Cisco 877 как сервер VPN?
Без дальнейшей информации о том, каково Ваше приложение, это твердо дать любой определенный совет, но здесь является некоторыми слайдами от презентации 2005 года Brad Fitzpatrick на инфраструктуре LiveJournal (с особым упором на выравнивание нагрузки базы данных):
Мне наконец удалось заставлять его работать с помощью большой поддержки Evan и этой страницы.
Я отправляю полную конфигурацию здесь, и я принимаю, что этот ответ оставляет ее как ссылку, но конечно щедрость идет к Evan :-)
Это - то, какие потребности быть добавленным к конфигурации маршрутизатора, чтобы включить PPTP и коммутируемому доступу L2TP доступ VPN:
aaa authentication ppp default local
vpdn enable
vpdn-group VPN_Clients
accept-dialin
protocol any
virtual-template 1
no l2tp tunnel authentication
crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
crypto isakmp key <IPSEC PRE-SHARED-KEY> address 0.0.0.0 0.0.0.0
crypto ipsec transform-set VPN_TS esp-3des esp-sha-hmac
mode transport
crypto dynamic-map VPN_DYN_MAP 1
set nat demux
set transform-set VPN_TS
crypto map VPN_MAP 1 ipsec-isakmp dynamic VPN_DYN_MAP
interface Dialer0
crypto map VPN_MAP
ip local pool VPN_POOL 192.168.42.240 192.168.42.249
interface Virtual-Template1
ip unnumbered Vlan1
ip nat inside
peer default ip address pool VPN_POOL
no keepalive
ppp encrypt mppe auto required
ppp authentication ms-chap-v2 ms-chap chap
Примечание 1: для аутентификации пользователей VPN необходимо будет установить их пароли с командой username <user> password <password> вместо больше безопасного username <user> secret <password>, иначе аутентификация перестанет работать, потому что MD5-зашифрованные-пароли не совместимы с CHAP; это документируется здесь.
Примечание 2: Эта конфигурация присваивает IP-адресам клиентов VPN, которые являются частью внутренней сети; это - самый легкий подход, поскольку использование другой подсети потребовало бы предоставления клиентов статический маршрут к LAN. Это действительно было бы более безопасно, но для простого доступа к домашней сети это просто не стоит стычки.
Таким образом согласно веб-сайту Cisco, да у Вас могут быть свои 877 быть сервером. Но я настоятельно рекомендовал бы против него. Я устанавливаю решение VPN с этим 871 маршрутизатором, соединяющимся с головным узлом 2 800 маршрутизаторов, и имел все виды проблем. Низкокачественные устройства просто не сделаны обработать много одновременных соединений VPN. Моя рекомендация состояла бы в том, чтобы купить 2 800 или 3 800 серийных маршрутизаторов с модулем VPN. Аппаратный модуль будет допускать больше соединений, но также обработает соединения намного лучше.
То, как Вы хотите настроить все это и куда поместить Ваш головной узел, ваше дело, но я думаю, имея головной узел, находятся за пределами Вашей сети, как Ваши 877 делают сегодня является, вероятно, самым легким. В ссылках ниже Вы найдете много способов сделать это, но самое легкое должно использовать главный узел как Вы, имеют теперь, но с более раскормленными аппаратными средствами.
Выньте пробелы для тех ссылок и ищите вторую "Легкую VPN".
http://www.cisco.com/en/US/products/sw/secursw/ps5299/
http://www.cisco.com/en/US/docs/routers/access/800/850/software/configuration/guide/857sg_bk.pdf
-
1
Вот является моя попытка w/o наличием маршрутизатора как этот для фактического тестирования на. Добавьте следующее к своей конфигурации:
vpdn enable
vpdn-group 1
accept-dialin
protocol pptp
virtual-template 1
exit
ip local pool clients 192.168.200.1 192.168.200.127
interface virtual-template 1
encap ppp
peer default ip address pool clients
ip unnumbered vlan1
no keepalive
ppp encrypt mppe auto required
ppp authentication ms-chap
aaa authentication ppp default local
Это должно включить коммутируемый доступ VPN (VPDN), создать группу VPDN, чтобы принять поступление PPTP, создать пул IP, чтобы присвоить клиентам, создать интерфейс виртуального шаблона, который будет присвоен клиентам, и включить локальную аутентификацию для пользователей PPP. MS-CHAP и шифрование MPPE будут требоваться (значения по умолчанию в Windows так или иначе, я верю).
Я стремлюсь видеть, разбираюсь ли я в нем на первой попытке... или, действительно, вообще.