情景分析

很多人都想搭建一個屬於自己WIFI_WEB認證網絡，其主要用到的技術是Portal（傳送門），它可以通過WEB頁面認證合法用戶。通過這個技術做認證的第三方解決方案有WIFIAP、WIWIZ，這兩個公司都是比較有代表性的。據我調查，華三也有Portal解決方案，唯獨思科我還沒發現有相關的解決方案（在RS這領域吧，我沒有學過思科的無線）。所以我想使用其他技術以達到我的目的。現在安卓手機已經相當普及，安卓手機和電腦都具備VPN撥入功能，所以我想通過VPN撥入來作為我的解決方案。

預期結果

撥入VPN的用戶可以訪問互聯網或者我指定的網絡，未撥入VPN的用戶只能訪問特定的網絡。

1、預先配置

2、VPN PPTP

創建一個虛擬模版 也可以理解為VPN的網關

R1(配置)#接口虛擬模板 1

給這個虛擬接口配置一個IP地址

R1(配置 - 如果)#IP地址 172.16.1.1 255.255.255.0

設置這條虛擬鏈路的驗證方式

R1(配置 - 如果)#PPP認證CHAP MS-CHAP MS-CHAP-V2

設置撥入用戶獲得IP地址的地址池 名為vpn

R1(配置 - 如果)#同行的默認IP地址的DHCP池VPN

在地址池裡排除虛擬接口的IP地址

R1(配置)#IP DHCP排除地址 172.16.1.1

創建一個自動分配地址的池 名為vpn

R1(配置)#DHCP的IP VPN池

設置給用戶分配的地址段 最好與Virtual-Template 1的IP地址在同一個網段

R1(DHCP的配置)#網絡 172.16.1.0 255.255.255.0

設置分配給用戶的DNS域名解析服務器

R1(DHCP的配置)#DNS服務器 8.8.8.8

開啟虛擬鏈路撥入功能

R1(配置)#VPDN實現

創建一個撥入組 名為vpn

R1(配置)#VPDN組VPN

設置允許用戶撥入

R1(配置-VPDN)#接受-撥入

設置撥入的協議為PPTP

R1(配置-VPDN-ACC-在)#協議PPTP

調用上面的虛擬模版

R1(配置-VPDN-ACC-在)#虛擬模板 1

4、NAT

創建一個列表轉換列表 名為vpnnat

R1(配置)#IP訪問列表擴展vpnnat

抓取用戶的撥入獲得IP地址段

R1(配置-EXT-氯化鈉)#IP許可證 172.16.1.0 0.0.0.255 任何

創建一個地址轉換協議 以便用戶通過外網端口訪問互聯網

R1(配置)#源列表vpnnat接口FastEthernet1 / 0超載內部IP NAT

將外網口設置為外部端口

R1(配置)#接口FastEthernet1 / 0

R1(配置)#IP NAT外

將外網口設置為內部端口

R1(配置)#接口Virtual-模板1

R1(配置 - 如果)#內部IP NAT

5、ACL

創建一個列表 阻止未撥入VPN的用戶訪問互聯網

R1(配置)#IP訪問列表擴展novpn

抓取禁止訪問互聯網的內部端口的網段

R1(配置-EXT-氯化鈉)#拒絕IP地址 10.1.1.0 0.0.0.255 任何

放過其他流量

R1(配置-EXT-氯化鈉)#允許IP的任何

將限制列表調用在外網口的出方向

R1(配置)#接口FastEthernet1 / 0

R1(配置 - 如果)#IP訪問組novpn出

PS

我還想調用Radius服務器作為PPTP VPN的用戶數據庫，但是普通的路由器沒有這個功能，需要使用思科的防火牆產品才能實現調用Radius服務器數據庫。

本文由 落格博客 原創撰寫：落格博客 » 通過PPTP VPN認證上網

轉載請保留出處和原文鏈接：https://www.logcg.com/archives/428.html