HCIE-Security-CH12-L2TP_over_IPSec
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
12.2 L2TP over IPSec 配置示例
12.2.1 使用 VPN Client 通过 L2TP over IPSec 接入总部
出差安全访问总部内网,可与总部网关建立 L2TP over IPSec 隧道连接。员工通过使用 PC 上的 VPN Client 软件进行拨号,从而访问总部服务器。
·9·
HCIE-Security 备考资料大全
sa duration traffic-based 1843200 sa duration time-based 3600 # ipsec policy ipsec9116572166 10000 isakmp template tpl91165721597 # interface GigabitEthernet1/0/1 ip address 1.1.1.2 255.255.255.0 ipsec policy ipsec9116572166 auto-neg # interface GigabitEthernet1/0/3 ip address 192.168.1.1 255.255.255.0 # interface Virtual-Template1 ppp authentication-mode chap pap alias L2TP_LNS_0 remote address pool 1 # l2tp-group 1 allow l2tp virtual-template 1 # l2tp domain suffix-separator @ # aaa authentication-scheme default # authorization-scheme default # accounting-scheme default # domain default
,建立 L2TP 隧道。
2. LAC Client 拨号成功后,在 LNS 端查看 L2TP 隧道的建立情况。 a. 选择“网络 > L2TP > 监控”,查看到有 L2TP 隧道 ID,说明 L2TP 隧道建立 成功。如下。
本端通道 ID
1
对端通道 ID
1
本端地址/PPP 地址
1.1.1.2/10.2.1.3
安全区域
trust
IPv4
·3·
HCIE-Security 备考资料大全
·4·
IP 地址
192.168.1.1/24
b. 配置安全策略,允许私网指定网段进行报文交互。 1. 选择“策略 > 安全策略 > 安全策略”。 2. 单击“新建”,按如下参数配置从 Trust 到 Untrust 的域间策略。
·7·
HCIE-Security 备考资料大全
图 12-2-3 LAC 客户端 IPSec 设置
d. 在“IKE 设置”页面设置 IKE 基本信息。参数设置如图 12-2-4 所示。
结果验证
图 12-2-4 LAC 客户端 IKE 设置
1. 在 LAC Client 端 PC 上,单击配置完毕的 VPN 连接的
对端地址/PPP 地址
10.1.1.2/10.2.1.2
端口5Biblioteka 806会话数1对端名称
client1
b. 单击会话数的链接,可查看到会话详细信息如下。
本端 SID
81
对端 SID
1
·8·
第 12 章 L2TP over IPSec
本端 TID
1
3. 在 LNS 上查看 IPSec 隧道的建立情况。查看到以下信息,说明 IPSec 隧道建立成功。
要与 NGFW 的参数对应。
操作步骤
1. 配置 LNS。
a. 配置接口 IP 地址和安全区域,完成网络基本参数配置。
1. 选择“网络 > 接口”。
2. 单击 GE1/0/1 对应的 ,按如下参数配置。
安全区域
untrust
IPv4
IP 地址
1.1.1.2/24
3. 单击“确定”。 4. 参考上述步骤按如下参数配置 GE1/0/3 接口。
说明:
VPN Client 上设置的 IPSec 身份验证字需要与 LNS 上设置的预共享密钥保持一致。 如果用户需要访问 Internet,请在“基本设置”页签中选中“连接成功后允许访问 Internet(N)”,并在“路由设置”页签中配置相关路由。
·6·
