VPN设置：L2TP/PPTP配置攻略

学习目标

·理解L2TP和PPTP原理

·掌握VPN配置

任务引言

随着社会经济的发展，企业在各地都有驻点，如何利用公共网络实现企业的数据安全通信显得越来越重要。VPN是通过在公共网络搭建虚拟专用网络功能，来解决远距离搭建专用网络的问题。

知识引入

虚拟专用网络(Virtual Private Network，VPN)通过在公共网络上建立专用网络，进行加密通信。VPN是一种常用于连接中大型企业或团体与团体间的私人网络的通信方法。

VPN使用加密隧道协议，通过阻止截听与嗅探来提供机密性，还允许发送者进行身份验证，以阻止身份伪造，同时，通过防止信息被修改来提供消息完整性。

常用的虚拟专用网协议有L2TP、PPTP、IPSec、SSL VPN、Cisco VPN等。

工作任务——PPTP配置

【工作任务背景】

企业A员工在外地出差，需要访问总公司和分公司内部的Server1和Server2文件服务器上的共享文件，决定利用VPN实现随时随地访问公司内部服务器的目的。拓扑图如图4－11－1所示。

图4－11－1　VPN(L2TP/PPTP)配置

【工作任务分析】

PC1模拟企业出差员工客户端，Server2和Server1分别模拟总公司和分公司内部的文件服务器。远程访问VPN部署成功后，PC1可以通过VPN访问公司内部服务器。详细参数见表4－11－1和表4－11－2。

表4－11－1　网络设备信息

表4－11－2　PC信息

【任务实现】

1.根据所学知识，完成拓扑中网络设备的主机名、网络地址的设定。

2.在路由器设备上设置必要的路由，实现网络拓扑通信。

3.在Isprtr1上配置PPTP——启用AAA身份验证。

4.在Isprtr1上配置PPTP——创建地址池。

5.在Isprtr1上配置PPTP——创建虚拟模板。

6.在Isprtr1上配置PPTP——启用VPDN。

7.在客户端创建VPN连接。

①打开控制面板，单击“网络和Internet”→“网络和共享中心”，设置连接和网络，选择“连接到工作区”，单击“下一步”按钮，如图4－11－2所示。

图4－11－2　创建VPN连接(1)

②选择“使用我的Internet连接(VPN)”，如图4－11－3所示。

图4－11－3　创建VPN连接(2)

③由于测试环境没有Internet访问，此处选择“我将稍后设置Internet连接”，如图4－11－4所示。

④设置连接参数，在“Internet地址”栏处输入VPN服务器地址“100.0.1.1”，目标名称自定义。单击“创建”按钮，如图4－11－5所示。

图4－11－4　创建VPN连接(3)

图4－11－5　创建VPN连接(4)

⑤创建好后，打开“网络连接”面板，找到刚才创建好的VPN拨号器，右击，查看属性设置，如图4－11－6所示。

图4－11－6　创建VPN连接(5)

⑥移动到“安全”选项卡，选择使用“Microsoft CHAP Version 2(MS－CHAP v2)”验证协议，单击“确定”按钮，如图4－11－7所示。

图4－11－7　创建VPN连接(6)

⑦客户端VPN拨号器设置成功后，开始进行连接测试。单击“连接”按钮，弹出如图4－11－8所示对话框，提示输入用户名和密码，此时输入用户名“vpnuser1”，密码“P＠ssw0rd123”，单击“确定”按钮，开始连接。

⑧连接成功，如图4－11－9所示。使用“ipconfig”指令查看VPN地址获取情况；使用“ping”工具测试网络连通性，如图4－11－10所示。

图4－11－8　PPTP连接测试

图4－11－9　PPTP连接成功

图4－11－10　PPTP连接功能测试

⑨在Isprtr1上使用指令检查VPN会话状态。

(www.xing528.com)

工作任务——L2TP配置

【工作任务背景】

L2TP/IPSec使用AES或者3DES加密(256位密钥)，用IPSec协商加密方式，并且有电脑/用户双重认证机制，而PPTP只支持MPPE(最多128位密钥)，只用PPP协商加密方式，并只有用户一层认证机制，相对来说L2TP/IPSec更安全。综合考虑，企业决定为远程工作站升级VPN网络，部署L2TP/IPSec VPN。拓扑如图4－11－1所示。

