第11章 广域网 V1.0_P.pptVIP

PPTP和L2TP都使用PPP协议对数据进行封装，然后添加附加包头用于数据在互联网络上的传输，尽管两个协议非常相似，但是仍存在以下几方面的不同： PPTP要求互联网络为IP网络。L2TP只要求隧道媒介提供面向数据包的点对点的连接。L2TP可以在IP（使用UDP），帧中继永久虚拟电路（PVCs)，X.25虚拟电路（VCs）或ATM VCs网络上使用。 PPTP只能在两端点间建立单一隧道。L2TP支持在两端点间使用多隧道。使用L2TP，用户可以针对不同的服务质量创建不同的隧道。 L2TP可以提供包头压缩。当压缩包头时，系统开销（overhead）占用4个字节，而PPTP协议下要占用6个字节。 L2TP可以提供隧道验证，而PPTP则不支持隧道验证。但是当L2TP或PPTP与IPSEC共同使用时，可以由IPSEC提供隧道验证，不需要在第2层协议上验证隧道 PPTP使用TCP的1723端口，L2TP使用UDP的1701端口 下面就以Cisco 3660系列路由器配置为远程访问服务器，允许Internet用户通过L2TP协议拨入到企业内网。 本实验需要Dynamips软件搭建的网络环境，网络拓扑如图所示，RB路由器模拟企业内网的一个计算机，在RA路由器上配置远程访问服务器，远程用户使用虚拟机来模拟。 具体步骤请参照课本 配置VPN客户端步骤： 1、如图所示，确保Internet上计算机能够ping通RA路由器的Fa1/0接口。 2、如左图所示，在计算机打开网络连接，点击“创建一个新的连接”，建立VPN拨号连接。 3、在出现的欢迎使用新建连接向导对话框，点击“下一步”。 4、如右图所示，在出现的网络连接类型对话框，选择“连接到我的工作场所”，点击“下一步”。 5、如左图所示，在出现的网络连接对话框，选择“虚拟专用网络连接”，点击“下一步”。 6、如右图所示，在出现的连接名对话框，输入名称，点击“下一步”。 7、如左图所示，在出现的VPN服务器选择对话框，输入远程访问服务器的地址，在这里就是RB路由器连接Internet的IP地址，点击“下一步”。 8、如右图所示，在出现的正在完成新建连接向导对话框，选中“在我的桌面上添加一个到此连接的快捷方式”，点击“完成”。 9、如左图所示，右击刚才创建的VPN拨号连接，点击“属性”。 10、如右图所示，在出现的属性对话框，在安全标签下，选择“高级”。点击“设置”。 11、如左图所示，在出现的高级安全设置对话框，选择“允许这些协议”，选中“质询握手身份验证协议”和“Microsoft CHAP”，取消“Microsoft CHAP版本2”，点击“确定”。 12、如右图所示，在网络标签下，VPN类型选择“L2TP IPSec VPN”，点击“确定”。完成配置。 13、如左图所示，设置完成之后，输入用户名和密码连接RA服务器。 14、如右图所示，连接过程中会出现需要证书的错误，这是因为 Windows 2000/xp/2003的L2TP缺省启动证书方式的IPSEC，因此必须向Windows添加ProhibitIpSec注册表值，以防止创建用于L2TP/IPSec 通信的自动筛选器。 ProhibitIpSec 注册表值设置为1时，基于 Windows 2000 的计算机不会创建使用CA身份验证的自动筛选器，而是检查本地IPSec策略或 Active Directory IPSec 策略。 如图所示，图中企业内网地址为/24，RAS为Windows Server 2003服务器，连接内网和外网。现在需要配置RAS服务器为远程访问服务器，允许Internet用户能够拨入内网 在Windows Server 2003上配置远程访问服务器的步骤： 启用路由和远程访问服务器 指定分配给远程计算机的IP地址 创建用户允许远程拨入 配置远方访问服务器的步骤： 在RAS上，按着图示配置连接INTERNET和内网的IP地址。 点击“开始”?“程序”?“管理工具”?“路由和远程访问”。 如图所示，右击服务器，点击“配置路由和远程访问”。 在出现的欢迎使用路由和远程访问服务器安装向导对话框，点击“下一步”。 如图所示，在出现的配置对话框，选择“远程访问（拨号或VPN）”，点击“下一步”。 如左图所示，在出现的远程访问对话框，选中“VPN”，点击“下一步”。 如右图所示，在出现的VPN连接对话框，点中连接Internet的网卡，点击“下一步”。 如左图所示，在出现的IP地址指定对话框，选择“来自一个指定的地址范围”，点击“下一步”。 如右图所示，在出现的指定地址范围对话框，点击“新建”。 如右图所示，在出现的新地址范围对话框，输入一个地址范围，远程计算机VPN拨入将会从中选择一个地址分配给远程计算机。 如左图所