IPSEC VPN结合PPTP VPN实现外出工程师维护模式

一、 网络拓扑图 二、 网络拓扑说明  客户端现场： 客户端现场的PLC通过网线连接IR700的LAN口，并通过其联网，IR700通过与中心cisco建立IPSEC VPN实现双方互相访问，最重要的保证了通讯过程的安全性；  中心端： 中心端使用cisco rv042进行网络接入，并要求固定公网IP（保证网络通讯的可靠性）；中心端与客户端现场3G路由器建立IPSEC VPN实现双方互相访问，最重要的保证了通讯过程的安全性；同时，中心端设定了PPTP SERVER，保证出差工程师电脑能够通过PPTP VPN连接到中心，实现通过中心间接访问每个客户端现场内网的应用。  出差工程师端： 出差工程师由于其接入网络的特殊性，可通过windows自带的vpn客户端功能，通过设定pptp vpn连接到中心端，实现通过中心间接访问每个客户端现场内网的应用。 三、 设备具体设定说明； 1) 中心端Cisco rv042设定  Cisco lan设定信息；此例中LAN：192.168.1.1/24  Cisco ipsec vpn设定； Cisco ipsec vpn设定信息； Tunnel name:自定义； Interface:获得公网IP的接口； Enable:打钩； Local security gateway type:因为考虑到真实环境下网络可靠性，要求cisco端具备固定公网IP；所以这里选择的是ip only; Local security group type:subnet;(子网) Ip address:cisco内网网段网络号； Subnet mask: cisco内网子网掩码； Remote security gateway type:因为3G无线路由器侧是动态IP，所以这里选择“dynamic ip+domain name(FQDN)authentication” Domain name:自定义字段，但是要和3G侧设定保持一致！ Remote security group type:subnet;(子网) Ip address:3G侧内网网络号；  Subnet mask:3G侧内网子网掩码； 下图是IPSEC VPN建立过程中涉及到的IKE协商和IPSEC协商的参数，中心端和3G端必须要保持一致！ 下图是cisco端高级选项设置，请保持为空，如下：  Cisco pptp vpn设定信息； 要设定PPTP SERVER，要先开启，即“enable pptp server”; 由于cisco rv042只能支持5个pptp 客户端连接，所以地址池也只能设定5个地址范围，比如下面例子；（地址池可自定义设定；） Pptp server需要创建用户名和密码以供客户端验证用，可自定义设定； 2) 客户端现场IR700VZ/WH配置 备注：目前仅使用任意一台路由器配置演示！  拨号端口设定； 登录IR700，修改拨号端口处ICMP探测，以保证无线设备运行中网络的健壮性；  LAN口IP设定； 更改LAN口IP；点击“网络”-“LAN”  配置IPSEC VPN； 点击“VPN设置”-“IPSEC 隧道配置”-“新增” 基本参数： 设置IPSec隧道的基本参数 隧道名称：给您建立的ipsec 隧道设立一个名称以方便查看，缺省为IPSec_tunnel_1。 对端地址：设定为VPN服务端IP/域名，例如：218.240.44.196 启动方法：选择自动启动。 VPN断开后挂断拨号连接：勾选。 协商模式：可选择主模式，野蛮模式。 IPSec协议：可以选择ESP，AH两种协议。 一般选择ESP。 IPSec模式：可以选择隧道模式，传输模式。 一般选择隧道模式。 隧道模式：可以选择为 主机——主机，主机——子网，子网——主机，子网——子网，四种模型。一般选择“子网——子网”模式。 本地子网地址：IPSec本地保护子网。例如：10.5.12.0。 本地子网掩码：IPSec本地保护子网掩码。例如：255.255.255.0。 对端子网地址：IPSec对端保护子网。例如：192.168.0.0。 对端子网掩码：IPSec对端保护子网掩码。例如：255.255.0.0。 第一阶段参数：配置IPSec隧道在第一阶段协商时的参数。 IKE策略：可以选择3DES-MD5-96或AES-MD5-96。建议选择3DES-MD5-96。 IKE生命周期：缺省为86400秒。 本地标识类型：可以选择FQDN，User FQDN，IP地址。 本地标识：根据选择的标识类型填入相应标识。建议选择为空。 对端标识类型：可以选择FQDN，User FQDN，IP地址。建议选择IP地址。 对端标识：根据选择的标识类型填入相应标识，此处我们选择FQDN，以Cisco的主机名为标识@Router 认证方式： 可以选择共享密钥和数字证书。一般选择为共享密钥。 密钥：设置IPSec VPN协商密钥。 第二阶段参数：配置IPSec隧道在第一阶段协商时的参数。 IPSec策略：可以选择3DES-MD5-96或AES-MD5-96。建议选择3DES-MD5-96。 IPSec生命周期：缺省为3600秒。 完美前向加密：可以选择为禁用、GROUP1、GROUP2、GROUP5。此参数需要跟服务端匹配，一般选择禁用。 连接检测参数： 设置IPSec隧道的连接检测参数   DPD时间间隔：DPD检测时间间隔。建议不填。   DPD超时时间：DPD检测超时时间。建议不填。   ICMP检测服务器：填入IPSec VPN对等端（服务器端）私网IP地址，须保证能被ping通。例如Cisco LAN口IP地址。   ICMP检测本地IP地址：填入IR700 LAN口IP地址，如192.168.2.1。   ICMP检测时间间隔：建议60s。   ICMP检测超时时间：建议30s。   ICMP检测最大重试次数：建议5次。 配置完成后点击“保存”选项。 3) 移动(出差)电脑端设置： 配置PPTP 点击“开始”—“控制面板”-“网上邻居”，双击打开； 创建一个新连接，点击“下一步” 下面公司名称自定义；下图文字是举例。 下面主机地址请填真实公网ip信息，下图为举例 输入cisco端设定pptp server时创建的用户名和密码，点击“属性”-“安全”-“高级（自定义配置）”-“设置”，数据加密选择“可选加密”；最后点击确定； 在属性对话框中选择“网络”，VPN类型选择“PPTP VPN”，点击确定； 备注： 下图IP地址信息设定可以“自动获得IP地址”也可以像下图手动设定，但是下图IP是举例！ 注意：下图中“IP设置”中“在远程网络上使用默认网关”不要打钩！ 在windows上增加一条到所有3G无线路由器现场的路由；下图是具体配置 Route add 192.168.0.0 mask 255.255.0.0 192.168.1.1  备注： (192.168.1.1是cisco ip) 该命令可制作一个.bat批处理文件给到客户，操作步骤： 1. 当客户连接好PPTP后， 2. 双击.bat批处理就可成功添加了路由； “addroute.bat”文件使用方法： 右击上图“addroute.bat”-“包装程序外壳对象”-“激活内容 四、 测试；