IR615S WDS配置

InRouterwh 发表了文章 • 0 个评论 • 24 次浏览 • 2017-12-05 14:16 • 来自相关话题

针对IR600S设备WIFI功能无线桥接应用配置文档
针对IR600S设备WIFI功能无线桥接应用配置文档

IR900 WLAN无线中继配置

InRouterwh 发表了文章 • 0 个评论 • 21 次浏览 • 2017-12-05 14:09 • 来自相关话题

针对IR900设备WIFI功能无线桥接应用配置文档
针对IR900设备WIFI功能无线桥接应用配置文档

ir900专网双卡备份方法

InRouter奇兵 发表了文章 • 0 个评论 • 31 次浏览 • 2017-11-29 10:20 • 来自相关话题

第一:打开路由器管理-网络-拨号接口-添加拨号参数集





第二、给对应的卡选择对应的拨号参数:





第三、启用双卡并配置好对应的参数:





四、设置探测服务器:





说明:

ICMP探测参数: 探测时间30s 超时时间3s 探测次数3次     //第1次探测是拨号成功30s,若不成功3s后探测第2次,36s后探测不成功重启拨号模块。
最小连接时间 60s  //拨号连接成功的时间小于60秒重新拨号,该参数大于ICMP探测时间
最大拨号次数 3     //若每次拨号连接时间小于60s,拨号次数加1,3次后切备用SIM卡,若拨号连接世界大于60s 最小连接次数清零。
信号阀值 15
信号探测间隔 5秒
信号重新探测次数 3 //当信号低于15时,每隔5s探测一次型号,若3次探测都低于15选择备用SIM卡。
备卡超时时间 3600s //备用卡拨号成功后1小时,再次探测主卡是否可以拨号成功。
  查看全部
第一:打开路由器管理-网络-拨号接口-添加拨号参数集

1.png

第二、给对应的卡选择对应的拨号参数:

2.png

第三、启用双卡并配置好对应的参数:

3.png

四、设置探测服务器:

4.png

说明:

ICMP探测参数: 探测时间30s 超时时间3s 探测次数3次     //第1次探测是拨号成功30s,若不成功3s后探测第2次,36s后探测不成功重启拨号模块。
最小连接时间 60s  //拨号连接成功的时间小于60秒重新拨号,该参数大于ICMP探测时间
最大拨号次数 3     //若每次拨号连接时间小于60s,拨号次数加1,3次后切备用SIM卡,若拨号连接世界大于60s 最小连接次数清零。
信号阀值 15
信号探测间隔 5秒
信号重新探测次数 3 //当信号低于15时,每隔5s探测一次型号,若3次探测都低于15选择备用SIM卡。
备卡超时时间 3600s //备用卡拨号成功后1小时,再次探测主卡是否可以拨号成功。
 

工业和信息化部发布5G系统在3000-5000MHz频段内的频率使用规划

资讯Admin 发表了文章 • 0 个评论 • 22 次浏览 • 2017-11-14 22:23 • 来自相关话题

近日,我国第五代移动通信系统(简称“5G系统”)频率使用规划取得重大进展。为适应和促进5G系统在我国的应用和发展,根据《中华人民共和国无线电频率划分规定》,结合我国频率使用的实际情况,工业和信息化部发布了5G系统在3000-5000MHz频段(中频段)内的频率使用规划,我国成为国际上率先发布5G系统在中频段内频率使用规划的国家。

规划明确了3300-3400MHz(原则上限室内使用)、3400-3600MHz和4800-5000MHz频段作为5G系统的工作频段;规定5G系统使用上述工作频段,不得对同频段或邻频段内依法开展的射电天文业务及其他无线电业务产生有害干扰;同时规定,自发布之日起,不再受理和审批新申请3400-4200MHz和4800-5000MHz频段内的地面固定业务频率、3400-3700MHz频段内的空间无线电台业务频率和3400-3600MHz频段内的空间无线电台测控频率的使用许可。国家无线电管理机构将负责受理和审批上述工作频段内5G系统的频率使用许可,相关许可方案、设备射频技术指标和台站管理规定另行制定和发布。

5G系统是我国实施“网络强国”“制造强国”战略的重要信息基础设施,更是发展新一代信息通信技术的高地。频率资源是研发、部署5G系统最关键的基础资源,根据技术和应用特点及电波传播特性,5G系统需要高(24GHz以上毫米波频段)、中(3000-6000MHz频段)、低(3000MHz以下频段)不同频段的工作频率,以满足覆盖、容量、连接数密度等多项关键性能指标的要求。本次发布的中频段5G系统频率使用规划综合考虑了国际国内各方面因素,统筹兼顾国防、卫星通信、科学研究等部门和行业的用频需求,依法保护现有用户用频权益,能够兼顾系统覆盖和大容量的基本需求,是我国5G系统先期部署的主要频段。

为保证规划制定的科学性、合理性,工业和信息化部结合《中华人民共和国无线电频率划分规定》修订和国际电联2019年世界无线电通信大会相关议题的准备工作,全面梳理了相关频段国内外的规划和使用现状,跟踪研究全球主要国家或组织的5G系统频谱策略。根据频谱需求预测、电磁兼容和共存技术分析结论,经各方协调、科学分析论证、专家咨询、向社会公开征求意见等程序,最终形成了正式的频率使用规划方案,并向社会主动公开发布。

此次工业和信息化部率先发布5G系统在中频段的频率使用规划,将对我国5G系统技术研发、试验和标准等制定以及产业链成熟起到重要先导作用。后续,工业和信息化部将继续为5G系统的应用和发展规划调整出包含高频段(毫米波)、低频段在内的更多的频率资源。










  查看全部
近日,我国第五代移动通信系统(简称“5G系统”)频率使用规划取得重大进展。为适应和促进5G系统在我国的应用和发展,根据《中华人民共和国无线电频率划分规定》,结合我国频率使用的实际情况,工业和信息化部发布了5G系统在3000-5000MHz频段(中频段)内的频率使用规划,我国成为国际上率先发布5G系统在中频段内频率使用规划的国家。

规划明确了3300-3400MHz(原则上限室内使用)、3400-3600MHz和4800-5000MHz频段作为5G系统的工作频段;规定5G系统使用上述工作频段,不得对同频段或邻频段内依法开展的射电天文业务及其他无线电业务产生有害干扰;同时规定,自发布之日起,不再受理和审批新申请3400-4200MHz和4800-5000MHz频段内的地面固定业务频率、3400-3700MHz频段内的空间无线电台业务频率和3400-3600MHz频段内的空间无线电台测控频率的使用许可。国家无线电管理机构将负责受理和审批上述工作频段内5G系统的频率使用许可,相关许可方案、设备射频技术指标和台站管理规定另行制定和发布。

5G系统是我国实施“网络强国”“制造强国”战略的重要信息基础设施,更是发展新一代信息通信技术的高地。频率资源是研发、部署5G系统最关键的基础资源,根据技术和应用特点及电波传播特性,5G系统需要高(24GHz以上毫米波频段)、中(3000-6000MHz频段)、低(3000MHz以下频段)不同频段的工作频率,以满足覆盖、容量、连接数密度等多项关键性能指标的要求。本次发布的中频段5G系统频率使用规划综合考虑了国际国内各方面因素,统筹兼顾国防、卫星通信、科学研究等部门和行业的用频需求,依法保护现有用户用频权益,能够兼顾系统覆盖和大容量的基本需求,是我国5G系统先期部署的主要频段。

为保证规划制定的科学性、合理性,工业和信息化部结合《中华人民共和国无线电频率划分规定》修订和国际电联2019年世界无线电通信大会相关议题的准备工作,全面梳理了相关频段国内外的规划和使用现状,跟踪研究全球主要国家或组织的5G系统频谱策略。根据频谱需求预测、电磁兼容和共存技术分析结论,经各方协调、科学分析论证、专家咨询、向社会公开征求意见等程序,最终形成了正式的频率使用规划方案,并向社会主动公开发布。

