Cisco-Router-1921-PPTP-（client）***之配置終結篇

先聊需求。

近期收到一個客戶，不想使用撥號***或者等開源open***之類的***技術，就想着通過一臺設備連到國際線路上，然後直接把解析修改爲全網解析實現***需求。

但目前公司網絡已經穩定運行，爲避免調試中導致辦公網絡異常，使用一臺新設備來調試***特性。但內網網段完全獨立，爲接入生產網絡。（此處省略幾千字）

中間件：思科-1921帶license

香港有臺windows做的PPTP服務器

好了，拓撲就一臺路由一臺服務器，就不畫了。路由器不是撥號服務器，而且撥號客戶端這個一定要弄明白。因爲目前網絡上有很多服務器端的配置，而且很多都不全。客戶端的配置也是缺斤少倆的。

直接上配置文件：

第一步：把思科的隱藏屬性開起來。

    

R1(config)#service internal   #開啓隱藏功能，其中包含了作爲PPTP客戶端的功能。

R1(config)#vpdn enable

第二步：配置VPDN組，在開啓service internal 功能後，vpdn-group XX下的request-dailin裏就可以使用pptp協議

R1(config)#vpdn-group qujun(名字而已)

  R1(config-vpdn)#request-dialin

  R1(config-vpdn)#protocol pptp

  R1(config-vpdn)#rotary-group 2

  R1(config-vpdn)#initiate-to ip X.X.X.X #PPTP服務器IP地址

第三步：配置撥號接口，此步非常重要，一定不能漏配置！！！切記

R1(config)#interface Dialer2

 mtu 1450

 ip address negotiated      【自動協商獲取】

 ip nat outside           【有nat的存在，後面需要定義轉換興趣流】

 ip virtual-reassembly in     

 encapsulation ppp

 dialer in-band

 dialer idle-timeout 0

 dialer string 123

 dialer vpdn

 dialer-group 2

 no peer neighbor-route

 ppp pfc local request

 ppp encrypt mppe auto

 ppp authentication ms-chap-v2 callin     【使用ms-chap-v2驗證身份】

 ppp eap refuse

 ppp chap hostname qujun       【PPTP服務器建立的***賬戶】

 ppp chap password 0 qujunwozui6  【密碼】

 no cdp enable

第四步：配置路由表，此步因人而異，因爲一般在現有的辦公網絡，默認路由一般扔運營商，所以如果遇到這種情況，在原有路由器上新建，或者新增一臺物理設備去做***，此刻就需要策略路由結合使用，此文章暫時不做贅述，只做最簡單的部署介紹。

R1(config)#IP route 0.0.0.0 0.0.0.0 dial 2 爲了方便就直接把所有流量默認扔到撥號接口上

R1(config)#ip route 103.20.x.x 255.255.255.255 210.22.99.2XX   【起倆條32位主機獨立管理】

第五步：開啓一個參數，默認說明未知

R1(config)#dialer-list 2 protocol ip permit

第六步：因個人習慣，不喜歡接入手動配地址，此步配DHCP，同時也帶各位複習下cisco的dhcp的一些配置

R1(config)#ip dhcp pool qujun 【名字而已】

R1(dhcp-config)#network 10.198.96.0 255.255.255.0 【dhcp網段】

R1(dhcp-config)#default-router 10.198.96.1 【dhcp默認網關】

R1(dhcp-config)#dns-server 8.8.8.8 【直接全網解析】

R1(dhcp-config)#lease 364 【offer時間】

R1(config)#ip dhcp excluded-address 10.198.96.250 10.198.96.254 【該隔離的還是要隔離下】

第七步：如果配置過NAT，需要修改先前配置的NAT ACL列表，使得到目的子網的路徑通過dialer 2接口的NAT出去。

R1(config)#ip access-list extended lan-pat-hk

R1(config-ext-nacl)# permit ip 10.198.96.0 0.0.0.255 any

第八步：掛載nat接口，因爲要使用nat出去，我們前面在撥號接口做了ip nat outside，即掛載點就在dialer 口上。

R1(config)#ip nat inside source lan-pat-hk interface Dialer2 overload

第九步：配置完成後，dialer 2接口狀態是UP，但沒有正常後去地址，別慌，此時是因爲沒有撥號的動作，只要發送一個到目的子網的數據就會發起撥號，最簡單的就是ping一下即可。