目录
一、实验目的
1、了解L2TP的实现原理;
2、掌握Client-Initiated场景下的L2TP的配置。
二、实验环境
华为eNSP模拟器,实验拓扑如下:
图 移动办公用户通过L2TP VPN隧道访问企业内网组网图
三、实验内容
公司总部通过LNS连接到Internet。出差员工(即接入用户)可通过L2TP拨号方式直接向LNS发起连接请求,与LNS的通讯数据通过L2TP隧道传输。此时要求接入用户的主机上必须装有L2TP客户端软件。
1、实验规划:
设备 | 接口 | IP地址 | 安全区域 |
AR1 | GE 0/0/1 | 1.1.1.2/24 | untrust |
GE 0/0/2 | 2.2.2.1/24 | untrust | |
Server | Eth 0/0/0 | 10.1.1.10/24 | trust |
LNS | GE 1/0/1 | 1.1.1.1/24 | untrust |
GE 1/0/2 | 10.1.1.1/24 | trust | |
Cloud | Eth 0/0/1 | 2.2.2.2/24 | untrust |
2、关键内容:
- 配置LNS的接口IP地址、路由和安全区域,完成基本网络参数配置;
- 在LNS上配置VT;
- 在LNS上配置用户和用户组,供远程办公用户拨号使用;
- 在LNS上配置L2TP组。
3、实施步骤:
步骤 1 配置基本网络参数
根据组网需要,在LNS上配置接口IP地址、路由及安全区域,完成网络基本参数配置。
# 配置接口IP地址
<LNS> system-view
[LNS] interface GigabitEthernet 0/0/1
[LNS-GigabitEthernet0/0/1] ip address 1.1.1.1 24
[LNS-GigabitEthernet0/0/1] quit
[LNS] interface GigabitEthernet 0/0/2
[LNS-GigabitEthernet0/0/2] ip address 10.1.1.1 24
[LNS-GigabitEthernet0/0/2] quit
# 接口加入安全区域
[LNS] firewall zone untrust
[LNS-zone-untrust] add interface GigabitEthernet 0/0/1
[LNS-zone-untrust] quit
[LNS] firewall zone trust
[LNS-zone-trust] add interface GigabitEthernet 0/0/2
[LNS-zone-trust] quit
# 配置缺省路由
[LNS] ip route-static 0.0.0.0 0.0.0.0 1.1.1.2
步骤 2 配置L2TP
# 配置地址池
[LNS] ip pool pool
//该地址池为接入用户分配私网地址。
[LNS-ip-pool-pool] section 1 172.16.1.2 172.16.1.100
[LNS-ip-pool-pool] quit
说明:
如果真实环境中地址池地址和总部内网地址配置在了同一网段,则必须在LNS连接总部网络的接口上开启ARP代理功能,保证LNS可以对总部网络服务器发出的ARP请求进行应答。
# 配置业务方案
[LNS] aaa
[LNS-aaa] service-scheme l2tp //创建一个业务方案,并进入业务方案视图
[LNS-aaa-service-l2tp] ip-pool pool //设置业务方案下的IP地址池
[LNS-aaa-service-l2tp] quit
# 配置认证域及用户
[LNS-aaa] domain default //进入default域
[LNS-aaa-domain-default] service-type l2tp //配置认证域的接入控制类型
[LNS-aaa-domain-default] quit
[LNS] user-manage group /default/marketing //创建用户组,并进入用户组视图
[LNS-usergroup-/default/marketing] quit
[LNS] user-manage user sjx //创建用户,并进入用户视图
[LNS-localuser-sjx] parent-group /default/marketing //将用户加入组
[LNS-localuser-sjx] password Huawei@123 //设置用户密码
[LNS-localuser-sjx] quit
# 配置VT接口
[LNS] interface Virtual-Template 1 //创建VT接口,并进入接口视图
[LNS-Virtual-Template1] ip address 172.16.1.1 24
[LNS-Virtual-Template1] ppp authentication-mode chap
//设置本端PPP协议对远端设备的验证方式
[LNS-Virtual-Template1] remote service-scheme l2tp
//指定为对端分配地址时使用哪个业务方案下的IP地址池
[LNS-Virtual-Template1] quit
[LNS] firewall zone dmz
[LNS-zone-dmz] add interface Virtual-Template 1
//VT接口加入安全区域
[LNS-zone-dmz] quit