此次工业和信息化部率先发布5G系统在中频段的频率使用规划,将对我国5G系统技术研发、试验和标准等制定以及产业链成熟起到重要先导作用。后续,工业和信息化部将继续为5G系统的应用和发展规划调整出包含高频段(毫米波)、低频段在内的更多的频率资源。

31b1000f26d504e1de1e.jpg


473100033c42862284ec.jpg

 

IPSEC VPN结合PPTP VPN实现外出工程师维护模式

InRouterSunzd 发表了文章 • 0 个评论 • 33 次浏览 • 2017-11-14 17:21 • 来自相关话题

一、 网络拓扑图





二、 网络拓扑说明
 客户端现场:
客户端现场的PLC通过网线连接IR700的LAN口,并通过其联网,IR700通过与中心cisco建立IPSEC VPN实现双方互相访问,最重要的保证了通讯过程的安全性;
 中心端:
中心端使用cisco rv042进行网络接入,并要求固定公网IP(保证网络通讯的可靠性);中心端与客户端现场3G路由器建立IPSEC VPN实现双方互相访问,最重要的保证了通讯过程的安全性;同时,中心端设定了PPTP SERVER,保证出差工程师电脑能够通过PPTP VPN连接到中心,实现通过中心间接访问每个客户端现场内网的应用。
 出差工程师端:
出差工程师由于其接入网络的特殊性,可通过windows自带的vpn客户端功能,通过设定pptp vpn连接到中心端,实现通过中心间接访问每个客户端现场内网的应用。
三、 设备具体设定说明;
1) 中心端Cisco rv042设定
 Cisco lan设定信息;此例中LAN:192.168.1.1/24





 Cisco ipsec vpn设定;
Cisco ipsec vpn设定信息;
Tunnel name:自定义;
Interface:获得公网IP的接口;
Enable:打钩;
Local security gateway type:因为考虑到真实环境下网络可靠性,要求cisco端具备固定公网IP;所以这里选择的是ip only;
Local security group type:subnet;(子网)
Ip address:cisco内网网段网络号;
Subnet mask: cisco内网子网掩码;




Remote security gateway type:因为3G无线路由器侧是动态IP,所以这里选择“dynamic ip+domain name(FQDN)authentication”
Domain name:自定义字段,但是要和3G侧设定保持一致!
Remote security group type:subnet;(子网)
Ip address:3G侧内网网络号; 
Subnet mask:3G侧内网子网掩码;




下图是IPSEC VPN建立过程中涉及到的IKE协商和IPSEC协商的参数,中心端和3G端必须要保持一致!




下图是cisco端高级选项设置,请保持为空,如下:





 Cisco pptp vpn设定信息;
要设定PPTP SERVER,要先开启,即“enable pptp server”;
由于cisco rv042只能支持5个pptp 客户端连接,所以地址池也只能设定5个地址范围,比如下面例子;(地址池可自定义设定;)
Pptp server需要创建用户名和密码以供客户端验证用,可自定义设定;





2) 客户端现场IR700VZ/WH配置
备注:目前仅使用任意一台路由器配置演示!
 拨号端口设定;
登录IR700,修改拨号端口处ICMP探测,以保证无线设备运行中网络的健壮性;





 LAN口IP设定;
更改LAN口IP;点击“网络”-“LAN”





 配置IPSEC VPN;
点击“VPN设置”-“IPSEC 隧道配置”-“新增”












基本参数: 设置IPSec隧道的基本参数
隧道名称:给您建立的ipsec 隧道设立一个名称以方便查看,缺省为IPSec_tunnel_1。
对端地址:设定为VPN服务端IP/域名,例如:218.240.44.196
启动方法:选择自动启动。
VPN断开后挂断拨号连接:勾选。
协商模式:可选择主模式,野蛮模式。
IPSec协议:可以选择ESP,AH两种协议。 一般选择ESP。
IPSec模式:可以选择隧道模式,传输模式。 一般选择隧道模式。
隧道模式:可以选择为 主机——主机,主机——子网,子网——主机,子网——子网,四种模型。一般选择“子网——子网”模式。
本地子网地址:IPSec本地保护子网。例如:10.5.12.0。
本地子网掩码:IPSec本地保护子网掩码。例如:255.255.255.0。
对端子网地址:IPSec对端保护子网。例如:192.168.0.0。
对端子网掩码:IPSec对端保护子网掩码。例如:255.255.0.0。
第一阶段参数:配置IPSec隧道在第一阶段协商时的参数。
IKE策略:可以选择3DES-MD5-96或AES-MD5-96。建议选择3DES-MD5-96。
IKE生命周期:缺省为86400秒。
本地标识类型:可以选择FQDN,User FQDN,IP地址。
本地标识:根据选择的标识类型填入相应标识。建议选择为空。
对端标识类型:可以选择FQDN,User FQDN,IP地址。建议选择IP地址。
对端标识:根据选择的标识类型填入相应标识,此处我们选择FQDN,以Cisco的主机名为标识@Router
认证方式: 可以选择共享密钥和数字证书。一般选择为共享密钥。
密钥:设置IPSec VPN协商密钥。
第二阶段参数:配置IPSec隧道在第一阶段协商时的参数。
IPSec策略:可以选择3DES-MD5-96或AES-MD5-96。建议选择3DES-MD5-96。
IPSec生命周期:缺省为3600秒。
完美前向加密:可以选择为禁用、GROUP1、GROUP2、GROUP5。此参数需要跟服务端匹配,一般选择禁用。
连接检测参数: 设置IPSec隧道的连接检测参数
  DPD时间间隔:DPD检测时间间隔。建议不填。
  DPD超时时间:DPD检测超时时间。建议不填。
  ICMP检测服务器:填入IPSec VPN对等端(服务器端)私网IP地址,须保证能被ping通。例如Cisco LAN口IP地址。
  ICMP检测本地IP地址:填入IR700 LAN口IP地址,如192.168.2.1。
  ICMP检测时间间隔:建议60s。
  ICMP检测超时时间:建议30s。
  ICMP检测最大重试次数:建议5次。
配置完成后点击“保存”选项。

3) 移动(出差)电脑端设置:
配置PPTP
点击“开始”—“控制面板”-“网上邻居”,双击打开;




创建一个新连接,点击“下一步”












下面公司名称自定义;下图文字是举例。




下面主机地址请填真实公网ip信息,下图为举例








输入cisco端设定pptp server时创建的用户名和密码,点击“属性”-“安全”-“高级(自定义配置)”-“设置”,数据加密选择“可选加密”;最后点击确定;




在属性对话框中选择“网络”,VPN类型选择“PPTP VPN”,点击确定;





备注:
下图IP地址信息设定可以“自动获得IP地址”也可以像下图手动设定,但是下图IP是举例!




注意:下图中“IP设置”中“在远程网络上使用默认网关”不要打钩!









