cjh L2VPN 2022-09-23 此文章访问量 516

配置Client-Initiated场景下的L2TP VPN（LDAP服务器认证）

fw1_2022.09.23.22时07分42秒.txt

sw1_2022.09.23.22时08分18秒.txt

sw2_2022.09.23.22时08分07秒.txt

（1）拓扑图

图片.png

（2）基础配置

华为usg防火墙
华为usg防火墙：配置接口
interface GigabitEthernet1/0/2
undo shutdown
ip address 10.12.3.3 255.255.0.0
service-manage http permit
service-manage https permit
service-manage ping permit
service-manage ssh permit
service-manage snmp permit
service-manage telnet permit
service-manage netconf permit
#
interface GigabitEthernet1/0/0
undo shutdown
ip address 192.168.100.254 255.255.255.0
service-manage http permit
service-manage https permit
service-manage ping permit
service-manage ssh permit
service-manage snmp permit
service-manage telnet permit
service-manage netconf permit
#
interface GigabitEthernet1/0/1
undo shutdown
ip address 192.168.200.254 255.255.255.0
service-manage http permit
service-manage https permit
service-manage ping permit
service-manage ssh permit
service-manage snmp permit
service-manage telnet permit
service-manage netconf permit
#

把接口加入trust区域：
firewall zone trust
set priority 85
add interface GigabitEthernet1/0/2
add interface GigabitEthernet1/0/0
#
firewall zone untrust
set priority 5
add interface GigabitEthernet1/0/1

配置默认路由：
ip route-static 10.1.1.0 255.255.255.0 192.168.200.1

配置策略允许所有：
security-policy
default action permit

配置AAA：
aaa
       manager-user admin
           password cipher 密码
           service-type web
           level 15

sw1:
interface GE1/0/0
undo shutdown
#
interface GE1/0/1
undo shutdown
port default vlan 2

interface GE1/0/3
undo shutdown
port default vlan 2

#
interface Vlanif1
ip address 10.1.1.1 255.255.255.0
#
interface Vlanif2
ip address 192.168.200.1 255.255.255.0
#

sw2:
interface GE1/0/0
undo shutdown
#
interface Vlanif1
ip address 192.168.100.100 255.255.255.0
#
ip route-static 0.0.0.0 0.0.0.0 192.168.100.254

相关端口：
端口：1645、1812
说明：Remot Authentication Dial-In User Service(RADIUS)authentication(Routing and Remote Access)远程认证拨号用户服务。
端口：1646、1813
说明：RADIUS accounting
端口：1701
说明：Layer Two Tunneling Protocol(L2TP)第2层隧道协议
（3.1）准备LDAP服务器

图片.png

认证信息：
BaseDN: dc=ldap,dc=zh-cjh,dc=com
Bind DN: uid=root,cn=users,dc=ldap,dc=zh-cjh,dc=com

（3.2）配置LDAP服务器对接参数

如果对LDAP服务器不熟悉，无法给出过滤字段等参数，可以通过LDAP Browser/Editor等软件连接到LDAP服务器上查看具体的属性。以LDAP Explorer为例，查看到的LDAP服务器属性以及服务器属性和LNS上参数对应关系如下:

LDAPBrowser_282.zip

图片.png

配置LDAP服务器对接参数。
ldap-server template ldap_server
    ldap-server authentication 10.12.160.8 389
    ldap-server authentication manager uid=root,cn=users %^%#opG_PNNzI&*ndr((zYz><-A+>W3^@+ngpjB>zk`/%^%#
    undo ldap-server authentication base-dn dc=my-domain,dc=com
    ldap-server authentication base-dn dc=ldap,dc=zh-cjh,dc=com
    ldap-server server-type open-ldap
    ldap-server group-filter ou
    ldap-server user-filter cn
    ldap-server authentication-filter (objectclass=*)
    ldap-server time-stamp-filter createTimeStamp

图片.png

测试：

图片.png

<USG6000V2>test-aaa ab1 123456 ldap-template ldap_server
Info: Server detection succeeded.
<USG6000V2>

（4.1）配置采用LDAP服务器进行用户身份认证。
aaa
       authentication-scheme ldap
                authentication-mode ldap
（4.2）配置地址池
如果真实环境中地址池地址和总部网络地址配置在了同一网段，则必须在LNS连接总部网络的接口上开启ARP代理功能，保证LNS可以对总部网络服务器发出的ARP请求进行应答。
ip pool pool1
   section 1 172.16.10.100 172.16.10.199
（4.3）配置接入用户使用的业务方案。
aaa
    service-scheme l2tp
        ip-pool pool1
（4.3）配置认证域，引用AD服务器模板及认证方案
aaa
    domain zh-cjh.com
    service-type l2tp
    authentication-scheme ldap
   ldap-server ldap_server

图片.png

（5.1）华为防火墙：配置VT接口
interface Virtual-Template1
   ppp authentication-mode pap
   remote service-scheme l2tp
   ip address 172.16.10.1 255.255.255.0

firewall zone dmz
add interface Virtual-Template1

（5.2）华为防火墙：配置L2TP Group。
LNS上配置的隧道验证密码必须与SecoClient上的配置保持一致。
l2tp enable
l2tp-group 1
     allow l2tp virtual-template 1 remote pc domain zh-cjh.com
     tunnel authentication
     tunnel password cipher www.zh-cjh.com
（6）测试拔号

图片.png