配置远程拨号用户通过L2TP over IPSec方式接入总部,并穿越NAT设备接入Internet的示例
配置远程拨号用户通过L2TP over IPSec方式接入总部,并穿越NAT设备接入Internet的示例
组网需求
如图,企业出差员工的地理位置经常发生变动,并且随时需要和总部通信和访问总部内网资源。企业部署L2TP,出差员工通过拨号接入,实现总部网关对接入的用户进行辨别和管理。
出差员工通过NAT设备接入Internet。为了给员工访问公司总部的流量进行安全保证,需要对这些流量进行IPSec加密,同时LNS设备作为企业网关,一般还部署了防火墙业务。
综上,配置L2TP over IPSec穿越NAT可以实现企业需求。由于PC上配置L2TP over IPSec配置复杂,并且要修改注册表、启动服务等各种配置,所以本示例在PC终端上使用华为公司拨号软件Secoway VPN Client。
配置L2TP over IPSec穿越NAT组网图
操作步骤
配置LNS
#
sysname LNS
#
l2tp enable //启用L2TP功能
#
ike local-name xp //IPSec穿越NAT,IKE必须使用Name的方式协商
#
acl number 3001 //防火墙包过滤ACL
rule 5 permit udp destination-port eq 1701 //允许L2TP端口号
rule 10 permit udp destination-port eq 4500 //允许IPSec穿越NAT后使用的端口号
rule 15 permit udp destination-port eq 500 //允许IPSec未穿越NAT的端口号
#
ipsec proposal 1
esp encryption-algorithm aes-256
#
ike peer xp v1
//配置IKE对等体及其使用的协议时,不同的软件版本间的配置有差异:V200R008之前的版本命令为ike peer peer-name [
v1 | v2 ];V200R008及之后的版本命令为ike peer peer-name和version { 1 | 2
},缺省情况下,对等体IKEv1和IKEv2版本同时启用。设备发起协商时会使用IKEv2协议,响应协商时则同时支持IKEv1协议和IKEv2协议。如果设备需要使用IKEv1协议,则可以执行命令undo
version 2
exchange-mode aggressive //使用野蛮模式,否则无法穿越NAT,V200R005C00以后的版本不需要进行该配置
pre-shared-key cipher
%^%#JvZxR2g8c;a9~FPN~n'$7`DEV&=G(=Et02P/%\*!%^%#
//配置预共享密钥认证字为“huawei”,以密文显示,该命令在V200R003C00以前的版本中为“pre-shared-key
huawei”,以明文显示
local-id-type name //指定IKE协商时本端ID类型为名称形式。V200R008及之后的版本,name参数修改为fqdn
nat traversal //使能NAT穿越功能。V200R008及之后的版本,设备默认使能NAT穿越功能,不支持配置此命令
#
ipsec policy-template xptemp 2 //使用模板方式,方便接入多台PC发起的协商
ike-peer xp
proposal 1
#
ipsec policy xp 1 isakmp template xptemp //指定安全策略中引用策略模板
#
ip pool lns //创建IP地址池,名称为lns,为接入用户分配IP地址
gateway-list 192.168.1.1
network 192.168.1.0 mask 255.255.255.0
#
aaa //配置L2TP拨入的用户名密码
local-user huawei password cipher %^%#_<`.CO&(:LeS/$#F\H0Qv8B]KAZja3}3q'RNx;VI%^%#
local-user huawei privilege level 0
local-user huawei service-type ppp
#
firewall zone untrust
priority 1
#
firewall zone trust
priority 15
#
firewall interzone trust untrust
firewall enable
packet-filter 3001 inbound //配置防火墙,使能包过滤
#
interface GigabitEthernet1/0/0
ip address 1.1.1.1 255.255.255.0
ipsec policy xp //绑定IPSec策略
zone untrust
#
interface Virtual-Template1 //创建L2TP组,为建立L2TP隧道配置参数
ppp authentication-mode chap
remote address pool lns
ip address 192.168.1.1 255.255.255.0
#
l2tp-group 1
undo tunnel authentication //PC拨入,建议使用不认证的方式
allow l2tp virtual-template 1
#
ip route-static 0.0.0.0 0.0.0.0 1.1.1.2
#
return
配置PC(只给出一个终端PC的配置示例)
# 创建L2TP网络连接。
双击Secoway VPN Client,打开程序,单击“新建”,进入“新建连接向导”。
配置注意事项
配置过程中,需要注意以下几点:
配置L2TP组时,由于企业员工使用PC接入,不支持配置隧道认证功能。
拨号软件配置需与LNS配置一致,否则可能造成IPSec和L2TP建立失败。
由于企业员工与LNS之间存在NAT设备,如需使用IPSec进行保护,必须选择野蛮模式来实现NAT穿越,同时需要设置IKE使用Name方式进行协商。(V2R5C00之后版本没有该限制。)
LNS上部署防火墙业务时,需要将L2TP和IPSec使用的端口号(1701、4500、500)作为允许项加入到包过滤ACL中。
VPN配置案例汇总、VPN汇总(列表、list、全)vpnlist
http://www.zh-cjh.com/wenzhangguilei/1193.html
2、本资源基本为原创,部分来源其他付费资源平台或互联网收集,如有侵权请联系及时处理。
3、本站大部分文章的截图来源实验测试环境,请不要在生产环境中随意模仿,以免带来灾难性后果。
转载请保留出处: www.zh-cjh.com珠海陈坚浩博客 » 配置远程拨号用户通过L2TP over IPSec方式接入总部,并穿越NAT设备接入Internet的示例
作者: cjh
手机扫一扫,手机上查看此文章: |
一切源于价值!
其他 模板文件不存在: ./template/plugins/comment/pc/index.htm