首页 > 其他分享 >L2TP VPN

L2TP VPN

时间:2024-07-29 12:24:37浏览次数:13  
标签:24 quit L2TP 配置 LNS l2tp VPN

目录

一、实验目的

二、实验环境

三、实验内容

1、实验规划:

2、关键内容:

3、实施步骤:

四、实验总结


一、实验目的

1、了解L2TP的实现原理;

2、掌握Client-Initiated场景下的L2TP的配置。

二、实验环境

华为eNSP模拟器,实验拓扑如下:

图 移动办公用户通过L2TP VPN隧道访问企业内网组网图

三、实验内容

公司总部通过LNS连接到Internet。出差员工(即接入用户)可通过L2TP拨号方式直接向LNS发起连接请求,与LNS的通讯数据通过L2TP隧道传输。此时要求接入用户的主机上必须装有L2TP客户端软件。

1、实验规划:

设备

接口

IP地址

安全区域

AR1

GE 0/0/1

1.1.1.2/24

untrust

GE 0/0/2

2.2.2.1/24

untrust

Server

Eth 0/0/0

10.1.1.10/24

trust

LNS

GE 1/0/1

1.1.1.1/24

untrust

GE 1/0/2

10.1.1.1/24

trust

Cloud

Eth 0/0/1

2.2.2.2/24

untrust

2、关键内容:
  1. 配置LNS的接口IP地址、路由和安全区域,完成基本网络参数配置;
  2. 在LNS上配置VT;
  3. 在LNS上配置用户和用户组,供远程办公用户拨号使用;
  4. 在LNS上配置L2TP组。
3、实施步骤:

步骤 1 配置基本网络参数

根据组网需要,在LNS上配置接口IP地址、路由及安全区域,完成网络基本参数配置。

# 配置接口IP地址

<LNS> system-view

[LNS] interface GigabitEthernet 0/0/1

[LNS-GigabitEthernet0/0/1] ip address 1.1.1.1 24

[LNS-GigabitEthernet0/0/1] quit

[LNS] interface GigabitEthernet 0/0/2

[LNS-GigabitEthernet0/0/2] ip address 10.1.1.1 24

[LNS-GigabitEthernet0/0/2] quit

# 接口加入安全区域

[LNS] firewall zone untrust

[LNS-zone-untrust] add interface GigabitEthernet 0/0/1

[LNS-zone-untrust] quit

[LNS] firewall zone trust

[LNS-zone-trust] add interface GigabitEthernet 0/0/2

[LNS-zone-trust] quit

# 配置缺省路由

[LNS] ip route-static 0.0.0.0 0.0.0.0 1.1.1.2

步骤 2 配置L2TP

# 配置地址池

[LNS] ip pool pool

//该地址池为接入用户分配私网地址。

[LNS-ip-pool-pool] section 1 172.16.1.2 172.16.1.100

[LNS-ip-pool-pool] quit

说明:

如果真实环境中地址池地址和总部内网地址配置在了同一网段,则必须在LNS连接总部网络的接口上开启ARP代理功能,保证LNS可以对总部网络服务器发出的ARP请求进行应答。

