vpn怎么个做法？是在路由器上做还是在交换机上做？具体怎么做？

VPDN全名为Virtual Private Dial-Up Networks 虚拟拨号专用网络，即利用公众电话网络（PSTN+公用数据网）的架构来构筑企业的专用网络。传统的***（ Virtual Private Network ）系指电信网络架构提供者（Carrier Provider）利用Frame Relay、tunnel技术或者是ATM的广域网络架构，提供虚拟的带宽享功能。***架构均是建筑在物理链接（Physical Link）的网络架构上，即网络各点均要以专线固定连接的方式连结始可运作。

VPDN的协议是第二层（点对点隧道协议(PPTP，Point to point protocol，)、第二层转发（L2F，layer 2 Forwarding）、第二层隧道协议（L2TP，Layer 2 tunneling protocol，）隧道协议基于第三层隧道协议，它先把各种网络协议封装到PPP中，再把整个数据包装入隧道协议中，这种双层封装方法形成的数据包需靠第二层协议进行传输。一般情况下VPDN所用的协议为L2TP协议。

VPDN的协议工作原理是当vpdn用户拨号时，拨号服务器与公司的企业网关之间直接建立tunnel，在此过程中用户的数据如TCP、IP、IPX等协议，再经一系列封装，通过tunnel传递到企业网关，在进行解包，数据才传递到企业内部。

VPDN的设置一般由路由器或者是网关来担任。先讲一下VPDN的设置步骤。在路由器的一般配置密码和其它命令这后，在全局配置模式下，通过以下命令增加用户就要设置AAA认证，即authentication、authorization、accounting三个重要步骤。设置打开 AAA模式后，必须在接入服务器本机增加用户，否则，将无法登录到接入服务器进行操作。再接下来配置Virtual-Template1、最后配置VPDN功能。

具体命令如下全局模式下：

aaa new-model

aaa authentication login default local radius

aaa authentication ppp default local radius

aaa authorization exec default local

aaa authorization network default if-authenticated

aaa accounting network default start-stop radius

增加用户

username admin password 0 密码

username 165 password 0 密码

配置Virtual-Template1

interface Virtual-Template1

ip unnumbered Ethernet0/0

no ip directed-broadcast

no ip route-cache cef

ip mroute-cache

peer default ip address pool default

ppp authentication pap

配置VPDN功能

vpdn enable

!

vpdn-group 1

! Default L2TP VPDN group

accept-dialin

protocol l2tp

virtual-template 1

lcp renegotiation always

l2tp tunnel password 7 15060E1F10 L2TP TUNNEL

其中VPDN可以使用Acesslist访问列表来实现防火墙的功能。

可以试一下

多WAN口千兆企业***路由器TL-R483G  

你可以开启***功能试试，远程登录内网

WAN口接光猫或GPON，  其它口lan接局域网内交换机和电脑都可以

外网访问打开PPTP/L2TP  ***

***又称虚拟私有网(Virtual Private Network)，它利用知网络安全技术和加密技术，在Internet公用网络（电道信、网通的骨干网络）中建立一个安全的连接，数据只有通讯双方才能够获得，两端的网络和客户端如同处在同一个局域网一样。

连接好***后还得设置静态路由回，否则人的话，系统会自动把你发出的地址连接发送到你本来的网络上，根本就没通过***．你可以把以下内容修改后制作成BAT文件答，运行静态路由设置．

某公司需要为出差员工提供***接入，保证出差员工可以通过*** 隧道安全访问内网服务器资源。分析用户需求，可以通过PPTP ***功能满足该需求。以下为服务器参考设置表：

注意：PPTP地址池、用户名、密码、本地地址、地址池名称等参数均可自定义，DNS地址则填写当地宽带服务商提供的DNS地址，上述数据仅供参考。

1、增加PPTP地址池

登录路由器管理界面，在 对象管理 >> IP地址池 中添加PPTP地址池，点击 新增，设置如下：

2、设置PPTP ***

在 *** >> PPTP >> PPTP服务器设置 中设置PPTP服务器参数，点击 新增，设置如下：

       注意：本地地址为客户端拨号成功后，管理PPTP ***服务器使用的IP地址。

3、添加NAPT规则

如果需要实现客户端既可以访问***服务器，又可以使用互联网，则需要在***服务器上设置NAPT规则。设置方法如下：

在 传输控制 >> NAT设置 >> NAPT 中添加PPTP ***地址池对应的NAPT规则。如下图所示：

至此，PPTP ***服务器已设置完成。

不同PPTP 客户端的配置方式有所差异，请选择客户端操作系统，参考对应指导文档：

客户端拨号成功后，可以在PPTP服务器隧道信息显示客户端信息。

终端连接成功后，在 *** >> PPTP >> PPTP服务器隧道信息 中会显示对应条目，如图所示：

    至此，PPTP ***设置连接成功，***客户端可以访问上网并访问总部内网。

这个，检查光猫到二级路由器的网线，一般过5M以上，

因为100Mbps/8bit==约12M/s

损失高要查是否二级路由器，设置问题，端口映射，或物理网线质量；

另外光猫100Mbps,上行是有限的，问宽带运营商，测量一下，如上行1M/s估算是10Mbps；

这个是换算标准问题，达标的。。。

***分为三种（pptp，l2tp，ipsec）不知道你问的是那种

pptp（点对点的连接方式）

配置方法：（有需要一定的配置基础）

1开启***功能

2建立一个vpdn组

3允许拨号

4设置协议为pptp

5引用虚拟模板（退回全局配置模式）

6建立用户

7创建***用户拨入的地址池

8建立虚拟模版

9设置加密方式为pap

10关联内网接口

11匹配***

l2tp(端对端的接入方式)