在windows上增加一条到所有3G无线路由器现场的路由;下图是具体配置
Route add 192.168.0.0 mask 255.255.0.0 192.168.1.1 
备注:
(192.168.1.1是cisco ip)
该命令可制作一个.bat批处理文件给到客户,操作步骤:
1. 当客户连接好PPTP后,
2. 双击.bat批处理就可成功添加了路由;
“addroute.bat”文件使用方法:
右击上图“addroute.bat”-“包装程序外壳对象”-“激活内容




四、 测试;




 
 
  查看全部
一、 网络拓扑图
1.jpg


二、 网络拓扑说明
 客户端现场:
客户端现场的PLC通过网线连接IR700的LAN口,并通过其联网,IR700通过与中心cisco建立IPSEC VPN实现双方互相访问,最重要的保证了通讯过程的安全性;
 中心端:
中心端使用cisco rv042进行网络接入,并要求固定公网IP(保证网络通讯的可靠性);中心端与客户端现场3G路由器建立IPSEC VPN实现双方互相访问,最重要的保证了通讯过程的安全性;同时,中心端设定了PPTP SERVER,保证出差工程师电脑能够通过PPTP VPN连接到中心,实现通过中心间接访问每个客户端现场内网的应用。
 出差工程师端:
出差工程师由于其接入网络的特殊性,可通过windows自带的vpn客户端功能,通过设定pptp vpn连接到中心端,实现通过中心间接访问每个客户端现场内网的应用。
三、 设备具体设定说明;
1) 中心端Cisco rv042设定
 Cisco lan设定信息;此例中LAN:192.168.1.1/24
2.png


 Cisco ipsec vpn设定;
Cisco ipsec vpn设定信息;
Tunnel name:自定义;
Interface:获得公网IP的接口;
Enable:打钩;
Local security gateway type:因为考虑到真实环境下网络可靠性,要求cisco端具备固定公网IP;所以这里选择的是ip only;
Local security group type:subnet;(子网)
Ip address:cisco内网网段网络号;
Subnet mask: cisco内网子网掩码;
3.png

Remote security gateway type:因为3G无线路由器侧是动态IP,所以这里选择“dynamic ip+domain name(FQDN)authentication”
Domain name:自定义字段,但是要和3G侧设定保持一致!
Remote security group type:subnet;(子网)
Ip address:3G侧内网网络号; 
Subnet mask:3G侧内网子网掩码;
4.png

下图是IPSEC VPN建立过程中涉及到的IKE协商和IPSEC协商的参数,中心端和3G端必须要保持一致!
5.png

下图是cisco端高级选项设置,请保持为空,如下:
6.png


 Cisco pptp vpn设定信息;
要设定PPTP SERVER,要先开启,即“enable pptp server”;
由于cisco rv042只能支持5个pptp 客户端连接,所以地址池也只能设定5个地址范围,比如下面例子;(地址池可自定义设定;)
Pptp server需要创建用户名和密码以供客户端验证用,可自定义设定;
7.png


2) 客户端现场IR700VZ/WH配置
备注:目前仅使用任意一台路由器配置演示!
 拨号端口设定;
登录IR700,修改拨号端口处ICMP探测,以保证无线设备运行中网络的健壮性;
8.png


 LAN口IP设定;
更改LAN口IP;点击“网络”-“LAN”
9.png


 配置IPSEC VPN;
点击“VPN设置”-“IPSEC 隧道配置”-“新增”
10.png

11.png

12.png

基本参数: 设置IPSec隧道的基本参数
隧道名称:给您建立的ipsec 隧道设立一个名称以方便查看,缺省为IPSec_tunnel_1。
对端地址:设定为VPN服务端IP/域名,例如:218.240.44.196
启动方法:选择自动启动。
VPN断开后挂断拨号连接:勾选。
协商模式:可选择主模式,野蛮模式。
IPSec协议:可以选择ESP,AH两种协议。 一般选择ESP。
IPSec模式:可以选择隧道模式,传输模式。 一般选择隧道模式。
隧道模式:可以选择为 主机——主机,主机——子网,子网——主机,子网——子网,四种模型。一般选择“子网——子网”模式。
本地子网地址:IPSec本地保护子网。例如:10.5.12.0。
本地子网掩码:IPSec本地保护子网掩码。例如:255.255.255.0。
对端子网地址:IPSec对端保护子网。例如:192.168.0.0。
对端子网掩码:IPSec对端保护子网掩码。例如:255.255.0.0。
第一阶段参数:配置IPSec隧道在第一阶段协商时的参数。
IKE策略:可以选择3DES-MD5-96或AES-MD5-96。建议选择3DES-MD5-96。
IKE生命周期:缺省为86400秒。
本地标识类型:可以选择FQDN,User FQDN,IP地址。
本地标识:根据选择的标识类型填入相应标识。建议选择为空。
对端标识类型:可以选择FQDN,User FQDN,IP地址。建议选择IP地址。
对端标识:根据选择的标识类型填入相应标识,此处我们选择FQDN,以Cisco的主机名为标识@Router
认证方式: 可以选择共享密钥和数字证书。一般选择为共享密钥。
密钥:设置IPSec VPN协商密钥。
第二阶段参数:配置IPSec隧道在第一阶段协商时的参数。
IPSec策略:可以选择3DES-MD5-96或AES-MD5-96。建议选择3DES-MD5-96。
IPSec生命周期:缺省为3600秒。
完美前向加密:可以选择为禁用、GROUP1、GROUP2、GROUP5。此参数需要跟服务端匹配,一般选择禁用。
连接检测参数: 设置IPSec隧道的连接检测参数
  DPD时间间隔:DPD检测时间间隔。建议不填。
  DPD超时时间:DPD检测超时时间。建议不填。
  ICMP检测服务器:填入IPSec VPN对等端(服务器端)私网IP地址,须保证能被ping通。例如Cisco LAN口IP地址。
  ICMP检测本地IP地址:填入IR700 LAN口IP地址,如192.168.2.1。
  ICMP检测时间间隔:建议60s。
  ICMP检测超时时间:建议30s。
  ICMP检测最大重试次数:建议5次。
配置完成后点击“保存”选项。

3) 移动(出差)电脑端设置:
配置PPTP
点击“开始”—“控制面板”-“网上邻居”,双击打开;
13.png

创建一个新连接,点击“下一步”
14.png

15.png

16.png

下面公司名称自定义;下图文字是举例。
17.png

下面主机地址请填真实公网ip信息,下图为举例
18.png

19.png

输入cisco端设定pptp server时创建的用户名和密码,点击“属性”-“安全”-“高级(自定义配置)”-“设置”,数据加密选择“可选加密”;最后点击确定;
20.png

在属性对话框中选择“网络”,VPN类型选择“PPTP VPN”,点击确定;
21.png


备注:
下图IP地址信息设定可以“自动获得IP地址”也可以像下图手动设定,但是下图IP是举例!
22.png

注意:下图中“IP设置”中“在远程网络上使用默认网关”不要打钩!
23.png

24.png


在windows上增加一条到所有3G无线路由器现场的路由;下图是具体配置
Route add 192.168.0.0 mask 255.255.0.0 192.168.1.1 
备注:
(192.168.1.1是cisco ip)
该命令可制作一个.bat批处理文件给到客户,操作步骤:
1. 当客户连接好PPTP后,
2. 双击.bat批处理就可成功添加了路由;
“addroute.bat”文件使用方法:
右击上图“addroute.bat”-“包装程序外壳对象”-“激活内容
25.png

四、 测试;
26.png

 
 
 

动态多点VPN技术基础知识

InRouterSunzd 发表了文章 • 0 个评论 • 29 次浏览 • 2017-11-14 15:53 • 来自相关话题

引言
    动态多点VPN(Dynamic Multipoint VPN)是mGRE、NHRP(Next Hop Resolution Protocol)、IPSec结合产生的一种技术,简写为DMVPN。它为具有点多面广分支机构特点的企业和公司,提供了一种以 INTERNET为基础的低成本安全互联方案。其骨干网采用星形拓扑结构(Hub and Spoke)。结构示意图见图1,其中HUB为中心,SPOKE为分支。




