上一篇文章写的是分公司固定办公场所的PC机与总部服务器的VPDN连接,采用的是L2TP方式。看的人还挺多的,今天来个高阶一点的,现在的网工你得应付各种各样的企业网络需求,毕竟现在好多企业都通过手机办公了,今天KB小网管给大家分享一个在华为AR路由器上实现移动出差人员通过手机发起VPN连接建立L2TP隧道与总部服务器数据交换的配置案例。
企业出差员工的地理位置经常发生变动,并且随时需要和总部通信和访问总部内网资源,直接通过Internet网络虽然可以访问总部网关,但总部网关无法对接入的用户进行辨别和管理,这时将总部网关部署为LNS,出差员工通过Android手机发起L2TP隧道连接,则可以在出差员工和总部网关之间建立虚拟的点到点连接。
(用VSS做的图会比eNSP模拟器做的图再截图清晰许多,更美观许多)
配置思路
在Phone与总部上配置L2TP方式可以实现上述需求。可采用如下思路配置:
1. 在Router上配置L2TP,实现与Phone对接。
2. 在Phone上配置L2TP,实现与Router对接。Phone的配置参数需要与Router的参数对应。
配置文件
Enter system view, return user view with Ctrl+Z.
[Huawei]sysn Router
[Router]l2tp enable //使能L2TP功能
[Router]acl number 2001
[Router-acl-basic-2001]rule 5 permit source 192.168.1.0 0.0.0.255 //配置ACL,进行NAT转换使用,将L2TP分配的地址进行NAT转换
[Router-acl-basic-2001]q
[Router]ip pool lns //创建IP地址池lns,为接入用户分配IP地址
Info: It's successful to create an IP address pool.
[Router-ip-pool-ForAndroidPhone]gateway-list 192.168.1.1
[Router-ip-pool-ForAndroidPhone]network 192.168.1.0 mask 255.255.255.0
[Router-ip-pool-ForAndroidPhone]q
[Router]aaa //配置L2TP拨入的用户名密码
[Router-aaa]authentication-scheme ForAndroidPhone
Info: Create a new authentication scheme.
[Router-aaa-authen-ForAndroidPhone]domain KBxiaowangguan.com
Info: Success to create a new domain.
[Router-aaa-domain-kbxiaowangguan.com]authentication-scheme Test
Error: The authentication scheme does not exist. //应用失败,必须与AAA视图下身份验证方案名称一致
[Router-aaa-domain-kbxiaowangguan.com]authentication-scheme ForAndroidPhone
[Router-aaa-domain-kbxiaowangguan.com]q
[Router-aaa]local-user vpdnuser password cipher woyaoyuanchuang //添加VPN拨入使用的用户名和密码
Info: Add a new user.
[Router-aaa]local-user vpdnuser privilege level 0
[Router-aaa]local-user vpdnuser service-type ppp
[Router-aaa]q
[Router]int g0/0/1
[Router-GigabitEthernet0/0/1]ip address 200.1.1.5 24 //集团总部公网IP
[Router-GigabitEthernet0/0/1]nat outbound 2001 //配置NAT功能,使得Android用户实现公网访问功能
[Router-GigabitEthernet0/0/1]q
[Router]int Virtual-Template 1 //创建VT虚拟接口模板VT1,配置拨号参数
Sep 14 2018 22:40:07-08:00 Router %%01IFPDT/4/IF_STATE(l)[0]:Interface Virtual-Template1 has turned into UP state.
[Router-Virtual-Template1]ppp authentication-mode chap domain KBxiaowangguan.com //配置认证方式时必须携带域名
[Router-Virtual-Template1]remote address pool lns//引入IP地址池,PPP认证通过后,为用户分配IP地址
[Router-Virtual-Template1]ppp ipcp dns 10.1.1.8 //分配DNS网关,以便Android用户使用域名访问外网资源
[Router-Virtual-Template1]ip address 192.168.1.1 24
[Router-Virtual-Template1]q
[Router]l2tp-group 1 //创建L2TP组,配置L2TP连接参数
[Router-l2tp1]undo tunnel authentication //手机拨号拨入,使用不认证的方式
[Router-l2tp1]allow l2tp virtual-template 1
[Router-l2tp1]q
[Router]ip route-static 0.0.0.0 0.0.0.0 200.1.1.1 //在Router上配置接口的IP地址和到对端的静态路由,保证两端路由可达
[Router]q
移动办公人员Android手机配置
1、手机(华为P系列手机)主页面——>设置——>更多
2、点击——>VPN——>添加VPN网络
3、如图输入相应选项,密码为Router上配置的vpdnuser的密码woyaoyuanchuang
测试结果
在Android手机上启用VPN连接,可以看到VPN连接成功。此时,在Router上执行命令display l2tp tunnel,可以看到L2TP隧道建立成功,且remote address为223.1.1.8。
总结:以上为今天KB小网管分享的自建VPDN服务器,让移动办公人员通过Android手机建立L2TP隧道连接集团总部的案例分享。觉得写得不错帮忙转发,关注KB小网管,每日一篇IT实用技能分享。有什么疑问,欢迎在评论区留言。
閱讀更多 KB小網管 的文章