第 12 章 L2TP over IPSec
策略名称
状态
本端地址
对端地址
policy_ipsec
IKE 协商成功、PSec 1.1.1.2 协商成功
10.1.1.2
4. 在 LAC Client 端 PC 上,可以查看到分配到了 10.2.1.2/24~10.2.1.100/24 网段的地址。 且出差员工可以正常访问总部服务器资源。
配置脚本
LNS 的配置脚本
第 12 章 L2TP over IPSec
组为例,实际应用中可以把用户放置在任意组中。
3. 单击“确定”。 d. 配置 L2TP over IPSec 隧道。
1. 选择“网络 > IPSec > IPSec”,在“IPSec 策略列表”下单击“新建”。 2. 选择“场景”为“点到多点”,“对端接入类型”选择“L2TP over IPSec
IP 地址:10.1.1.2/24
L2TP 配置 用户认证名称:vpdnuser 用户认证密码:Hello123
IPSec 配置 预共享密钥:Admin@123 对端地址:1.1.1.2
配置思路
1. 完成 NGFW 的基本配置、包括接口、安全策略、路由的配置。 2. 在 NGFW 上完成 L2TP over IPSec 的配置。 3. 在出差员工的 PC 上完成 VPN Client 的配置,需要注意的是 VPN Client 的配置参数需
# l2tp enable
# ike proposal 3
authentication-algorithm sha1 md5 integrity-algorithm aes-xcbc-96 hmac-sha1-96 hmac-md5-96 # ike peer ike91165721597 exchange-mode auto pre-shared-key %$%$Z1}*8w'rH;MD;%$%$ ike negotiate compatible ike-proposal 3 remote-id-type none # acl number 3001 rule 5 permit udp source-port eq 1701 rule 10 permit udp destination-port eq 1701 # ipsec proposal prop91165721597 encapsulation-mode auto # ipsec policy-template tpl91165721597 1 security acl 3001 ike-peer ike91165721597 alias policy_ipsec scenario point-to-multipoint l2tp-user-access proposal prop91165721597 local-address 1.1.1.2
名称
policy_ipsec_2
源安全区域
untrust
目的安全区域 trust
目的地址/地区 192.168.1.0/24
动作
允许
从 Untrust 到 Local 的域间策略配置如下。
名称
policy_ipsec_3
源安全区域
untrust
目的安全区域 local
目的地址/地区 1.1.1.2/32
接口号:GigabitEthernet 1/0/3 IP 地址:192.168.1.1/24 安全区域:Trust
用户地址池:10.2.1.2~10.2.1.100
L2TP 配置 用户认证名称:vpdnuser 用户认证密码:Hello123
IPSec 配置 预共享密钥:Admin@123 本端 ID:IP 地址 对端 ID:接受任意对端 ID
客户端”。
按如下参数配置“基本配置”,总部此时为了让多个分支接入,不指定分支的地址。预共享密 钥为 Admin@123。
按如下参数配置“拨号用户配置”。
·5·
HCIE-Security 备考资料大全
3. 勾选“安全提议”中的“接受对端提议”,表示接受对端的 IPSec 提议 和算法。
4. 单击“应用”,完成 NGFW 的配置。 2. 配置出差员工侧。 出差员工侧主机上必须装有 L2TP 客户端软件,并通过拨号方式连接到 Internet。以 Secoway VPN Client 软件为例。
HCIE-Security 备考资料大全
章前能力测试: 1.L2TP over IPSec 有哪些好处?
