還有一種V P N是遠程訪問V P N,這種V P N用於在外出差的員工通過Internet訪問企業內網。將企業路由器配置成V P N服務器,在外出差的員工將電腦接入Internet就可以建立到企業內網的V P N撥號連接,撥通之後就可以像在公司內網一樣訪問網絡資源。
如圖所示,AR1是企業的路由器,將其配置爲V P N服務器,PC3建立到AR1的V P N撥號連接,V P N服務器分配給PC3一個192.168.1.4內網地址,注意:和企業內網不在一個網段。PC3訪問PC2時,網絡層先使用內網地址進行封裝,我們稱其爲內網數據包,該數據包不能在Internet中傳輸,又把內網數據包當做數據,使用×××服務器的公網地址和PC3的公網地址再次封裝爲公網數據包,公網數據包就能通過Internet到達V P N服務器了。V P N服務器再將公網封裝的部分去掉,將內網數據包發送到企業內網。圖中畫出了PC3訪問PC2數據包在Internet中的封裝和在內網的封裝示意圖,這裏省去了數據包加密和完整性的封裝。
遠程訪問V P N使用的協議有L2TP、PPTP。L2TP是IETF標準協議,意味着各種設備廠商的設備之間用L2TP一般不會有問題;而PPTP是微軟出的,有些非微軟的設備不一定支持。
將AR1配置成V P N服務器,需要完成以下配置。
1. 創建V P N撥號賬號和密碼。
2. 爲V P N客戶端創建一個地址池。
3. 配置虛擬接口模板。
4. 啓用L2TP協議支持,創建L2TP組。
在AR1上的配置。
創建V P N撥號賬號和密碼。
[AR1]aaa
[AR1-aaa]local-user hanligang password cipher 91xueit
[AR1-aaa]local-user hanligang service-type ppp
[AR1-aaa]quit
爲V P N客戶端創建一個地址池。
[AR1]ip pool remotePool
[AR1-ip-pool-remotePool]network 192.168.1.0 mask 24
[AR1-ip-pool-remotePool]gateway-list 192.168.1.1
[AR1-ip-pool-remotePool]quit
配置虛擬接口模板。
[AR1]interface Virtual-Template 1
[AR1-Virtual-Template1]ip address 192.168.1.1 24 --設置接口地址
[AR1-Virtual-Template1]ppp authentication-mode pap --PPP身份驗證模式
[AR1-Virtual-Template1]remote address pool remotePool --指定給遠程計算機分配地址的地址池
[AR1-Virtual-Template1]quit
啓用L2TP協議支持,創建L2TP組。
[AR1]l2tp enable --啓用L2TP
[AR1]l2tp-group 1
[AR1-l2tp1]tunnel authentication --啓用隧道身份驗證
[AR1-l2tp1]tunnel password simple huawei --指定隧道身份驗證祕鑰
[AR1-l2tp1]allow l2tp virtual-template 1 --虛擬接口模板允許使用L2TP協議
[AR1-l2tp1]quit
在使用VMWare Workstation中的虛擬機Windows7充當圖中的PC3,安裝Windows7中安裝華爲V P N客戶端軟件V P NClient_V100R001C02SPC702.exe。
安裝完成後,運行該軟件,在出現的新建連接嚮導對話框,選擇“通過輸入參數創建連接”,點擊“下一步”。
在出現的輸入登錄設置對話框,輸入V P N服務器的地址,撥號賬戶和密碼,點擊“下一步”。
在出現的輸入L2TP設置對話框,選擇“啓用隧道驗證功能”,輸入隧道驗證密碼,點擊“下一步”。
在出現的新建連接完成對話框,輸入連接的名稱,點擊“完成”。
V P N撥號成功後,在Windows7虛擬機,命令提示符下輸入ipconfig,查看撥號建立的連接,從V P N服務器獲得的IP地址。
C:\Users\win7>ipconfig
Windows IP 配置
以太網適配器 本地連接* 12: --×××撥號建立的連接。
連接特定的 DNS 後綴 . . . . . . . :
本地鏈接 IPv6 地址. . . . . . . . : fe80::99ea:c587:55ff:b385%23
IPv4 地址 . . . . . . . . . . . . : 192.168.1.254
子網掩碼 . . . . . . . . . . . . : 255.255.255.0
默認網關. . . . . . . . . . . . . : 192.168.1.1
以太網適配器 本地連接 2:
連接特定的 DNS 後綴 . . . . . . . :
本地鏈接 IPv6 地址. . . . . . . . : fe80::7c8a:eb3c:50b2:4cfe%17
IPv4 地址 . . . . . . . . . . . . : 20.1.3.200
子網掩碼 . . . . . . . . . . . . : 255.255.255.0
默認網關. . . . . . . . . . . . . :
建立了V P N撥號後,ping 內網PC1和PC2,測試是否能夠訪問企業內網。如果不能通,關閉Windows7的防火牆。