A端路由器配置：

1开启***功能

2建立一个vpdn组

3允许拨号

4设置协议为L2TP

5引用虚拟模板（退回全局配置模式）

6建立用户

7创建***用户拨入的地址池

8建立虚拟模版

9设置加密方式为chap

10关联内网接口

11匹配***

12nat参与

B端路由器配置：

1创建拨号模版

2创建虚链路

3封装L2TPv2协议

4设置协议

5关联外网接口

6建立虚拟模板

7虚链路封装

8设置用户名

9设置密码

10配置：ip mtu 1460

11ip地址商议获取

12nat参与

ipsec（数据加密）

配置：（AB路由器的配置方法一样，只需要更改对应值）

1建立acl，定义需要ipsec保护的数据

2定义安全联盟和密钥交换策略

3配置预共享密钥，对端路由ip

4定义ipsec的变换集

5设置加密映射

6在端口上应用加密映射

用一根网线就可以实现外网及内网***同时上网。

外网上网就不用解释了。

所谓***，简单来说，就是在2个可以通信的外网地址之间做的一个内网地址互通的隧道。

***可以在支持***的路由器或交换机之间建立，也可以在*** 服务器及电脑之间建立，这种方式需要在电脑上安装***客户端软件。

通过***上网时，互联网上看到的地址也是分配给你单位的外网IP地址，内网地址在互联网（Internent）上是不可见的。

线路连接路由器及设置步骤：

1、将网线—路由器—电脑之间的线路连接好，启动电脑和路由器设备；

2、启动设备后，打开浏览器，在地址栏中输入19216811进入无线路由器设置界面。（如进不了请翻看路由器底部铭牌或者是路由器使用说明书，不同型号路由器设置的默认都不一样。）

3、设置界面出现一个登录路由器的帐号及密码，输入默认帐号和密码admin，也可以参考说明书；

4、登录成功之后选择设置向导的界面，默认情况下会自动弹出；

5、选择设置向导之后会弹出一个窗口说明，通过向导可以设置路由器的基本参数，直接点击下一步即可；

6、根据设置向导一步一步设置，选择上网方式，通常ADSL用户则选择第一项PPPoE，如果用的是其他的网络服务商则根据实际情况选择下面两项，如果不知道该怎么选择的话，直接选择第一项自动选择即可，方便新手操作，选完点击下一步；

7、输入从网络服务商申请到的账号和密码，输入完成后直接下一步；

8、设置wifi密码，尽量字母数字组合比较复杂一点不容易被蹭网。

9、输入正确后会提示是否重启路由器，选择是确认重启路由器，重新启动路由器后即可正常上网。

虚拟专用网络的功能是：在公用网络上建立专用网络，进行加密通讯。在企业网络中有广泛应用。***网关通过对数据包的加密和数据包目标地址的转换实现远程访问。***有多种分类方式，主要是按协议进行分类。***可通过服务器、硬件、软件等多种方式实现。

***属于远程访问技术，简单地说就是利用公用网络架设专用网络。例如某公司员工出差到外地，他想访问企业内网的服务器资源，这种访问就属于远程访问。

设置方法：

A厂使用QVM330

B厂使用QVM250

1进入QVM330路由器后点击***虚拟路私有网络---网关对网关设定设置一个隧道2设置***远程网关认证IP地址。这里是需要填写B厂的IP地址。

3设置好以后确定。在目前***状态看到所示说明A厂的路由器拔号到B厂成功了。

4但是只能A厂的用户访问B厂的数据。反过来B厂是不可以访问的。那需要把B厂的路由器也设置拔号到A厂。方法和上面的方法是一样的。只是IP地址不一样。

5两台路由器互拔***就可以实现两个厂的数据传输。两个厂的网络就像局域网一样。

下面的配置配置到路由器上就可以了。

[LAC] local-user

vpdnuser

[LAC-luser-vpdnuser] password simple Hello

[LAC-luser-vpdnuser]

service-type ppp

[LAC] interface serial 1/0

[LAC-Serial1/0] ppp

authentication-mode chap

[LAC] l2tp enable

[LAC] l2tp-group

1

[LAC-l2tp1] tunnel name LAC

[LAC-l2tp1] start l2tp ip 2122

fullusername vpdnuser

[LAC-l2tp1] tunnel authentication

[LAC-l2tp1] tunnel

password simple aabbcc