图1:动态多点VPN结构示意
一、mGRE、IPSec、NHRP 的概念及相互关系
    GRE是一个在任意一种网络层协议上封装任意一个其它网络层协议的协议,DMVPN中是将IP包封装进另一个IP包并加上新的IP头。它有两种形式:Point-to-point(GRE),Point-to-multipoint(mGRE)。
    IPSec是一种安全隧道技术,但不支持组播和广播的加密。在DMVPN中,要用到动态路由协议,动态路由协议用组播和广播宣告路由信息,所以不能直接使 用IPSec加密。GRE隧道支持组播和广播,所以DMVPN中采用GRE隧道,但是GRE隧道的数据是没有加密的,在因特网上传送不安全。因为GRE隧 道的数据包是单播的,所以GRE隧道的数据包采用IPSec加密,即GRE Over IPSec。GRE隧道的配置已经包括了GRE隧道对端的地址,这个地址同时也是IPSec隧道的对端地址,通过将GRE隧道与IPSec绑定,GRE隧道一旦建立,立刻触发IPSec加密。
    mGRE是将GRE点对点隧道扩展成一点与多点建立隧道。一个mGRE接口包括一个IP地址、一个隧道源、一个隧道密钥,与GRE隧道不同,它没有隧道目 的。因为mGRE隧道不定义隧道目的地,所以它依赖NHRP,NHRP告诉mGRE向哪里发送数据包。NHRP协议的作用是将隧道的IP地址映射到 NBMA地址,可以是静态映射和动态映射。
    mGRE怎样使用NHRP呢?当转发一个IP数据包时,总是沿着下一跳地址将数据包传给mGRE接口,下一跳地址就是对端的隧道IP地址。mGRE在 NHRP表中查找下一跳地址映射的对端NBMA地址。然后mGRE将数据包封装为另一个IP包的净负荷,新的IP包目的地址就是对端的NBMA地址。组播 包的地址由NHRP配置中指定。mGRE/NHRP路由通道示意如下页图2。




图2:mGRE/NHRP路由通道示意
    图2可以这样理解,在192.168.0.0/24网络有一个IP包需要发送到192.168.1.0/24 网络中, 其源地址为192.168.0.1,目的地址为192.168.1.1。通过查路由表,到192.168.1.0/24,走隧道0,下一跳是隧道对端IP 地址10.0.0.2。通过查NHRP表,下一跳10.0.0.2对应的目的NBMA地址是172.16.0.2。再对IP包做GRE封装,加上新IP 头,源地址为172.16.0.1,目的地址为172.16.0.2,然后IP包就能发向对端。
二、NHRP 地址映射表的生成过程
NHRP地址映射表生成有三种方法:
手动配置静态映射、中心(Hub)通过登记请求(Registration Request)学习、分支(Spoke)用解析请求(Resolution Request)学习。NHRP映射表的初始化。开始时,中心的映射表是空表,分支的映射表有一个静态配置的映射项,即中心的隧道IP地址与其NBMA地 址的映射,例如IP NHRP MAP10.0.0.1、172.17.0.1,还配置有一个组播映射项,例如IP NHRP MAPmulticast 172.17.0.1。分支必须向中心登记,中心的NHRP表实际上由分支在控制,为了让分支能向中心登记,中心必须宣告自己为下一跳服务器(Next- Hop-Server,NHS),分支发送登记请求给中心,其中包括分支的隧道IP地址和NBMA地址,以及保存时长。中心在NHRP表中对应生成一个表 项,表项只在保存时长内有效。然后中心向分支回送登记确认信息。
NHRP登记请求过程示意见图3。




图3:NHRP登记请求过程示意
NHRP登记确认过程示意如图4。




图4:NHRP登记确认过程示意
    NHRP注册功能至少解决了三个问题:
    ① 由于分支的NBMA地址是通过ISP的DHCP自动获取的,每次上线时的IP地址可能不同,所以中心通过注册过程可以自动学习该地址;
    ② 中心不必针对所有分支分别配置GRE或IPSec信息,大大简化中心的配置;所有相关信息可通过NHRP自动获取;
    ③ 当DMVPN网络扩展时,无须改动中心和其它分支的配置。新加入的分支将自动注册到中心,通过动态路由协议,所有其它分支可以学到这条新的路由,新加入的分支也可以学到到达其它所有分支的路由信息。
    NHRP的作用可以概括为两点,一是地址的映射和解析,二是转发数据。通过静态配置、NHRP登记、NHRP解析实现地址映射,由路由表获得到目的IP地 址的隧道下一跳IP地址,通过解析隧道下一跳IP地址与NBMA地址的映射,获得隧道下一跳IP地址对应的NBMA地址,实现数据转发。
三、分支之间的动态隧道
在动态多点VPN中,分支与分支之间除了经过中心转发数据外,分支还可以向另一分支直接发送数据。分支到中心的隧道一旦建立便持续存在,但是各分支之间并 不配置持续的隧道。当一个分支需要向另一个分支发送数据包时,两个分支之间通过mGRE端口动态建立IPSec隧道,进行数据传输。
两个分支间路由和 NHRP过程见图5。




图5:两个分支间路由和NHRP过程

    为了生成分支到分支的隧道,分支必须学到目的网络路由、下一跳必须是远端分支的隧道IP地址、分支必须学到了下一跳的NBMA地址。
分支采用动态路由协议学习到目的网络的路由。路由协议只在中心和分支之间用到,为了使分支与分支间能路由,首先分支要向中心宣告自己的私网路由信息,再由 中心向各分支宣告,中心对分支宣告的私网路由必须保留下一跳的私网地址,看起来就象是分支自己宣告的一样。分支用NHRP解析请求学习到下一跳分支的 NBMA地址。分支的NHRP解析与NHRP登记过程是有差别的,登记是分支在中心上登记自己,解析是分支通过中心寻址其他分支。分支首先向中心发送解析 请求,请求下一跳隧道IP地址映射的NBMA地址,中心解析出映射的NBMA地址后回复给请求分支,回复中还包括解析结果在中心的有效时长。然后,分支生 成一个NHRP表项,在没插入NHRP表之前,IPSec隧道就开始初始化,在隧道建立后,NHRP表项才被插入表中并能使用。一旦对应的NHRP表项超 时,分支与分支间隧道随之消失。
建立动态分支隧道的过程图示见图6。




图6:建立动态分支隧道的过程
四、结语
分析DMVPN的特点,在应用上它具有如下优势:分支之间可动态建立隧道传输数据,当两个分支在同一城市,而中心在另一城市时,分支之间直接发送数据可以 减小延时,降低对中心路由器资源消耗,并且更经济;增加分支不用改变中心和其他分支的配置,维护工作量成倍降低;分支节点可使用动态IP地址,节约了公网 IP地址资源;动态隧道的特点使它的网络规模可以很大。它的这些优势使它特别适合于分支机构点多面广的企业和公司做安全互联。
五、实验




HUB 配置
interface FastEthernet0/0
 ip address 203.86.63.237 255.255.255.0
interface Loopback10
 ip address 192.168.0.1 255.255.255.0
router rip
 network 10.0.0.0
 network 192.168.0.0
ip route 0.0.0.0 0.0.0.0 203.86.63.233

crypto isakmp policy 1
 encr 3des
 hash md5
 authentication pre-share
 group 2
crypto isakmp key nozuonodie address 0.0.0.0 0.0.0.0
crypto ipsec transform-set ESP_3DES_MD5 esp-3des esp-md5-hmac
crypto ipsec profile security-sopke
 set transform-set ESP_3DES_MD5 
!
interface Tunnel1
 ip address 10.0.0.1 255.255.255.0
 tunnel source FastEthernet0/0
 tunnel mode gre multipoint      //配置隧道为多点GRE
 tunnel key 123456123456
 ip mtu 1400                        //调整MTU防止IPSec分片
 tunnel protection ipsec profile security-sopke //对mGRE数据加密
 ip nhrp authentication inhand   //激活NHRP认证,密码inhand
 ip nhrp map multicast dynamic   //动态接收NHRP的组播映射
 ip nhrp network-id 1            //激活HNRP
!

