L2TP 配置实例——Client-Initiated

今天继续给大家介绍HCIE安全。本文以华为eNSP模拟器,实现了Client-Initiated类型的L2TP 配置。Client-Initiated 主要应用在公司外部职员在外地出差时访问公司内部网络的场景下。
阅读本文,您需要对L2TP 有一定的了解,如果您对此还存在困惑,欢迎您查阅我博客内的其他文章,相信您一定会有所收获。
相关文章链接:
L2TP详解(一)
L2TP详解(二)

一、实验拓扑及目的

L2TP 配置实例——Client-Initiated_第1张图片
实验拓扑如上所示,其中本地使用Vmware虚拟出一台Win7设备与路由器实现链接。虚拟机如下所示:
L2TP 配置实例——Client-Initiated_第2张图片
现在要求配置如上所示的Client-Initiated L2TP ,实现本地虚拟机通过防火墙连接到PC1。

二、实验配置命令

(一)L2TP功能使能

要配置实现L2TP功能,必须在全局模式下,使能L2TP功能,相关配置如下所示:

 enable

(二)Service-scheme和domain相关配置

要实现L2TP功能,还应当在aaa模式下,配置service-schema和domain,相关配置如下:

aaa
 service-scheme L2TP
  ip-pool test
 domain default
  service-type 
#

(三)L2TP组配置

在配置L2TP组时,在这里要注意tunnel password的配置就是在Client端要输入的隧道密码的值,而后面的远端“test”,也必须和Client上的配置相同。

-group 1
 tunnel password cipher huawei
 allow  virtual-template 1 remote test
#

(四)虚模板接口配置

为了实现L2TP虚拟隧道建立,必须建立一个虚模板接口,在该虚模板接口上配置PPP认证的模式,并关联到L2TP中,相关配置如下:

interface Virtual-Template1
 ppp authentication-mode chap
 remote service-scheme L2TP
 ip address 192.168.100.200 255.255.255.0
 service-manage ping permit
#

(五)L2TP用户名和密码相关配置

为了实现L2TP用户的接入,必须在防火墙上配置L2TP的用户名和密码,相关配置如下:

user-manage user test
 password huawei@123

在配置上述部分时,必须要保证密码符合一定的复杂程度,负责会配置失败。

(六)安全区域和安全策略相关配置

为了实现L2TP的正常建立,需要在防火墙安全策略上方向一些数据包通信,一是要放行远程主机与防火墙建立L2TP的数据流量,因此目的区域在这里要配置成local,另外一个是配置远程Client与公司内网之间的网络流量。相关配置如下:

firewall zone trust
 set priority 85
 add interface GigabitEthernet0/0/0
 add interface GigabitEthernet1/0/1
#
firewall zone untrust
 set priority 5
 add interface GigabitEthernet1/0/0
#
firewall zone dmz
 set priority 50
 add interface Virtual-Template1
#
security-policy
 rule name 
  source-zone untrust
  destination-zone local
  service 
  action permit
 rule name ping
  source-zone dmz
  destination-zone trust
  action permit

三、Seco Client配置

为了能够与对端正常建立L2TP 链接,我们可以选择在本地安装华为的专用L2TP 客户端。在安装完成后,就可以新建立一个L2TP链接,重要配置如下所示:
L2TP 配置实例——Client-Initiated_第3张图片
在这里,隧道名称和隧道验证密码必须和L2TP组中的名称配置相同,认证模式必须各Virtual-Template中配置的认证方式相同。
配置完成后,会出现如下界面:
L2TP 配置实例——Client-Initiated_第4张图片
这里,我们点击连接就可以了,之后会出现如下界面:
L2TP 配置实例——Client-Initiated_第5张图片
输入我们在user-manage中配置的用户名和密码,就可以正常登录了。如果成功实现登录,会弹出弹框提示,如果登录失败,也会弹出弹框说明失败原因。

四、实验现象

(一)L2TP隧道建立过程抓包

L2TP 配置实例——Client-Initiated_第6张图片

(二)L2TP数据报文抓包

L2TP 配置实例——Client-Initiated_第7张图片

(三)防火墙状态查看

在这里插入图片描述

(四)虚拟机网络状态查看

L2TP 配置实例——Client-Initiated_第8张图片

(五)数据包通信

L2TP 配置实例——Client-Initiated_第9张图片

五、附录——FW设备配置相关命令

sysname USG6000V1
 enable
ip pool test
 section 0 192.168.100.100 192.168.100.110
#
aaa
 service-scheme L2TP
  ip-pool test
 domain default
  service-type 
#
-group default-lns
-group 1
 tunnel password cipher %$%$q6~DTdoqH$}@9WCz2\+2_cXo%$%$
 allow  virtual-template 1 remote test
#
interface Virtual-Template1
 ppp authentication-mode chap
 remote service-scheme L2TP
 ip address 192.168.100.200 255.255.255.0
 service-manage ping permit
#
interface GigabitEthernet1/0/0
 undo shutdown
 ip address 155.1.11.2 255.255.255.0
 service-manage ping permit
#
interface GigabitEthernet1/0/1
 undo shutdown
 ip address 192.168.58.254 255.255.255.0
 service-manage ping permit
#
firewall zone trust
 set priority 85
 add interface GigabitEthernet0/0/0
 add interface GigabitEthernet1/0/1
#
firewall zone untrust
 set priority 5
 add interface GigabitEthernet1/0/0
#
firewall zone dmz
 set priority 50
 add interface Virtual-Template1
#
ip route-static 0.0.0.0 0.0.0.0 155.1.11.1
#
security-policy
 rule name 
  source-zone untrust
  destination-zone local
  service 
  action permit
 rule name ping
  source-zone dmz
  destination-zone trust
  action permit

原创不易,转载请说明出处:https://blog.csdn.net/weixin_40228200/article/details/119618546

你可能感兴趣的:(HCIE安全,HCIE安全,L2TP)