12.1 L2TP over IPSec 简介
L2TP over IPSec,即先用 L2TP 封装报文后再用 IPSec 封装,这样可以综合两种 VPN 的优 势,通过 L2TP 实现用户验证和地址分配,并利用 IPSec 保障安全性。
图 12-2-2 LAC 客户端基本设置
c. 在“IPSec 设置”页面设置 IPSec 基本信息。参数设置如图 12-2-3 所示。 说明: 当 LNS 侧采用 L2TP over IPSec 方式配置 VPN 隧道时,LNS 将不对 VPN Client 做隧道验证, 因此 VPN Client 上无需配置“L2TP 设置”页签。
第 12 章 L2TP over IPSec
第 12 章 L2TP over IPSec························ 1 12.1 L2TP over IPSec 简介............................................................................................... 2 12.2 L2TP over IPSec 配置示例....................................................................................... 2 12.2.1 使用 VPN Client 通过 L2TP over IPSec 接入总部 ...................................... 2
数据规划
项目 LNS
·2·
图 12-2-1 配置出差人员通过 L2TP over IPSec 接入总部组网图
数据 接口号:GigabitEthernet 1/0/1 IP 地址:1.1.1.2/24 安全区域:Untrust
第 12 章 L2TP over IPSec
项目 LAC Client
数据
名称
policy_ipsec_1
源安全区域
trust
目的安全区域 untrust
源地址/地区
192.168.1.0/24
动作
允许
3. 单击“确定”。 4. 参考上述步骤配置从 Untrust 到 Trust、从 Untrust 到 Local 和从 Local
到 Untrust 的域间策略。 从 Untrust 到 Trust 的域间策略配置如下。
动作
允许
从 Local 到 Untrust 的域间策略配置如下。
名称
policy_ipsec_4
源安全区域
local
目的安全区域 untrust
源地址/地区
1.1.1.2/32
动作
允许
c. 配置本地用户。 1. 选择“对象 > 用户 > 用户/组”。 2. 在“成员管理”中,单击“新建”,选择“新建用户”,按如下参数配 置出差员工“vpdnuser”的用户信息,密码为 Hello123。本例以“/default”
a. 打开 Secoway VPN Client 软件,选中已有连接,单击
。
说明: 此操作要在 VPN Client 断开拨号的情况下执行。
如果没有连接存在,请单击
,根据向导建立新的连接。
b. 在“基本设置”页面设置基本信息,并启用 IPSec 安全协议。 参数设置如图 12-2-2 所示。启用 IPSec 安全协议,并设置登录密码为 Hello123,身份验证 字为 Admin@123。
组网需求 如图 12-2-1,LAC 客户端通过 Internet 连接到公司总部的 LNS 侧。要求由出差员工(LAC Client)直接向 LNS 发起连接请求,与 LNS 的通讯数据通过隧道 Tunnel 传输。先使用 L2TP 封装第二层数据,对身份认证;再使用 IPSec 对数据进行加密。
12.2.1 使用 VPN Client 通过 L2TP over IPSec 接入总部
出差安全访问总部内网,可与总部网关建立 L2TP over IPSec 隧道连接。员工通过使用 PC 上的 VPN Client 软件进行拨号,从而访问总部服务器。
·9·
HCIE-Security 备考资料大全
sa duration traffic-based 1843200 sa duration time-based 3600 # ipsec policy ipsec9116572166 10000 isakmp template tpl91165721597 # interface GigabitEthernet1/0/1 ip address 1.1.1.2 255.255.255.0 ipsec policy ipsec9116572166 auto-neg # interface GigabitEthernet1/0/3 ip address 192.168.1.1 255.255.255.0 # interface Virtual-Template1 ppp authentication-mode chap pap alias L2TP_LNS_0 remote address pool 1 # l2tp-group 1 allow l2tp virtual-template 1 # l2tp domain suffix-separator @ # aaa authentication-scheme default # authorization-scheme default # accounting-scheme default # domain default
,建立 L2TP 隧道。
2. LAC Client 拨号成功后,在 LNS 端查看 L2TP 隧道的建立情况。 a. 选择“网络 > L2TP > 监控”,查看到有 L2TP 隧道 ID,说明 L2TP 隧道建立 成功。如下。
本端通道 ID
1
对端通道 ID
1
本端地址/PPP 地址
1.1.1.2/10.2.1.3
安全区域
trust
IPv4
·3·
HCIE-Security 备考资料大全
·4·
IP 地址
192.168.1.1/24