SPOKE1 配置
interface FastEthernet0/0
 ip address dhcp
interface Loopback10
 ip address 192.168.1.1 255.255.255.0
router rip
 network 10.0.0.0
 network 192.168.1.0
ip route 0.0.0.0 0.0.0.0 FastEthernet0/0
!
crypto isakmp policy 1
 encr 3des
 hash md5 
 authentication pre-share
 group 2
crypto isakmp key nozuonodie address 203.86.63.237
!
crypto ipsec transform-set ESP_3DES_MD5 esp-3des esp-md5-hmac 
!
crypto ipsec profile security-sopke
 set transform-set ESP_3DES_MD5 
!
interface Tunnel1
 ip address 10.0.0.11 255.255.255.0
 tunnel source FastEthernet0/0
 tunnel mode gre multipoint
 tunnel key 123456
 ip mtu 1400                        //调整MTU防止IPSec分片
 tunnel protection ipsec profile security-sopke //对mGRE数据加密
 ip nhrp authentication inhand   //激活NHRP认证,密码inhand
 ip nhrp map 10.0.0.1 203.86.63.237
//手动NHRP映射,映射中心站点的虚拟隧道IP动中心站点公网IP。有了这个映射,分支站点才能访问中心站点
 ip nhrp map multicast 203.86.63.237
//映射组播到中心站点公网IP。mGRE是NBMA网,分支站点要和中心站点建立动态路由协议的邻居关系,必须在每个分支节点将组播映射到中心站点公网IP,这样才能把分支节点组播送到中心站点。分支站点之间不需要映射,所以分支只与中心建立动态路由邻居关系。
 ip nhrp network-id 1            //激活HNRP
 ip nhrp nhs 10.0.0.1 //NHS(Next Hop Server)就是NHRP服务器,定义了中心站点隧道接口虚拟地址。
!
IR900 作为spoke的配置




















#system config
language Chinese
hostname Router
ip domain-name router.com.cn
clock timezone UTC-8
!
#log config
!
#user config
username adm privilege 15 password $MD5$zcYwH1JL7c18Q
!
enable password $MD5$2.UzICXN6rKjE
!
#aaa config
!
#cron config
!
#alarm config
!
#ipsec config
crypto keyring abc
  pre-shared-key address 10.0.0.1 key nozuonodei
!
crypto isakmp nat keepalive 60
crypto isakmp policy 1
  authentication pre-share
  encryption 3des
  hash md5
  group 2
  lifetime 86400
!
crypto isakmp profile abc
  self-identity address
  match identity address
  keyring abc
  policy 1
!
crypto ipsec transform-set abc esp-3des esp-md5-hmac
  mode tunnel
!
crypto ipsec profile abc
  set isakmp-profile abc
  set transform-set abc
!
!
#loopback config
interface loopback 1
  ip address 127.0.0.1 255.0.0.0
!
!
#ethernet interface config
interface fastethernet 0/1
!
!
#Ethernet sub interface config
!
#switch virtual interface config
interface vlan 1
  ip address 192.168.2.1 255.255.255.0
!
!
!
#ethernet config
interface fastethernet 0/1
!
interface fastethernet 1/1
!
interface fastethernet 1/2
!
interface fastethernet 1/3
!
interface fastethernet 1/4
!
!
#cellular config
cellular 1 gsm profile 1 3gnet *99***1# auto gprs gprs
cellular 1 dial interval 10
cellular 1 signal interval 120
cellular 1 network auto
!
interface cellular 1
  dialer profile 1
  dialer timeout 120
  dialer activate auto
  ip address negotiated
  ip mru 1500
  ip mtu 1500
  ppp ipcp dns request
  ppp keepalive 55 5
!
!
#dialer config
!
#l2tp config
#openvpn config
!
#web config
ip http server port 80
!
#telnet server config
ip telnet server port 23
!
#dns config
ip name-server 202.106.0.20 8.8.8.8
!
#gre config
interface tunnel 1
  ip address 10.0.0.11 255.255.255.0
  ip nhrp map 10.0.0.1 203.86.63.236
  ip nhrp nhs 10.0.0.1
  ip nhrp authentication inhand
  ip nhrp holdtime 3600
  ip nhrp registration
  tunnel source cellular 1
  tunnel destination 203.86.63.236
  tunnel key 123456
  tunnel protection ipsec profile abc
!
!
#static route config
ip route 0.0.0.0 0.0.0.0 cellular 1
!
#rip config
router rip
  network 192.168.77.0 255.255.255.0
  network 192.168.2.0 255.255.255.0

access-list 100 permit ip any any 
!
ip snat inside list 100 interface cellular 1
 
 
 
 
  查看全部
引言
    动态多点VPN(Dynamic Multipoint VPN)是mGRE、NHRP(Next Hop Resolution Protocol)、IPSec结合产生的一种技术,简写为DMVPN。它为具有点多面广分支机构特点的企业和公司,提供了一种以 INTERNET为基础的低成本安全互联方案。其骨干网采用星形拓扑结构(Hub and Spoke)。结构示意图见图1,其中HUB为中心,SPOKE为分支。
1.jpg

图1:动态多点VPN结构示意
一、mGRE、IPSec、NHRP 的概念及相互关系
    GRE是一个在任意一种网络层协议上封装任意一个其它网络层协议的协议,DMVPN中是将IP包封装进另一个IP包并加上新的IP头。它有两种形式:Point-to-point(GRE),Point-to-multipoint(mGRE)。
    IPSec是一种安全隧道技术,但不支持组播和广播的加密。在DMVPN中,要用到动态路由协议,动态路由协议用组播和广播宣告路由信息,所以不能直接使 用IPSec加密。GRE隧道支持组播和广播,所以DMVPN中采用GRE隧道,但是GRE隧道的数据是没有加密的,在因特网上传送不安全。因为GRE隧 道的数据包是单播的,所以GRE隧道的数据包采用IPSec加密,即GRE Over IPSec。GRE隧道的配置已经包括了GRE隧道对端的地址,这个地址同时也是IPSec隧道的对端地址,通过将GRE隧道与IPSec绑定,GRE隧道一旦建立,立刻触发IPSec加密。
    mGRE是将GRE点对点隧道扩展成一点与多点建立隧道。一个mGRE接口包括一个IP地址、一个隧道源、一个隧道密钥,与GRE隧道不同,它没有隧道目 的。因为mGRE隧道不定义隧道目的地,所以它依赖NHRP,NHRP告诉mGRE向哪里发送数据包。NHRP协议的作用是将隧道的IP地址映射到 NBMA地址,可以是静态映射和动态映射。
    mGRE怎样使用NHRP呢?当转发一个IP数据包时,总是沿着下一跳地址将数据包传给mGRE接口,下一跳地址就是对端的隧道IP地址。mGRE在 NHRP表中查找下一跳地址映射的对端NBMA地址。然后mGRE将数据包封装为另一个IP包的净负荷,新的IP包目的地址就是对端的NBMA地址。组播 包的地址由NHRP配置中指定。mGRE/NHRP路由通道示意如下页图2。
2.jpg