# 配置业务方案

[LNS] aaa

[LNS-aaa] service-scheme l2tp       //创建一个业务方案,并进入业务方案视图

[LNS-aaa-service-l2tp] ip-pool pool   //设置业务方案下的IP地址池

[LNS-aaa-service-l2tp] quit

# 配置认证域及用户

[LNS-aaa] domain default                  //进入default域

[LNS-aaa-domain-default] service-type l2tp    //配置认证域的接入控制类型

[LNS-aaa-domain-default] quit

[LNS] user-manage group /default/marketing  //创建用户组,并进入用户组视图

[LNS-usergroup-/default/marketing] quit

[LNS] user-manage user sjx            //创建用户,并进入用户视图

[LNS-localuser-sjx] parent-group /default/marketing   //将用户加入组

[LNS-localuser-sjx] password Huawei@123           //设置用户密码

[LNS-localuser-sjx] quit

# 配置VT接口

[LNS] interface Virtual-Template 1    //创建VT接口,并进入接口视图

[LNS-Virtual-Template1] ip address 172.16.1.1 24

[LNS-Virtual-Template1] ppp authentication-mode chap   

//设置本端PPP协议对远端设备的验证方式

[LNS-Virtual-Template1] remote service-scheme l2tp

//指定为对端分配地址时使用哪个业务方案下的IP地址池

[LNS-Virtual-Template1] quit

[LNS] firewall zone dmz

[LNS-zone-dmz] add interface Virtual-Template 1

//VT接口加入安全区域

[LNS-zone-dmz] quit

# 配置L2TP组

[LNS] l2tp enable    //启用L2TP功能

[LNS] l2tp-group 1   //创建并进入L2TP组

[LNS-l2tp-1] allow l2tp virtual-template 1 remote client

//指定接受呼叫时隧道对端的名称(client)及所使用的Virtual-Template

[LNS-l2tp-1] tunnel authentication            //启用L2TP的隧道验证功能

[LNS-l2tp-1] tunnel password cipher Hello123  //指定隧道验证时的密码

[LNS-l2tp-1] quit

步骤 3 配置安全策略

配置trust与dmz之间的安全策略,允许移动办公用户访问总部内网以及总部内网访问移动办公用户的双向业务流量通过;配置从untrust到local方向的安全策略,允许L2TP报文通过。

# 配置trust与dmz间安全策略

[LNS] security-policy

[LNS-policy-security] rule name policy1

[LNS-policy-security-rule-policy1] source-zone dmz

[LNS-policy-security-rule-policy1] destination-zone trust

[LNS-policy-security-rule-service_dt] source-address 172.16.1.0 24

[LNS-policy-security-rule-service_dt] destination-address 10.1.1.0 24

[LNS-policy-security-rule-policy1] action permit

[LNS-policy-security-rule-policy1] quit

# 配置从untrust到local的安全策略

[LNS-policy-security] rule name policy2

[LNS-policy-security-rule-policy2] source-zone untrust

[LNS-policy-security-rule-policy2] destination-zone local

[LNS-policy-security-rule-policy2] action permit

[LNS-policy-security-rule-policy2] quit

步骤 4 配置其他网络设备

# 配置R1

<R1> system-view

[R1] interface GigabitEthernet 0/0/1

[R1-GigabitEthernet0/0/1] ip address 1.1.1.2 24

[R1-GigabitEthernet0/0/1] quit

[R1] interface GigabitEthernet 0/0/2

[R1-GigabitEthernet0/0/2] ip address 2.2.2.1 24

[R1-GigabitEthernet0/0/2] quit

# 配置服务器

配置内网服务器的IP地址和网关,网关设置为防火墙内网口的IP地址,如下图:

# 配置Cloud和虚拟网卡VMware Network Adapter VMnet8

图 Cloud配置

图 虚拟网卡配置

步骤 5 配置移动办公用户

Uni VPN Client是一款用于VPN远程接入的终端软件,主要为移动办公用户远程访问企业内网资源提供安全、便捷的接入服务。本任务使用Uni VPN Client接入L2TP VPN。

# 安装并配置Uni VPN

打开Uni VPN,进入主界面,单击“新建连接”。

在“新建连接”窗口左侧导航栏中选中“L2TP/IPSec”,并配置相关的连接参数。其中,特别注意,要勾选“启用IPSec”安全协议,IPSec相关参数(如验证算法、加密算法、封装模式、DH组等)必须与LNS上配置的安全提议参数保持一致。然后单击“确定”。

    单击“连接”,在登录界面输入用户名、密码。

    单击“登录”,发起VPN连接。VPN接入成功时,系统会在界面右下角进行提示。连接成功后移动办公用户就可以和企业内网用户一样访问内网资源。

步骤 6 验证和调试

# 网络连通测试

以ping测试为例,可以在移动办公用户终端上ping通内网服务器(10.1.1.10)。

    # 浏览器访问web服务器

# 查看L2TP隧道

    在LNS上执行display l2tp tunnel、display l2tp session命令,查看到有L2TP隧道信息和会话信息,说明L2TP隧道建立成功。

综上,实验成功!

