前兩篇的文章帶大家認識了VPN技術的實用性,在撥號連接方式與總部進行通信,但是實際工作運用中L2TP由於協議設定時間比較早,其在數據傳輸的過程中是以明文方式不加密的,就跟telnet一樣,你用抓包工具都能捕獲到具體信息,所以一些對數據安全性比較敏感的企業就不能使用這種單純L2TP模式,至少得L2TP over IPSec方式傳輸。
今天KB小網管就給大家分享一下分支機構與總部之間通過L2TP over IPSec方式實現安全互通的示例。
(VISIO作圖果然美觀,雖然沒有eNSP上簡單方便,^_^)
如上圖所示,分公司用戶通過LAC接入LNS以訪問總部內網,在LAC和LNS之間交互的數據通過IPSec加密後傳輸。發起方和接收方IPSec策略綁定在外網接口,即L2TP封裝後,再進行IPSec封裝。
怕新手看不懂VISIO圖,再加個eNSP的截圖。廢話少說上配置文件。
LAC配置文件:
sys
Enter system view, return user view with Ctrl+Z.
[Huawei]sysn LAC
[LAC]l2tp enable //使能L2TP
[LAC]acl nu
[LAC]acl number 3000 //配置ACL規則,用於L2TP封裝為外網地址後加密
[LAC-acl-adv-3000]rule 0 permit ip source 12.1.1.2 0 destination 12.1.1.1 0 //報文L2TP封裝後,源地址和目的地址變為外網地址
[LAC-acl-adv-3000]q
[LAC]ipsec proposal lac //配置安全提議
[LAC-ipsec-proposal-lac]esp authentication-algorithm sha2-512 //身份驗證方式為sha2-512
[LAC-ipsec-proposal-lac]esp encryption-algorithm aes-256 //加密算法為aes-256
[LAC-ipsec-proposal-lac]q
[LAC]ike peer lac v1 //配置IKE對等體及其使用的協議IKE v1
[LAC-ike-peer-lac]pre-shared-key cipher KBxiaowangguan //配置預共享密鑰認證為密文顯示KB小網管拼音
[LAC-ike-peer-lac]remote-address 12.1.1.1 //集團總部的公網IP
[LAC-ike-peer-lac]q
[LAC]ipsec policy lac 1 isakmp //配置安全策略
[LAC-ipsec-policy-isakmp-lac-1]security acl 3000
[LAC-ipsec-policy-isakmp-lac-1]ike-peer lac
[LAC-ipsec-policy-isakmp-lac-1]proposal lac
[LAC-ipsec-policy-isakmp-lac-1]q
[LAC]int g0/0/1
[LAC-GigabitEthernet0/0/1]ip address 12.1.1.2 24 //分公司的公網IP地址
[LAC-GigabitEthernet0/0/1]ipsec policy lac //在出口處進行第二次的IPSec封裝
[LAC-GigabitEthernet0/0/1]q
[LAC]int g0/0/0
[LAC-GigabitEthernet0/0/0]ip address 192.168.1.1 24 //分公司內網網關
[LAC-GigabitEthernet0/0/0]q
[LAC]int Virtual-Template 1 //配置虛擬PPP用戶的用戶名和密碼,及PPP驗證方式以及IP地址
[LAC-Virtual-Template1]ppp chap user yang
[LAC-Virtual-Template1]ppp chap password cipher woyaoyuanchuang
[LAC-Virtual-Template1]ip address ppp-negotiate //配置地址協商
[LAC-Virtual-Template1]l2tp-auto-client enable //啟用L2TP自撥號方式
[LAC-Virtual-Template1]q
[LAC]l2tp-group 1 //設置一個L2TP組並配置相關屬性
[LAC-l2tp1]tunnel password cipher woyaoyuanchuang2 //缺省使能隧道認證,配置密文密碼為“我要原創2”,和對端認證一致
[LAC-l2tp1]tunnel name LAC
[LAC-l2tp1]start l2tp ip 12.1.1.1 fullusername yang
[LAC-l2tp1]q
[LAC]ip route-static 192.168.0.0 255.255.255.0 Virtual-Template 1 preference 40 //配置靜態路由
[LAC]ip route-static 0.0.0.0 0.0.0.0 12.1.1.1 //配置回城路由
[LAC]
LNS配置文件:
sys
Enter system view, return user view with Ctrl+Z.
