公司×××访问建立之一JuniperNS50实现远程×××(Only L2TP User)

最近一个月的时间，一直在研究公司×××的实现方法，苦于掌握的知识太少，走了许多的弯路，期间好几次都以为山穷水尽而几近放弃，但最终还是坚持了下来，终获成功，回头看来，这一路的艰辛也变成了一种宝贵的财富。现把这其中的点滴记录下来，为备忘，亦分享经验，共同进步。

公司的网络布局说起来也不复杂，这里就不用拓扑图了：

×××用户——Internet——JuniperNS50——ISA2006——核心交换机(划分了2个不同网段的VLAN)——2个不同网段的客户端

而我们要实现的最终目标就是客户能够通过×××拨号，由Internet进入JuniperNS50构建的×××环境，通过ISA2006的管理设置，访问到核心交换机后面的2个不同网段内的电脑。

我们假定它们的IP设定情况如下：

×××用户所在局域网IP段为192.168.200.1~254/255.255.255.0，网关和DNS根据实际情况进行设置，要求要能访问Internet，×××用户拨入JuniperNS50后分配的IP地址池为192.168.20.100~200/255.255.255.0，网关同它所取得的IP(会自动分配)

JuniperNS50的ethernet1口连接ISA2006的WAN网卡，IP为10.0.0.1/255.255.255.0，ethernet3口连接Internet，无论动态还是静态IP地址均可

ISA2006的WAN网卡地址为10.0.0.2/255.255.255.0，网关10.0.0.1，LAN网卡直接接入核心交换机，它的地址为192.168.0.11/255.255.255.0，网关为空，DNS与DC是同一台服务器，地址为192.168.0.10

核心交换机的VLAN1地址为192.168.0.3/255.255.255.0，它为0网段内客户机的网关(除了ISA2006的LAN网卡网关为空)，VLAN2地址为192.168.2.1/255.255.255.0，它为2网段内客户机的网关

VLAN1用户的地址段为192.168.0.1~254/255.255.255.0，VLAN2用户的地址段为192.168.2.1~254/255.255.255.0，注意不要与VLAN本身的地址冲突(比如192.168.0.3和192.168.2.1就不能被分配给其他电脑使用了)，DNS均为192.168.0.10

特别需要注意的是，×××用户所在的局域网IP地址段不应与其它任何一个IP地址段相同，否则需要在本机上自行添加相应的路由才能正常访问，个人感觉，这种方式不适合普通用户的使用，也不在本文的讨论范围以内，如有使用需要，请查找相关说明。

由于涉及的内容比较多，我把整个的实现过程按照不同的设置部分分为三篇来写：

《公司×××访问建立之一JuniperNS50实现远程×××(Only L2TP User)》

《公司×××访问建立之二ISA2006服务器的设置》

《公司×××访问建立之三核心交换机Huawei Quidway S6502的设置》

下面，我们先开始本章的内容描述。这部分的内容，主要是通过学习wzknet大大的技术日志得来的经验，这里特别对他表示感谢，以下是他blog的地址，推荐大家都去看看，也许就能像我一样找到自己需要的知识。

http://k968888.blog.sohu.com/entry/5684071/

首先我们登录JuniperNS50的Web管理(当然你也可以通过命令行来实现，具体的方法wzknet大大有专门的文章)，新建一个IP Pools(地址池)，这个地址池内的IP地址就是×××用户拨入后所取得的“本地”IP地址(此时的×××客户机除了有自身局域网内的IP，还会有一个由JuniperNS50的×××所分配的IP)

Objects—IP Pools—New

然后修改L2TP的缺省设置，对于DNS服务器的设置，请根据自己的不同情况进行修改

×××s—L2TP—Default Settings

而后新建一个L2TP的Tunnel(通道)，这里选择ethernet3是由于这个端口是JuniperNS50上连接Internet的端口

×××s—L2TP—Tunnel—New

我们可以新建一个允许×××用户访问的地址簿，如果不定义的话，默认所有的内网电脑都可以被访问，为了测试方便，我没有做这个限制

Objects—Addresses—List—New

接下来，新建一个L2TP用户

Objects—Users—Local—New

我们可以新建一个L2TP的用户组，以方便以后的归类管理

Objects—Users—Local Groups—New

输入组名，选中刚才新建的L2TP用户"admin"，使用"<<"将它移入组成员菜单中

最后新建一条访问策略

Policies—From Untrust To Trust—New

其中"Destination Address"—"Address Book Entry"选项选择的就是刚才新建的访问地址簿，由于我没有设定这个限制，所以我这里选择的是"Any"，勾选"Logging"选项记录访问信息

好了，到此在JuniperNS50上进行的×××设置全部完成，以下是在×××客户机上进行的设置说明，以Windows XP或Windows 2003为例。

另外，Windows XP或Windows 2003需要修改注册表，运行"regedit"，找到这个路径：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\Parameters，新增或修改类型为REG_DWORD的ProhibitIPSec的值为1

OK，然后在用户名和密码栏输入刚才在JuniperNS50上设置的相应内容后点击“连接”，正常情况下，你可以在屏幕的右下角看到连接成功的小电脑图标出现，至此，第一篇JuniperNS50远程×××(Only L2TP User)全部说明完毕，但此时的×××用户还不能访问0和2段的内网电脑，接下来的设置，请大家参看《公司×××访问建立之二ISA2006服务器的设置》。

 

 

转载于:https://blog.51cto.com/liufisky/323380