图2:mGRE/NHRP路由通道示意
    图2可以这样理解,在192.168.0.0/24网络有一个IP包需要发送到192.168.1.0/24 网络中, 其源地址为192.168.0.1,目的地址为192.168.1.1。通过查路由表,到192.168.1.0/24,走隧道0,下一跳是隧道对端IP 地址10.0.0.2。通过查NHRP表,下一跳10.0.0.2对应的目的NBMA地址是172.16.0.2。再对IP包做GRE封装,加上新IP 头,源地址为172.16.0.1,目的地址为172.16.0.2,然后IP包就能发向对端。
二、NHRP 地址映射表的生成过程
NHRP地址映射表生成有三种方法:
手动配置静态映射、中心(Hub)通过登记请求(Registration Request)学习、分支(Spoke)用解析请求(Resolution Request)学习。NHRP映射表的初始化。开始时,中心的映射表是空表,分支的映射表有一个静态配置的映射项,即中心的隧道IP地址与其NBMA地 址的映射,例如IP NHRP MAP10.0.0.1、172.17.0.1,还配置有一个组播映射项,例如IP NHRP MAPmulticast 172.17.0.1。分支必须向中心登记,中心的NHRP表实际上由分支在控制,为了让分支能向中心登记,中心必须宣告自己为下一跳服务器(Next- Hop-Server,NHS),分支发送登记请求给中心,其中包括分支的隧道IP地址和NBMA地址,以及保存时长。中心在NHRP表中对应生成一个表 项,表项只在保存时长内有效。然后中心向分支回送登记确认信息。
NHRP登记请求过程示意见图3。
3.png

图3:NHRP登记请求过程示意
NHRP登记确认过程示意如图4。
4.png

图4:NHRP登记确认过程示意
    NHRP注册功能至少解决了三个问题:
    ① 由于分支的NBMA地址是通过ISP的DHCP自动获取的,每次上线时的IP地址可能不同,所以中心通过注册过程可以自动学习该地址;
    ② 中心不必针对所有分支分别配置GRE或IPSec信息,大大简化中心的配置;所有相关信息可通过NHRP自动获取;
    ③ 当DMVPN网络扩展时,无须改动中心和其它分支的配置。新加入的分支将自动注册到中心,通过动态路由协议,所有其它分支可以学到这条新的路由,新加入的分支也可以学到到达其它所有分支的路由信息。
    NHRP的作用可以概括为两点,一是地址的映射和解析,二是转发数据。通过静态配置、NHRP登记、NHRP解析实现地址映射,由路由表获得到目的IP地 址的隧道下一跳IP地址,通过解析隧道下一跳IP地址与NBMA地址的映射,获得隧道下一跳IP地址对应的NBMA地址,实现数据转发。
三、分支之间的动态隧道
在动态多点VPN中,分支与分支之间除了经过中心转发数据外,分支还可以向另一分支直接发送数据。分支到中心的隧道一旦建立便持续存在,但是各分支之间并 不配置持续的隧道。当一个分支需要向另一个分支发送数据包时,两个分支之间通过mGRE端口动态建立IPSec隧道,进行数据传输。
两个分支间路由和 NHRP过程见图5。
5.jpg

图5:两个分支间路由和NHRP过程

    为了生成分支到分支的隧道,分支必须学到目的网络路由、下一跳必须是远端分支的隧道IP地址、分支必须学到了下一跳的NBMA地址。
分支采用动态路由协议学习到目的网络的路由。路由协议只在中心和分支之间用到,为了使分支与分支间能路由,首先分支要向中心宣告自己的私网路由信息,再由 中心向各分支宣告,中心对分支宣告的私网路由必须保留下一跳的私网地址,看起来就象是分支自己宣告的一样。分支用NHRP解析请求学习到下一跳分支的 NBMA地址。分支的NHRP解析与NHRP登记过程是有差别的,登记是分支在中心上登记自己,解析是分支通过中心寻址其他分支。分支首先向中心发送解析 请求,请求下一跳隧道IP地址映射的NBMA地址,中心解析出映射的NBMA地址后回复给请求分支,回复中还包括解析结果在中心的有效时长。然后,分支生 成一个NHRP表项,在没插入NHRP表之前,IPSec隧道就开始初始化,在隧道建立后,NHRP表项才被插入表中并能使用。一旦对应的NHRP表项超 时,分支与分支间隧道随之消失。
建立动态分支隧道的过程图示见图6。
6.jpg

图6:建立动态分支隧道的过程
四、结语
分析DMVPN的特点,在应用上它具有如下优势:分支之间可动态建立隧道传输数据,当两个分支在同一城市,而中心在另一城市时,分支之间直接发送数据可以 减小延时,降低对中心路由器资源消耗,并且更经济;增加分支不用改变中心和其他分支的配置,维护工作量成倍降低;分支节点可使用动态IP地址,节约了公网 IP地址资源;动态隧道的特点使它的网络规模可以很大。它的这些优势使它特别适合于分支机构点多面广的企业和公司做安全互联。
五、实验
7.png

HUB 配置
interface FastEthernet0/0
 ip address 203.86.63.237 255.255.255.0
interface Loopback10
 ip address 192.168.0.1 255.255.255.0
router rip
 network 10.0.0.0
 network 192.168.0.0
ip route 0.0.0.0 0.0.0.0 203.86.63.233

crypto isakmp policy 1
 encr 3des
 hash md5
 authentication pre-share
 group 2
crypto isakmp key nozuonodie address 0.0.0.0 0.0.0.0
crypto ipsec transform-set ESP_3DES_MD5 esp-3des esp-md5-hmac
crypto ipsec profile security-sopke
 set transform-set ESP_3DES_MD5 
!
interface Tunnel1
 ip address 10.0.0.1 255.255.255.0
 tunnel source FastEthernet0/0
 tunnel mode gre multipoint      //配置隧道为多点GRE
 tunnel key 123456123456
 ip mtu 1400                        //调整MTU防止IPSec分片
 tunnel protection ipsec profile security-sopke //对mGRE数据加密
 ip nhrp authentication inhand   //激活NHRP认证,密码inhand
 ip nhrp map multicast dynamic   //动态接收NHRP的组播映射
 ip nhrp network-id 1            //激活HNRP
!

SPOKE1 配置
interface FastEthernet0/0
 ip address dhcp
interface Loopback10
 ip address 192.168.1.1 255.255.255.0
router rip
 network 10.0.0.0
 network 192.168.1.0
ip route 0.0.0.0 0.0.0.0 FastEthernet0/0
!
crypto isakmp policy 1
 encr 3des
 hash md5 
 authentication pre-share
 group 2
crypto isakmp key nozuonodie address 203.86.63.237
!
crypto ipsec transform-set ESP_3DES_MD5 esp-3des esp-md5-hmac 
!
crypto ipsec profile security-sopke
 set transform-set ESP_3DES_MD5 
!
interface Tunnel1
 ip address 10.0.0.11 255.255.255.0
 tunnel source FastEthernet0/0
 tunnel mode gre multipoint
 tunnel key 123456
 ip mtu 1400                        //调整MTU防止IPSec分片
 tunnel protection ipsec profile security-sopke //对mGRE数据加密
 ip nhrp authentication inhand   //激活NHRP认证,密码inhand
 ip nhrp map 10.0.0.1 203.86.63.237
//手动NHRP映射,映射中心站点的虚拟隧道IP动中心站点公网IP。有了这个映射,分支站点才能访问中心站点
 ip nhrp map multicast 203.86.63.237
//映射组播到中心站点公网IP。mGRE是NBMA网,分支站点要和中心站点建立动态路由协议的邻居关系,必须在每个分支节点将组播映射到中心站点公网IP,这样才能把分支节点组播送到中心站点。分支站点之间不需要映射,所以分支只与中心建立动态路由邻居关系。
 ip nhrp network-id 1            //激活HNRP
 ip nhrp nhs 10.0.0.1 //NHS(Next Hop Server)就是NHRP服务器,定义了中心站点隧道接口虚拟地址。
!
IR900 作为spoke的配置
8.png

