配置远程拨号用户通过L2TP over IPSec方式接入总部,并穿越NAT设备接入Internet的示例

配置远程拨号用户通过L2TP over IPSec方式接入总部,并穿越NAT设备接入Internet的示例

组网需求
如图,企业出差员工的地理位置经常发生变动,并且随时需要和总部通信和访问总部内网资源。企业部署L2TP,出差员工通过拨号接入,实现总部网关对接入的用户进行辨别和管理。
出差员工通过NAT设备接入Internet。为了给员工访问公司总部的流量进行安全保证,需要对这些流量进行IPSec加密,同时LNS设备作为企业网关,一般还部署了防火墙业务。
综上,配置L2TP over IPSec穿越NAT可以实现企业需求。由于PC上配置L2TP over IPSec配置复杂,并且要修改注册表、启动服务等各种配置,所以本示例在PC终端上使用华为公司拨号软件Secoway VPN Client。
配置L2TP over IPSec穿越NAT组网图

配置远程拨号用户通过L2TP over IPSec方式接入总部,并穿越NAT设备接入Internet的示例(图1)

操作步骤
    配置LNS
    #
     sysname LNS
    #
     l2tp enable                                  //启用L2TP功能
    #
     ike local-name xp                           //IPSec穿越NAT,IKE必须使用Name的方式协商
    #
    acl number 3001                              //防火墙包过滤ACL
     rule 5 permit udp destination-port eq 1701  //允许L2TP端口号
     rule 10 permit udp destination-port eq 4500 //允许IPSec穿越NAT后使用的端口号
     rule 15 permit udp destination-port eq 500  //允许IPSec未穿越NAT的端口号
    #
    ipsec proposal 1
     esp encryption-algorithm aes-256    
    #
    ike peer xp v1     //配置IKE对等体及其使用的协议时,不同的软件版本间的配置有差异:V200R008之前的版本命令为ike peer peer-name [ v1 | v2 ];V200R008及之后的版本命令为ike peer peer-name和version { 1 | 2 },缺省情况下,对等体IKEv1和IKEv2版本同时启用。设备发起协商时会使用IKEv2协议,响应协商时则同时支持IKEv1协议和IKEv2协议。如果设备需要使用IKEv1协议,则可以执行命令undo version 2
     exchange-mode aggressive                    //使用野蛮模式,否则无法穿越NAT,V200R005C00以后的版本不需要进行该配置
     pre-shared-key cipher %^%#JvZxR2g8c;a9~FPN~n'$7`DEV&=G(=Et02P/%\*!%^%#                //配置预共享密钥认证字为“huawei”,以密文显示,该命令在V200R003C00以前的版本中为“pre-shared-key huawei”,以明文显示
     local-id-type name                          //指定IKE协商时本端ID类型为名称形式。V200R008及之后的版本,name参数修改为fqdn
     nat traversal                               //使能NAT穿越功能。V200R008及之后的版本,设备默认使能NAT穿越功能,不支持配置此命令
    #
    ipsec policy-template xptemp 2               //使用模板方式,方便接入多台PC发起的协商
     ike-peer xp                                                                    
     proposal 1
    #
    ipsec policy xp 1 isakmp template xptemp     //指定安全策略中引用策略模板
    #
    ip pool lns                                  //创建IP地址池,名称为lns,为接入用户分配IP地址
     gateway-list 192.168.1.1
     network 192.168.1.0 mask 255.255.255.0
    #
    aaa                                         //配置L2TP拨入的用户名密码
     local-user huawei password cipher %^%#_<`.CO&(:LeS/$#F\H0Qv8B]KAZja3}3q'RNx;VI%^%#
     local-user huawei privilege level 0
     local-user huawei service-type ppp       
    #                                                                               
    firewall zone untrust                                                           
     priority 1                                                                     
    #                                                                               
    firewall zone trust                                                             
     priority 15                                                                    
    #
    firewall interzone trust untrust                                                
     firewall enable                                                                
     packet-filter 3001 inbound              //配置防火墙,使能包过滤
    #
    interface GigabitEthernet1/0/0
     ip address 1.1.1.1 255.255.255.0
     ipsec policy xp                         //绑定IPSec策略
     zone untrust
    #
    interface Virtual-Template1              //创建L2TP组,为建立L2TP隧道配置参数
     ppp authentication-mode chap
     remote address pool lns
     ip address 192.168.1.1 255.255.255.0
    #
    l2tp-group 1
     undo tunnel authentication              //PC拨入,建议使用不认证的方式
     allow l2tp virtual-template 1
    #
    ip route-static 0.0.0.0 0.0.0.0 1.1.1.2
    #
    return


配置PC(只给出一个终端PC的配置示例)
# 创建L2TP网络连接。
双击Secoway VPN Client,打开程序,单击“新建”,进入“新建连接向导”。
配置远程拨号用户通过L2TP over IPSec方式接入总部,并穿越NAT设备接入Internet的示例(图2)

配置远程拨号用户通过L2TP over IPSec方式接入总部,并穿越NAT设备接入Internet的示例(图3)

配置远程拨号用户通过L2TP over IPSec方式接入总部,并穿越NAT设备接入Internet的示例(图4)

配置远程拨号用户通过L2TP over IPSec方式接入总部,并穿越NAT设备接入Internet的示例(图5)

配置远程拨号用户通过L2TP over IPSec方式接入总部,并穿越NAT设备接入Internet的示例(图6)

配置远程拨号用户通过L2TP over IPSec方式接入总部,并穿越NAT设备接入Internet的示例(图7)

配置远程拨号用户通过L2TP over IPSec方式接入总部,并穿越NAT设备接入Internet的示例(图8)

配置远程拨号用户通过L2TP over IPSec方式接入总部,并穿越NAT设备接入Internet的示例(图9)

配置远程拨号用户通过L2TP over IPSec方式接入总部,并穿越NAT设备接入Internet的示例(图10)

配置远程拨号用户通过L2TP over IPSec方式接入总部,并穿越NAT设备接入Internet的示例(图11)

配置注意事项
配置过程中,需要注意以下几点:
    配置L2TP组时,由于企业员工使用PC接入,不支持配置隧道认证功能。
    拨号软件配置需与LNS配置一致,否则可能造成IPSec和L2TP建立失败。
    由于企业员工与LNS之间存在NAT设备,如需使用IPSec进行保护,必须选择野蛮模式来实现NAT穿越,同时需要设置IKE使用Name方式进行协商。(V2R5C00之后版本没有该限制。)
    LNS上部署防火墙业务时,需要将L2TP和IPSec使用的端口号(1701、4500、500)作为允许项加入到包过滤ACL中。


VPN配置案例汇总、VPN汇总(列表、list、全)vpnlist
http://www.zh-cjh.com/wenzhangguilei/1193.html


1、本站资源长期持续更新。
2、本资源基本为原创,部分来源其他付费资源平台或互联网收集,如有侵权请联系及时处理。
3、本站大部分文章的截图来源实验测试环境,请不要在生产环境中随意模仿,以免带来灾难性后果。

转载请保留出处:  www.zh-cjh.com珠海陈坚浩博客 » 配置远程拨号用户通过L2TP over IPSec方式接入总部,并穿越NAT设备接入Internet的示例

作者: cjh


手机扫一扫,手机上查看此文章:

一切源于价值!

其他 模板文件不存在: ./template/plugins/comment/pc/index.htm

未雨绸缪、居安思危!

数据安全、有备无患!

注意操作、数据无价!

一切源于价值!