IPSEC VPN结合PPTP实现外出工程师维护.docxVIP

IPSEC VPN结合PPTP VPN实现外出工程师维护模式 说明 如果图像显示太小，请将比例调到200%参阅！ 另外，此文档附了导航窗格，便于跳阅！ 网络拓扑图 网络拓扑说明 客户端现场： 客户端现场的PLC通过网线连接IR700的LAN口，并通过其联网，IR700通过与中心cisco建立IPSEC VPN实现双方互相访问，最重要的保证了通讯过程的安全性； 中心端： 中心端使用cisco rv042进行网络接入，并要求固定公网IP（保证网络通讯的可靠性）；中心端与客户端现场3G路由器建立IPSEC VPN实现双方互相访问，最重要的保证了通讯过程的安全性；同时，中心端设定了PPTP SERVER，保证出差工程师电脑能够通过PPTP VPN连接到中心，实现通过中心间接访问每个客户端现场内网的应用。 出差工程师端： 出差工程师由于其接入网络的特殊性，可通过windows自带的vpn客户端功能，通过设定pptp vpn连接到中心端，实现通过中心间接访问每个客户端现场内网的应用。 设备具体设定说明； 中心端Cisco rv042设定 Cisco lan设定信息；此例中LAN：192.168.1.1/24 Cisco ipsec vpn设定； Cisco ipsec vpn设定信息； Tunnel name:自定义； Interface:获得公网IP的接口； Enable:打钩； Local security gateway type:因为考虑到真实环境下网络可靠性，要求cisco端具备固定公网IP；所以这里选择的是ip only; Local security group type:subnet;(子网) Ip address:cisco内网网段网络号； Subnet mask: cisco内网子网掩码； Remote security gateway type:因为3G无线路由器侧是动态IP，所以这里选择“dynamic ip+domain name(FQDN)authentication” Domain name:自定义字段，但是要和3G侧设定保持一致！ Remote security group type:subnet;(子网) Ip address:3G侧内网网络号； Subnet mask:3G侧内网子网掩码； 下图是IPSEC VPN建立过程中涉及到的IKE协商和IPSEC协商的参数，中心端和3G端必须要保持一致！ 下图是cisco端高级选项设置，请保持为空，如下：一定要勾取NAT Traversal 否则会出现IR700VZ成功，IR700WH失败的情况； Cisco pptp vpn设定信息； 要设定PPTP SERVER，要先开启，即“enable pptp server”; 由于cisco rv042只能支持5个pptp 客户端连接，所以地址池也只能设定5个地址范围，比如下面例子；（地址池可自定义设定；） Pptp server需要创建用户名和密码以供客户端验证用，可自定义设定； 客户端现场IR700VZ/WH配置 备注：目前仅使用任意一台路由器配置演示！ 拨号端口设定； 登录IR700，修改拨号端口处ICMP探测，以保证无线设备运行中网络的健壮性； LAN口IP设定； 更改LAN口IP；点击“网络”-“LAN” 配置IPSEC VPN； 点击“VPN设置”-“IPSEC 隧道配置”-“新增” 基本参数： 设置IPSec隧道的基本参数 隧道名称：给您建立的ipsec 隧道设立一个名称以方便查看，缺省为IPSec_tunnel_1。 对端地址：设定为VPN服务端IP/域名，例如：218.240.44.196 启动方法：选择自动启动。 VPN断开后挂断拨号连接：勾选。 协商模式：可选择主模式，野蛮模式。 IPSec协议：可以选择ESP，AH两种协议。 一般选择ESP。 IPSec模式：可以选择隧道模式，传输模式。 一般选择隧道模式。 隧道模式：可以选择为 主机——主机，主机——子网，子网——主机，子网——子网，四种模型。一般选择“子网——子网”模式。 本地子网地址：IPSec本地保护子网。例如：10.5.12.0。 本地子网掩码：IPSec本地保护子网掩码。例如：255.255.255.0。 对端子网地址：IPSec对端保护子网。例如：192.168.0.0。 对端子网掩码：IPSec对端保护子网掩码。例如：255.255.0.0。 第一阶段参数：配置IPSec隧道在第一阶段协商时的参数。 IKE策略：可以选择3DES-MD5-96或AES-MD5-96。建议选择3DES-MD5-96。 IKE生命周期：缺省为86400秒。 本地标识类型：可以选择FQDN，User FQDN，IP地址。 本地标识：根据选择