9.png

10.png

11.png

12.png

#system config
language Chinese
hostname Router
ip domain-name router.com.cn
clock timezone UTC-8
!
#log config
!
#user config
username adm privilege 15 password $MD5$zcYwH1JL7c18Q
!
enable password $MD5$2.UzICXN6rKjE
!
#aaa config
!
#cron config
!
#alarm config
!
#ipsec config
crypto keyring abc
  pre-shared-key address 10.0.0.1 key nozuonodei
!
crypto isakmp nat keepalive 60
crypto isakmp policy 1
  authentication pre-share
  encryption 3des
  hash md5
  group 2
  lifetime 86400
!
crypto isakmp profile abc
  self-identity address
  match identity address
  keyring abc
  policy 1
!
crypto ipsec transform-set abc esp-3des esp-md5-hmac
  mode tunnel
!
crypto ipsec profile abc
  set isakmp-profile abc
  set transform-set abc
!
!
#loopback config
interface loopback 1
  ip address 127.0.0.1 255.0.0.0
!
!
#ethernet interface config
interface fastethernet 0/1
!
!
#Ethernet sub interface config
!
#switch virtual interface config
interface vlan 1
  ip address 192.168.2.1 255.255.255.0
!
!
!
#ethernet config
interface fastethernet 0/1
!
interface fastethernet 1/1
!
interface fastethernet 1/2
!
interface fastethernet 1/3
!
interface fastethernet 1/4
!
!
#cellular config
cellular 1 gsm profile 1 3gnet *99***1# auto gprs gprs
cellular 1 dial interval 10
cellular 1 signal interval 120
cellular 1 network auto
!
interface cellular 1
  dialer profile 1
  dialer timeout 120
  dialer activate auto
  ip address negotiated
  ip mru 1500
  ip mtu 1500
  ppp ipcp dns request
  ppp keepalive 55 5
!
!
#dialer config
!
#l2tp config
#openvpn config
!
#web config
ip http server port 80
!
#telnet server config
ip telnet server port 23
!
#dns config
ip name-server 202.106.0.20 8.8.8.8
!
#gre config
interface tunnel 1
  ip address 10.0.0.11 255.255.255.0
  ip nhrp map 10.0.0.1 203.86.63.236
  ip nhrp nhs 10.0.0.1
  ip nhrp authentication inhand
  ip nhrp holdtime 3600
  ip nhrp registration
  tunnel source cellular 1
  tunnel destination 203.86.63.236
  tunnel key 123456
  tunnel protection ipsec profile abc
!
!
#static route config
ip route 0.0.0.0 0.0.0.0 cellular 1
!
#rip config
router rip
  network 192.168.77.0 255.255.255.0
  network 192.168.2.0 255.255.255.0

access-list 100 permit ip any any 
!
ip snat inside list 100 interface cellular 1
 
 
 
 
 

VPN配置WIN7_PPTP(L2TP)客户端

InRouterSunzd 发表了文章 • 0 个评论 • 28 次浏览 • 2017-11-14 15:37 • 来自相关话题

VPN—如何配置Win7 PPTP(L2TP)客户端?
1)、点击任务栏“开始”→“控制面板”→“网络和Internet”→ “网络和共享中心”,点击更改网络设置中的“设置新的连接或网络”图标。




2)、“选择一个连接选项”选择“连接到工作区”。




3)、“您想如何连接?”选择“使用我的Internet连接(VPN)”。




4)、“连接之前…”,选择“我稍后决定”。




5)、“键入要连接的Internet地址”中输入服务器的IP地址或者域名。




6)、 “键入您的用户名和密码“中可以选择不填或者填入VPN拨号所使用的用户名和密码。




7)、点击创建,一个新的VPN连接就建立成功了。




8)、返回网络和共享中心,选择更改适配器设置,找到刚建立的VPN连接拨号客户端,输入用户名和密码,点击“连接”按钮就额可以进行VPN拨号。




  查看全部
VPN—如何配置Win7 PPTP(L2TP)客户端?
1)、点击任务栏“开始”→“控制面板”→“网络和Internet”→ “网络和共享中心”,点击更改网络设置中的“设置新的连接或网络”图标。
1.png

2)、“选择一个连接选项”选择“连接到工作区”。
2.png

3)、“您想如何连接?”选择“使用我的Internet连接(VPN)”。
3.png

4)、“连接之前…”,选择“我稍后决定”。
4.png

5)、“键入要连接的Internet地址”中输入服务器的IP地址或者域名。
5.png

6)、 “键入您的用户名和密码“中可以选择不填或者填入VPN拨号所使用的用户名和密码。
6.png

7)、点击创建,一个新的VPN连接就建立成功了。
7.png

8)、返回网络和共享中心,选择更改适配器设置,找到刚建立的VPN连接拨号客户端,输入用户名和密码,点击“连接”按钮就额可以进行VPN拨号。
8.png

 

PPTP(L2TP)登陆IPSecVPN网关

InRouterSunzd 发表了文章 • 0 个评论 • 28 次浏览 • 2017-11-14 15:19 • 来自相关话题

设置PC上的PPTP VPN
XP系统连接方式

打开网络连接
点击“创建一个新的连接”




点击下一步
选择“连接到我的工作场所的网络”




选择虚拟专用网络连接




点击下一步: 公司名为自定义




点击下一步




点击下一步
设置主机地址:203.86.63.237




点击下一步




点击完成




点击属性




选择安全
按照如下参数配置




点击确定
弹出




点击是
 
点击“网络”
VPN类型选择PPTP,若连接方式为L2TP则改为L2TP/IPSec。




点击确定




用户名luzq 密码luzq123
点击连接

连接成功之后
Ping一下现场数据采集设备IP:是可以ping通的,此时可以直接访问。(下图IP只是例子)




Windows 7 配置方式




















Internet 地址为PPTP或L2TP服务器的公网IP地址。
























若服务器的连接方式为L2TP则将VPN类型:








若用户名luzp 密码 luzp123 无法使用可以使用 用户名sunll 密码 sunll进行连接。












  查看全部
设置PC上的PPTP VPN
XP系统连接方式

打开网络连接
点击“创建一个新的连接”
1.png

点击下一步
选择“连接到我的工作场所的网络”
2.png

选择虚拟专用网络连接
3.png

点击下一步: 公司名为自定义
4.png

点击下一步
5.png

点击下一步
设置主机地址:203.86.63.237
6.png

点击下一步
7.png

点击完成
8.png

点击属性
9.png

选择安全
按照如下参数配置
10.png

点击确定
弹出
11.png

点击是
 
点击“网络”
VPN类型选择PPTP,若连接方式为L2TP则改为L2TP/IPSec。
12.png

点击确定
13.png

用户名luzq 密码luzq123
点击连接

连接成功之后
Ping一下现场数据采集设备IP:是可以ping通的,此时可以直接访问。(下图IP只是例子)
14.png

Windows 7 配置方式
15.png

16.png

17.png

18.png

19.png

Internet 地址为PPTP或L2TP服务器的公网IP地址。
20.png

21.png

22.png

23.png

24.png

25.png

若服务器的连接方式为L2TP则将VPN类型:
26.png

27.png

若用户名luzp 密码 luzp123 无法使用可以使用 用户名sunll 密码 sunll进行连接。
28.png

29.png

30.png

 

IR_L2TP Server-Client

InRouterSunzd 发表了文章 • 0 个评论 • 23 次浏览 • 2017-11-14 14:42 • 来自相关话题

Server 配置
LAN 接口配置




VPN设置-L2TP服务器




L2TP服务器配置




1、创建一个套账号和密码;
2、本机ip 借用LAN接口IP 192.168.2.1;
3、客户端起始IP地址-结束IP地址 192.168.1.2 ~ 192.168.1.10 ,L2TP地址池配置;
4、添加静态路由: 客户端IP 192.168.1.9 ,静态路由 192.168.10.0/24 , 客户端L2TP拨号IP地址为192.168.1.9,客户端路由器LAN地址为192.168.10.0/24 。