b. 配置安全策略,允许私网指定网段进行报文交互。 1. 选择“策略 > 安全策略 > 安全策略”。 2. 单击“新建”,按如下参数配置从 Trust 到 Untrust 的域间策略。
·7·
HCIE-Security 备考资料大全
图 12-2-3 LAC 客户端 IPSec 设置
d. 在“IKE 设置”页面设置 IKE 基本信息。参数设置如图 12-2-4 所示。
结果验证
图 12-2-4 LAC 客户端 IKE 设置
1. 在 LAC Client 端 PC 上,单击配置完毕的 VPN 连接的
对端地址/PPP 地址
10.1.1.2/10.2.1.2
端口5Biblioteka 806会话数1对端名称
client1
b. 单击会话数的链接,可查看到会话详细信息如下。
本端 SID
81
对端 SID
1
·8·
第 12 章 L2TP over IPSec
本端 TID
1
3. 在 LNS 上查看 IPSec 隧道的建立情况。查看到以下信息,说明 IPSec 隧道建立成功。
要与 NGFW 的参数对应。
操作步骤
1. 配置 LNS。
a. 配置接口 IP 地址和安全区域,完成网络基本参数配置。
1. 选择“网络 > 接口”。
2. 单击 GE1/0/1 对应的 ,按如下参数配置。
安全区域
untrust
IPv4
IP 地址
1.1.1.2/24
3. 单击“确定”。 4. 参考上述步骤按如下参数配置 GE1/0/3 接口。
说明:
VPN Client 上设置的 IPSec 身份验证字需要与 LNS 上设置的预共享密钥保持一致。 如果用户需要访问 Internet,请在“基本设置”页签中选中“连接成功后允许访问 Internet(N)”,并在“路由设置”页签中配置相关路由。
·6·
第 12 章 L2TP over IPSec
策略名称
状态
本端地址
对端地址
policy_ipsec
IKE 协商成功、PSec 1.1.1.2 协商成功
10.1.1.2
4. 在 LAC Client 端 PC 上,可以查看到分配到了 10.2.1.2/24~10.2.1.100/24 网段的地址。 且出差员工可以正常访问总部服务器资源。
配置脚本
LNS 的配置脚本
第 12 章 L2TP over IPSec
组为例,实际应用中可以把用户放置在任意组中。
3. 单击“确定”。 d. 配置 L2TP over IPSec 隧道。
1. 选择“网络 > IPSec > IPSec”,在“IPSec 策略列表”下单击“新建”。 2. 选择“场景”为“点到多点”,“对端接入类型”选择“L2TP over IPSec
IP 地址:10.1.1.2/24
L2TP 配置 用户认证名称:vpdnuser 用户认证密码:Hello123
IPSec 配置 预共享密钥:Admin@123 对端地址:1.1.1.2
配置思路
1. 完成 NGFW 的基本配置、包括接口、安全策略、路由的配置。 2. 在 NGFW 上完成 L2TP over IPSec 的配置。 3. 在出差员工的 PC 上完成 VPN Client 的配置,需要注意的是 VPN Client 的配置参数需
# l2tp enable
# ike proposal 3
authentication-algorithm sha1 md5 integrity-algorithm aes-xcbc-96 hmac-sha1-96 hmac-md5-96 # ike peer ike91165721597 exchange-mode auto pre-shared-key %$%$Z1}*8w'rH;MD;%$%$ ike negotiate compatible ike-proposal 3 remote-id-type none # acl number 3001 rule 5 permit udp source-port eq 1701 rule 10 permit udp destination-port eq 1701 # ipsec proposal prop91165721597 encapsulation-mode auto # ipsec policy-template tpl91165721597 1 security acl 3001 ike-peer ike91165721597 alias policy_ipsec scenario point-to-multipoint l2tp-user-access proposal prop91165721597 local-address 1.1.1.2
名称
policy_ipsec_2
源安全区域
untrust
目的安全区域 trust
目的地址/地区 192.168.1.0/24
动作
允许
从 Untrust 到 Local 的域间策略配置如下。
名称
policy_ipsec_3
源安全区域
untrust
目的安全区域 local
目的地址/地区 1.1.1.2/32
接口号:GigabitEthernet 1/0/3 IP 地址:192.168.1.1/24 安全区域:Trust
用户地址池:10.2.1.2~10.2.1.100
L2TP 配置 用户认证名称:vpdnuser 用户认证密码:Hello123
IPSec 配置 预共享密钥:Admin@123 本端 ID:IP 地址 对端 ID:接受任意对端 ID
客户端”。
按如下参数配置“基本配置”,总部此时为了让多个分支接入,不指定分支的地址。预共享密 钥为 Admin@123。
按如下参数配置“拨号用户配置”。
·5·
HCIE-Security 备考资料大全
3. 勾选“安全提议”中的“接受对端提议”,表示接受对端的 IPSec 提议 和算法。
4. 单击“应用”,完成 NGFW 的配置。 2. 配置出差员工侧。 出差员工侧主机上必须装有 L2TP 客户端软件,并通过拨号方式连接到 Internet。以 Secoway VPN Client 软件为例。
HCIE-Security 备考资料大全
章前能力测试: 1.L2TP over IPSec 有哪些好处?
