目录
L2TP简介
L2TP是一种工业标准的Internet隧道协议,功能大致和PPTP协议类似,比如同样可以对网络数据流进行加密。不过也有不同之处,比如PPTP要求网络为IP网络,L2TP要求面向数据包的点对点连接;PPTP使用单一隧道,L2TP使用多隧道;L2TP提供包头压缩、隧道验证,而PPTP不支持。
创建拓扑
登录防火墙
防火墙的默认账号是 admin,密码是 Admin@123
在登录后需要修改密码,第一次是默认密码,二,三次是自己修改的密码
命令行配置
基础配置,设置接口地址
interface GigabitEthernet0/0/0
ip address 192.168.0.1 24
service-manage all permit
interface GigabitEthernet1/0/0
ip address 1.1.1.1 24
interface GigabitEthernet1/0/1ip address 192.168.1.1 24
创建虚拟模版Virtual-Template
interface virtual-template 1
创建了一个名为Virtual-Template 1的虚拟模板接口
ip address 192.168.0.1 255.255.255.0
ppp authentication-mode chap
quit
开启L2TP
l2tp enable
创建L2TP组
[LNS] l2tp-group 1
[LNS-l2tp1] tunnel name LNS
[LNS-l2tp1] allow l2tp virtual-template 1 remote client1
允许使用该组的客户端连接,并将其与Virtual-Template 1
[LNS-l2tp1] tunnel authentication
启用隧道认证。
[LNS-l2tp1] tunnel password cipher Huawei@123
配置了隧道的密码(以密文形式)
创建用户并且分区地址池
[LNS] user-manage user vpdnuser
创建了一个名为vpdnuser的本地用户
[LNS-localuser-pc1] password Admin@123
[LNS-localuser-pc1] parent-group /default
将该用户放入默认的父用户组中
[LNS]aaa
[LNS-aaa] domain default
进入默认域配置模式
[LNS-aaa-domain-default] ip pool 1 192.168.0.2 192.168.0.100
地址池
[LNS-aaa-domian-default] quit
配置对端接口分配IP地址池中的地址
[LNS] interface virtual-template 1
进入Virtual-Template 1的配置模式
[LNS-Virtual-Template1] remote address pool 1
将对端接口分配到IP地址池1中的地址
[LNS-Virtual-Template1] quit
将接口加入安全区域
[LNS]firewall zone trust
[LNS-zone-trust]add interface GigabitEthernet 1/0/0
[LNS-zone-trust]add interface virtual-template 1
将Virtual-Template 1接口添加至信任区域
[LNS-zone-trust]quit
[LNS]firewall zone untrust
[LNS-zone-untrust]add interface GigabitEthernet 1/0/1
[LNS-zone-untrust]quit
设置安全策略
[LNS]security-policy
[LNS-policy-security]rule name trust_untrust
[LNS-policy-security-rule-trust_untrust]source-zone trust
[LNS-policy-security-rule-trust_untrust]destination-zone untrust
[LNS-policy-security-rule-trust_untrust]source-address 192.168.1.0 24
[LNS-policy-security-rule-trust_untrust]action permit
[LNS-policy-security-rule-trust_untrust]quit
[LNS-policy-security]rule name untrust_trust
[LNS-policy-security-rule-untrust_trust]source-zone untrust
[LNS-policy-security-rule-untrust_trust]destination-zone trust
[LNS-policy-security-rule-untrust_trust]destination-address 192.168.1.0 24
[LNS-policy-security-rule-untrust_trust]action permit
[LNS-policy-security-rule-untrust_trust]quit
[LNS-policy-security]rule name local_untrust
[LNS-policy-security-rule-local_untrust]source-zone local
[LNS-policy-security-rule-local_untrust]destination-zone untrust
[LNS-policy-security-rule-local_untrust]source-address 1.1.1.1 24
[LNS-policy-security-rule-local_untrust]action permit
[LNS-policy-security-rule-local_untrust]quit
[LNS-policy-security]rule name untrust_local
[LNS-policy-security-rule-untrust_local]source-zone untrust
[LNS-policy-security-rule-untrust_local]destination-zone local
[LNS-policy-security-rule-untrust_local]destination-address 1.1.1.1 24
[LNS-policy-security-rule-untrust_local]action permit
[LNS-policy-security-rule-untrust_local]quit
验证
使用命令进行查看
display l2tp tunnel
display l2tp session
可以看见已经建立成功了,但是没有显示,是因为没有用户登录
如果想进一步进行验证,需要把客户端换成云,使用同网段的虚拟机进行vpn的登录
现在我们进行再次验证
把客户端切换成了云
然后启用一个同网段的虚拟机,我这里使用的是win 10
查看虚拟是否是121网段
软件使用的是 SecoClient
如果在连接时,不太清除可以进入web界面进行查看(web界面更加清晰明了)
登录是使用的是我们创建号的用户和密码
登录成功后会显示协商成功
再次行命令行进行查看
display l2tp tunnel
display l2tp session
如果命令行用问题可以看我下一篇文章是web界面
1016
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
