------------------------------------------------------------------------
windows xp系统的设置方式
对于XP系统,要修改注册与L2TP相关的注册表项,并重启电脑才能正常使用,修改的方式如下:
Windows上L2TP是与IPSec/IKE绑定使用的,而大多数的L2TP设备没有将L2TP与IPSec/IKE绑定。可以通过修改Windows的注册表来解除此限制:
首先点击”开始”,然后选中”运行”,接着键入”regedit”进入注册表编辑器找到这个目录”HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/RasMan/Parameters”然后在这个目录下Windows 2000创建一个名称为” Prohibitipsec”的双字节值并设其值为1,在WindowsXP中,创建的项目为DWORD类型的,按F5刷新注册表,最后重启你的Windows。下图为xp的注册表操作过程:
获取到的虚拟地址是192.168.100.1
ping内网的客户端电脑
--------------------------------------------------------------------------------------------------------------------------------------
WIN7电脑设置方式如下
windows7 系统的电脑无须修改注册表就可以直接使用
在“控制面板”打开“网络和共享中心”,接下来的步骤依次如下
ping内网的客户端电脑