若L2TP客户端拨号成功后,在L2TP Server 路由器的路由状态中会出现L2TP客户端所获的IP地址,并且在L2TP 服务器配置中静态路由也会出现在路由条目中。
Client 配置
LAN 接口配置




L2TP客户端配置 




1、L2TP服务器 ,L2TP 服务器的WAN端口IP;
2、用户名、密码填写在服务器已经定义的内容;
3、本地IP地址 192.168.1.9 ,L2TP 服务器地址池中的一个IP地址;
4、远端子网 : 192.168.2.1/ 255.255.255.0 , L2TP 服务器LAN 端口网段。

L2TP客户端连接成功后的状态




L2TP 客户端路由状态




L2TP 客户端下联PC ping L2TP服务器LAN端口。








 
 
  查看全部
1.png


Server 配置
LAN 接口配置
2.png

VPN设置-L2TP服务器
3.png

L2TP服务器配置
4.png

1、创建一个套账号和密码;
2、本机ip 借用LAN接口IP 192.168.2.1;
3、客户端起始IP地址-结束IP地址 192.168.1.2 ~ 192.168.1.10 ,L2TP地址池配置;
4、添加静态路由: 客户端IP 192.168.1.9 ,静态路由 192.168.10.0/24 , 客户端L2TP拨号IP地址为192.168.1.9,客户端路由器LAN地址为192.168.10.0/24 。
5.png

若L2TP客户端拨号成功后,在L2TP Server 路由器的路由状态中会出现L2TP客户端所获的IP地址,并且在L2TP 服务器配置中静态路由也会出现在路由条目中。
Client 配置
LAN 接口配置
6.png

L2TP客户端配置 
7.png

1、L2TP服务器 ,L2TP 服务器的WAN端口IP;
2、用户名、密码填写在服务器已经定义的内容;
3、本地IP地址 192.168.1.9 ,L2TP 服务器地址池中的一个IP地址;
4、远端子网 : 192.168.2.1/ 255.255.255.0 , L2TP 服务器LAN 端口网段。

L2TP客户端连接成功后的状态
8.png

L2TP 客户端路由状态
9.png

L2TP 客户端下联PC ping L2TP服务器LAN端口。
10.png

11.png

 
 
 

IP814-l2TP-Client

InRouterSunzd 发表了文章 • 0 个评论 • 25 次浏览 • 2017-11-14 14:25 • 来自相关话题

IP814 L2TP 配置
计算机本地连接设置为“自动获取IP”









使用浏览器打开http://192.168.2.1:8080/
用户名 adm
密码 123456




查看无线网络拨号




建立L2TP VPN

Server
Cisco Router 参考配置:
vpdn-group l2tp
! Default L2TP VPDN group
 accept-dialin
  protocol l2tp
  virtual-template 2
 no l2tp tunnel authentication  //不使用隧道认证
username sunzd  password 0 sunzd
interface FastEthernet0/0   // 公网网口
 ip address 203.86.63.237 255.255.255.248

interface FastEthernet0/1    //内网网口
 ip address 172.16.1.1 255.255.255.0

interface Virtual-Template2 
 ip unnumbered FastEthernet0/0 
 peer default ip address pool l2tp // L2TP Client 调用的地址池
 ppp authentication chap       // 认证方式

ip route 192.168.2.0 255.255.255.0 172.16.1.191   // 去往3G路由器LAN接口路由
ip local pool l2tp 172.16.1.190 172.16.1.195     // L2TP Client 地址池

H3C MSR 参考配置

 password simple sunzd   service-type ppp sunzd  //为分支创建用户         local-user pc  
        
 l2tp-group 1                         //L2TP组 

 undo tunnel authentication   //不进行隧道验证  
allow l2tp virtual-template 0

interface Virtual-Template0      //用户进行ppp的chap认证 
 ppp authentication-mode chap 

 remote address pool 1 
 ip address 172.16.1.191 255.255.255.248

interface GigabitEthernet0/0  port link-mode route 
 ip address 203.86.63.238 255.255.255.248

 ip route-static 192.168.2.0 255.255.255.0 172.16.1.191 
Client 配置




L2TP Class 
名称 1 
认证 否
Pseudowire  Class
名称1 
L2tp class 1 
源接口 cellular
L2TP隧道
启用
标识 1
L2TP服务 203.86.63.237 
Pseudowire  Class 1
认证方式  chap
用户名 sunzd
密码   XXXX
本地IP  172.16.1.191 // 此IP为Server 路由器L2TP 地址池中的一个IP




添加静态路由 
网络-路由-静态路由

172.16.1.0  255.255.255.0  virtual-ppp 1  //去往Server LAN 网段路由从接口virtual-ppp 1出去。

点击新增-应用 








WIFI 接口配置
网络-强制网络门户
启用 (不勾选)




WIFI 网络密码设置
SSID为 无线WIFI的的名称,就是计算机无线网卡扫描的热点的名称。
加密秘钥方式可以根据需要设定。




 
 
 
  查看全部
IP814 L2TP 配置
计算机本地连接设置为“自动获取IP”
1.png

2.png


使用浏览器打开http://192.168.2.1:8080/
用户名 adm
密码 123456
3.png

查看无线网络拨号
4.png

建立L2TP VPN

Server
Cisco Router 参考配置:
vpdn-group l2tp
! Default L2TP VPDN group
 accept-dialin
  protocol l2tp
  virtual-template 2
 no l2tp tunnel authentication  //不使用隧道认证
username sunzd  password 0 sunzd
interface FastEthernet0/0   // 公网网口
 ip address 203.86.63.237 255.255.255.248

interface FastEthernet0/1    //内网网口
 ip address 172.16.1.1 255.255.255.0

interface Virtual-Template2 
 ip unnumbered FastEthernet0/0 
 peer default ip address pool l2tp // L2TP Client 调用的地址池
 ppp authentication chap       // 认证方式

ip route 192.168.2.0 255.255.255.0 172.16.1.191   // 去往3G路由器LAN接口路由
ip local pool l2tp 172.16.1.190 172.16.1.195     // L2TP Client 地址池

H3C MSR 参考配置

 password simple sunzd   service-type ppp sunzd  //为分支创建用户         local-user pc  
        
 l2tp-group 1                         //L2TP组 

 undo tunnel authentication   //不进行隧道验证  
allow l2tp virtual-template 0

interface Virtual-Template0      //用户进行ppp的chap认证 
 ppp authentication-mode chap 

 remote address pool 1 
 ip address 172.16.1.191 255.255.255.248

interface GigabitEthernet0/0  port link-mode route 
 ip address 203.86.63.238 255.255.255.248

 ip route-static 192.168.2.0 255.255.255.0 172.16.1.191 
Client 配置
5.png

L2TP Class 
名称 1 
认证 否
Pseudowire  Class
名称1 
L2tp class 1 
源接口 cellular
L2TP隧道
启用
标识 1
L2TP服务 203.86.63.237 
Pseudowire  Class 1
认证方式  chap
用户名 sunzd
密码   XXXX
本地IP  172.16.1.191 // 此IP为Server 路由器L2TP 地址池中的一个IP
6.png

添加静态路由 
网络-路由-静态路由

172.16.1.0  255.255.255.0  virtual-ppp 1  //去往Server LAN 网段路由从接口virtual-ppp 1出去。

点击新增-应用 
7.png

8.png

WIFI 接口配置
网络-强制网络门户
启用 (不勾选)
9.png

WIFI 网络密码设置
SSID为 无线WIFI的的名称,就是计算机无线网卡扫描的热点的名称。
加密秘钥方式可以根据需要设定。
10.png