# 配置L2TP组
[LNS] l2tp enable //启用L2TP功能
[LNS] l2tp-group 1 //创建并进入L2TP组
[LNS-l2tp-1] allow l2tp virtual-template 1 remote client
//指定接受呼叫时隧道对端的名称(client)及所使用的Virtual-Template
[LNS-l2tp-1] tunnel authentication //启用L2TP的隧道验证功能
[LNS-l2tp-1] tunnel password cipher Hello123 //指定隧道验证时的密码
[LNS-l2tp-1] quit
步骤 3 配置安全策略
配置trust与dmz之间的安全策略,允许移动办公用户访问总部内网以及总部内网访问移动办公用户的双向业务流量通过;配置从untrust到local方向的安全策略,允许L2TP报文通过。
# 配置trust与dmz间安全策略
[LNS] security-policy
[LNS-policy-security] rule name policy1
[LNS-policy-security-rule-policy1] source-zone dmz
[LNS-policy-security-rule-policy1] destination-zone trust
[LNS-policy-security-rule-service_dt] source-address 172.16.1.0 24
[LNS-policy-security-rule-service_dt] destination-address 10.1.1.0 24
[LNS-policy-security-rule-policy1] action permit
[LNS-policy-security-rule-policy1] quit
# 配置从untrust到local的安全策略
[LNS-policy-security] rule name policy2
[LNS-policy-security-rule-policy2] source-zone untrust
[LNS-policy-security-rule-policy2] destination-zone local
[LNS-policy-security-rule-policy2] action permit
[LNS-policy-security-rule-policy2] quit
步骤 4 配置其他网络设备
# 配置R1
<R1> system-view
[R1] interface GigabitEthernet 0/0/1
[R1-GigabitEthernet0/0/1] ip address 1.1.1.2 24
[R1-GigabitEthernet0/0/1] quit
[R1] interface GigabitEthernet 0/0/2
[R1-GigabitEthernet0/0/2] ip address 2.2.2.1 24
[R1-GigabitEthernet0/0/2] quit
# 配置服务器
配置内网服务器的IP地址和网关,网关设置为防火墙内网口的IP地址,如下图:
# 配置Cloud和虚拟网卡VMware Network Adapter VMnet8
图 Cloud配置
图 虚拟网卡配置
步骤 5 配置移动办公用户
Uni VPN Client是一款用于VPN远程接入的终端软件,主要为移动办公用户远程访问企业内网资源提供安全、便捷的接入服务。本任务使用Uni VPN Client接入L2TP VPN。
# 安装并配置Uni VPN
打开Uni VPN,进入主界面,单击“新建连接”。
在“新建连接”窗口左侧导航栏中选中“L2TP/IPSec”,并配置相关的连接参数。其中,特别注意,要勾选“启用IPSec”安全协议,IPSec相关参数(如验证算法、加密算法、封装模式、DH组等)必须与LNS上配置的安全提议参数保持一致。然后单击“确定”。
单击“连接”,在登录界面输入用户名、密码。
单击“登录”,发起VPN连接。VPN接入成功时,系统会在界面右下角进行提示。连接成功后移动办公用户就可以和企业内网用户一样访问内网资源。
步骤 6 验证和调试
# 网络连通测试
以ping测试为例,可以在移动办公用户终端上ping通内网服务器(10.1.1.10)。
# 浏览器访问web服务器
# 查看L2TP隧道
在LNS上执行display l2tp tunnel、display l2tp session命令,查看到有L2TP隧道信息和会话信息,说明L2TP隧道建立成功。
综上,实验成功!
四、实验总结
本次实验成功配置了Client-Initiated场景下的L2TP VPN,内容如下:
- 基本网络参数配置:成功为LNS接口配置了IP地址和安全区域,并设置了缺省路由,确保了网络的基本通信。
- L2TP服务配置:通过配置VT接口和L2TP组,实现了L2TP服务的启动和隧道的建立。
- 用户及用户组配置:配置了用户和用户组,并将其应用于L2TP拨号,确保了用户认证和地址分配。
- 安全策略配置:配置了安全策略,确保了trust与dmz之间以及untrust到local方向的L2TP数据流的正常传输。
- 移动办公用户配置:成功使用Uni VPN Client接入L2TP VPN,并能够访问企业内网资源。
- 验证与调试:通过ping测试和查看L2TP隧道及会话信息,验证了L2TP隧道的成功建立和数据传输的正常。