【工作任务分析】

PC1模拟企业出差员工客户端，Server2和Server1分别模拟总公司和分公司内部的文件服务器。远程访问VPN部署成功后，PC1可以通过L2TP/IPSec VPN访问公司内部服务器。详细参数见表4－11－1和表4－11－2。

【任务实现】

1.根据所学知识，完成拓扑中网络设备的主机名、网络地址的设定。

2.在路由器设备上设置必要的路由，实现网络拓扑通信。

3.在Isprtr3上配置L2TP/IPSec——启用AAA身份验证。

4.在Isprtr3上配置L2TP/IPSec——创建地址池。

5.在Isprtr3上配置L2TP/IPSec——创建虚拟模板。

6.在Isprtr3上配置L2TP/IPSec——启用VPDN。

7.创建IPSec规则。

8.启用接口。

9.在客户端创建VPN连接。

①打开控制面板，单击“网络和Internet”→“网络和共享中心”，设置连接和网络，选择“连接到工作区”，单击“下一步”按钮，如图4－11－11所示。

图4－11－11　创建VPN连接(1)

②选择“使用我的Internet连接(VPN)，如图4－11－12所示。

图4－11－12　创建VPN连接(2)

③由于测试环境没有Internet访问，此处选择“我将稍后设置Internet连接”，如图4－11－13所示。

图4－11－13　创建VPN连接(3)

④设置连接参数，在“Internet地址”栏处输入VPN服务器地址“100.0.2.1”，目标名称自定义。单击“创建”按钮，如图4－11－14所示。

图4－11－14　创建VPN连接(4)

⑤创建好后，打开“网络连接”面板，找到刚才创建好的VPN拨号器，右击，查看属性设置。

⑥移动到“安全”选项卡，VPN类型选择“使用IPSec的第2层隧道协议(L2TP/IPSec)”，验证协议选择“Microsoft CHAP Version 2(MS－CHAP v2)”，单击“确定”按钮，如图4－11－15所示。

⑦单击“高级设置”按钮，选择使用预共享的密钥作为IPSec的身份验证，此处使用“P＠ssword123”作为预共享密钥，如图4－11－16所示。

⑧客户端VPN拨号器设置成功后，开始进行连接测试。单击“连接”按钮后，弹出如图4－11－17所示窗口，提示输入用户名和密码，此时输入用户名“vpnuser2”，密码“P＠ssw0rd123”，单击“确定”按钮，开始连接。

图4－11－15　创建VPN连接(5)

图4－11－16　创建VPN连接(6)

图4－11－17　L2TP/IPSec连接测试

⑨如图4－11－18所示，使用“ipconfig”指令查看VPN地址获取情况，使用“ping”工具测试网络连通性。

图4－11－18　L2TP/IPSec连接成功

10.在Isprtr3上检查VPN会话状态。

11.在Isprtr3上检查IPSec加/解密情况。

问题探究

1.简述VPN(L2TP/PPTP)的应用。

2.简述L2TP与PPTP的区别。

知识拓展

Point to Point Tunneling Protocol(PPTP)是用于在公共网络之间创建VPN隧道的网络协议。这些VPN隧道从一端加密到另一端，并允许在它们之间安全地传输数据。PPTP通常在服务器和客户端之间实现，服务器属于企业网络，而客户端是远程工作站。Cisco路由器可部署为PPTP服务器，或者称为虚拟专用拨号网络(VPDN)服务器。自IOS版本12.1(5)T以来，Cisco路由器已支持PPTP。

PPTP使用UDP上的PPP(端口1723)来建立数据隧道。

第2层隧道协议(L2TP)是IETF基于L2F(Cisco的第2层转发协议)开发的PPTP的后续版本，是一种工业标准Internet隧道协议，其可以为跨越面向数据包的媒体发送点到点协议(PPP)框架提供封装。PPTP和L2TP都使用PPP协议对数据进行封装，然后添加附加包头用于数据在互联网络上的传输。L2TP现在使用的类型多数为L2TP/IPSec，仅在验证通过后，数据的通信才使用IPSec的3DES或者AES进行加密会话。L2TP使用UDP上的PPP(端口1701)来建立数据隧道。

项目拓展

根据所学知识，完成在ASA防火墙上部署L2TP/IPSec。