[Huawei]sysn LNS
[LAC]l2tp enable //使能L2TP
[LNS]acl number 3000 //配置ACL策略
[LNS-acl-adv-3000]rule 0 permit ip source 12.1.1.1 0 destination 12.1.1.2 0
[LNS-acl-adv-3000]q
[LNS]ipsec proposal lns//配置安全提議
[LNS-ipsec-proposal-lns]esp authentication-algorithm sha2-512
[LNS-ipsec-proposal-lns]esp encryption-algorithm aes-256
[LNS-ipsec-proposal-lns]q
[LNS]ike peer lns v1//配置IKE對等體及其使用的協議V1
[LNS-ike-peer-lns]pre-shared-key cipher KBxiaowangguan//配置預共享密鑰認證為密文顯示KB小網管拼音
[LNS-ike-peer-lns]remote-address 12.1.1.2 //對端公網IP地址
[LNS-ike-peer-lns]q
[LNS]ipsec policy lns 1 isakmp //配置安全策略
[LNS-ipsec-policy-isakmp-lns-1]security acl 3000
[LNS-ipsec-policy-isakmp-lns-1]ike-peer lns
[LNS-ipsec-policy-isakmp-lns-1]proposal lns
[LNS-ipsec-policy-isakmp-lns-1]q
[LNS]ip pool ToGroup //配置IP地址池
Info: It's successful to create an IP address pool.
[LNS-ip-pool-ToGroup]gateway-list 192.168.11.1
[LNS-ip-pool-ToGroup]network 192.168.11.0 mask 255.255.255.0
[LNS-ip-pool-ToGroup]q
[LNS]aaa //配置本地用戶
[LNS-aaa]local-user yang password cipher woyaoyuanchuang
Info: Add a new user.
[LNS-aaa]local-user yang privilege level 0
[LNS-aaa]local-user yang service-type ppp
[LNS-aaa]q
[LNS]int Virtual-Template 1 //創建虛模板Virtual-Template並配置認證方式、IP地址及接口地址池
[LNS-Virtual-Template1]ppp authentication-mode chap
[LNS-Virtual-Template1]ip address 192.168.11.1 24
[LNS-Virtual-Template1]q
[LNS]int g0/0/1
[LNS-GigabitEthernet0/0/1]ip address 12.1.1.1 24 //集團總部公網IP地址
[LNS-GigabitEthernet0/0/1]ipsec policy lns //在出口處進行第二次的IPSec封裝
[LNS-GigabitEthernet0/0/1]q
[LNS]int g0/0/0
[LNS-GigabitEthernet0/0/0]ip address 192.168.0.1 24 //集團內網網關
[LNS-GigabitEthernet0/0/0]q
[LNS]l2tp-group 1 //設置一個L2TP組並配置相關屬性
[LNS-l2tp1]allow l2tp virtual-template 1 remote LAC
[LNS-l2tp1]tunnel password cipher woyaoyuanchuang2
[LNS-l2tp1]tunnel name LNS
[LNS-l2tp1]q
[LNS]ip route-static 192.168.1.0 255.255.255.0 Virtual-Template 1 preference 40 //配置靜態路由
[LNS]ip route-static 0.0.0.0 0.0.0.0 12.1.1.2 //配置回城路由
[LNS]
測試結果
LAC或者LNS上命令display ike sa和 dispaly l2tp tunnel
分公司網絡ping總部的服務器要ping通
配置注意事項:
1、LAC和LNS配置的驗證用戶名和密碼必須統一。
2、發起方和接收方IPSec策略綁定在外網接口,即L2TP封裝後,再進行IPSEC封裝。