四、实验总结

本次实验成功配置了Client-Initiated场景下的L2TP VPN,内容如下:

  1. 基本网络参数配置:成功为LNS接口配置了IP地址和安全区域,并设置了缺省路由,确保了网络的基本通信。
  2. L2TP服务配置:通过配置VT接口和L2TP组,实现了L2TP服务的启动和隧道的建立。
  3. 用户及用户组配置:配置了用户和用户组,并将其应用于L2TP拨号,确保了用户认证和地址分配。
  4. 安全策略配置:配置了安全策略,确保了trust与dmz之间以及untrust到local方向的L2TP数据流的正常传输。
  5. 移动办公用户配置:成功使用Uni VPN Client接入L2TP VPN,并能够访问企业内网资源。
  6. 验证与调试:通过ping测试和查看L2TP隧道及会话信息,验证了L2TP隧道的成功建立和数据传输的正常。

标签:24,quit,L2TP,配置,LNS,l2tp,VPN
From: https://blog.csdn.net/Limit_23/article/details/140768015

相关文章

  • 涉及VPN、金融、健康服务等类型应用上架政策突变
    大家好,我是牢鹅!今天为大家分享GooglePlay2024年7月17日下发的政策更新,此次政策更新距上次(4月5日)政策大更新仅过去三个月。前段时间牢鹅跟谷歌的人有聊过,今年他们的目标很明确,提高开发者的门槛,想要更优质的应用跟开发者,足以说明谷歌对开发者的监管趋近严格。接下来牢鹅将围绕......
  • IPSEC VPN
    IPSECVPN1.IPsec1.1IPSec基础IPSec(IPSecurity)是IETF定义的一组协议,用于增强IP网络的安全性。IPSec协议集提供如下安全服务:        数据完整性(DataIntegrity)        认证(Autentication)        保密性(Confidentiality)        应用......
  • MPLS-EVPN笔记详述
    目录EVPN简介:EVPN路由:基本四种EVPN路由扩展:EVPN工作流程:1.启动阶段:2.流量转发:路由次序整理:总结:EVPN基本术语:EVPN表项:EVPN支持的多种服务模式:简介:1.PortBased:简介:配置实现:2.VLANBased:简介:配置实现:3.VLANBundle:简介:配置实现:VLAN-AwareBundle:简介:M......
  • [计算机网络] VPN技术
    VPN技术1.概述虚拟专用网络(VPN)技术利用互联网服务提供商(ISP)和网络服务提供商(NSP)的网络基础设备,在公用网络中建立专用的数据通信通道。VPN的主要优点包括节约成本和提供安全保障。优点:​VPN可以节约成本​为安全提供保障2.VPN类型VPN主要有三种应用方式:远程接入VP......
  • L3VPNv4 over SRV6 TE Policy(HCIE)
    配置思路:①基础配置(1)IPv6地址配置(2)配置ISIS(开启ipv6功能)(3)CE与PE之间创建VPN实例,建立vpn实例EBGP(4)PE之间创建VPNv4邻居关系(5)启用SRv6,locater从ISIS中通告出去②设置路径列表,SRv6设置源,定义color绑定SID(SID需要在本地范围内)(列表也需要写回程)③设置color......
  • Windows Server 2016 搭建VPN服务
    ......
  • 十一、MPLS-VPN
    目录一、基本介绍二、常见组网方案2.1、Intranet组网RD和RT2.1.1、MPLS-VPN(控制层面)2.1.2、MPLS-VPN(转发层面)2.2、Hub&Spoke组网     一、基本介绍        MPLS:多协议标签交换,最初是为了提高路由器的转发速度而提出的,与传统IP路由方式相比,它在数据......
  • Docker搭建FRP+OPENVPN+Prometheus+Grafana 实现内网穿透以及流量监控
    Docker搭建FRP+OPENVPN+Prometheus+Grafana实现内网穿透以及流量监控文章目录Docker搭建FRP+OPENVPN+Prometheus+Grafana实现内网穿透以及流量监控一、搭建Docker基础环境二、配置FRP,实现端口映射2.1使用Docker部署FRPFrps服务端(拥有公网IP)Frpc客户端(内网IP)三、搭建......
  • MPLS VPN2
    [r2]interfaceGigabitEthernet0/0/0  进入链接CE端的接口[r2-GigabitEthernet0/0/0]ipbindingvpn-instancea   关联到vrf空间[r2-GigabitEthernet0/0/0]ipaddress192.168.2.224    配置私有ip地址注:在关联到vf空间前不能配置接口ip,否则该......
  • 基于ensp BGP VPN技术的研究与应用
    摘 要.............................................................................................................................2BGPVPN技术的研究与应用...............................................................................................3......