12.1 L2TP over IPSec 简介
L2TP over IPSec,即先用 L2TP 封装报文后再用 IPSec 封装,这样可以综合两种 VPN 的优 势,通过 L2TP 实现用户验证和地址分配,并利用 IPSec 保障安全性。
图 12-2-2 LAC 客户端基本设置
c. 在“IPSec 设置”页面设置 IPSec 基本信息。参数设置如图 12-2-3 所示。 说明: 当 LNS 侧采用 L2TP over IPSec 方式配置 VPN 隧道时,LNS 将不对 VPN Client 做隧道验证, 因此 VPN Client 上无需配置“L2TP 设置”页签。
第 12 章 L2TP over IPSec
第 12 章 L2TP over IPSec························ 1 12.1 L2TP over IPSec 简介............................................................................................... 2 12.2 L2TP over IPSec 配置示例....................................................................................... 2 12.2.1 使用 VPN Client 通过 L2TP over IPSec 接入总部 ...................................... 2
数据规划
项目 LNS
·2·
图 12-2-1 配置出差人员通过 L2TP over IPSec 接入总部组网图
数据 接口号:GigabitEthernet 1/0/1 IP 地址:1.1.1.2/24 安全区域:Untrust
第 12 章 L2TP over IPSec
项目 LAC Client
数据
名称
policy_ipsec_1
源安全区域
trust
目的安全区域 untrust
源地址/地区
192.168.1.0/24
动作
允许
3. 单击“确定”。 4. 参考上述步骤配置从 Untrust 到 Trust、从 Untrust 到 Local 和从 Local
到 Untrust 的域间策略。 从 Untrust 到 Trust 的域间策略配置如下。
动作
允许
从 Local 到 Untrust 的域间策略配置如下。
名称
policy_ipsec_4
源安全区域
local
目的安全区域 untrust
源地址/地区
1.1.1.2/32
动作
允许
c. 配置本地用户。 1. 选择“对象 > 用户 > 用户/组”。 2. 在“成员管理”中,单击“新建”,选择“新建用户”,按如下参数配 置出差员工“vpdnuser”的用户信息,密码为 Hello123。本例以“/default”
a. 打开 Secoway VPN Client 软件,选中已有连接,单击
。
说明: 此操作要在 VPN Client 断开拨号的情况下执行。
如果没有连接存在,请单击
,根据向导建立新的连接。
b. 在“基本设置”页面设置基本信息,并启用 IPSec 安全协议。 参数设置如图 12-2-2 所示。启用 IPSec 安全协议,并设置登录密码为 Hello123,身份验证 字为 Admin@123。
组网需求 如图 12-2-1,LAC 客户端通过 Internet 连接到公司总部的 LNS 侧。要求由出差员工(LAC Client)直接向 LNS 发起连接请求,与 LNS 的通讯数据通过隧道 Tunnel 传输。先使用 L2TP 封装第二层数据,对身份认证;再使用 IPSec 对数据进行加密。