——————————————————————————————————————————————————
1、L2TPv2概述
二层隧道协议L2TP是虚拟私有拨号网VPDN隧道协议的一种,扩展了点到点协议PPP的应用,是远程拨号用户接入企业总部网络的一种重要VPN技术。L2TP通过拨号网络,基于PPP的协商,建立企业分支用户到企业总部的隧道,使远程用户可以接入企业总部。
PPPoE技术更是扩展了L2TP的应用范围,通过以太网络连接Internet,建立远程移动办公人员到企业总部的L2TP隧道。
——————————————————————————————————————————————————
1.1.目的
在不同地域成立的分支机构和出差的员工,需要和总部建立快速、安全和可靠的网络连接。为了方便远程用户的接入,产生了基于拨号网络的VPN,即VPDN。通过VPDN技术,远程用户和企业总部网关之间建立了一条点到点虚拟链路。
VPDN有以下3种常用的隧道技术:
点到点隧道协议PPTP
二层转发L2F
二层隧道协议L2TP
L2TP集合了PPTP和L2F两种协议的优点,目前已被广泛接受,主要应用在单个或少数远程终端通过公共网络接入企业内联网的需要。
——————————————————————————————————————————————————
1.2.特点
L2TP对PPP报文进行封装,在公共网络上建立虚拟链路传输企业的私有数据,节省了租用物理专线的高额费用。同时将企业从复杂和专业的网络维护中解放出来,只需要维护私有网络和远程接入的用户,降低了维护成本。
灵活的身份验证机制以及高度的安全性
1、使用PPP提供的安全特性(如PAP、CHAP),对接入用户进行身份认证。
2、定义了控制消息的加密传输方式,支持L2TP隧道的认证。
3、对传输的数据不加密,但可以和IPSec结合应用,为数据传输提供高度的安全保证。
多协议传输
L2TP传输PPP数据包,PPP可以传输多种协议报文,所以L2TP可以在IP网络上使用。
支持Radius服务器的验证
接入用户不仅支持本地认证,还支持将拨号接入的用户名和密码发往RADIUS服务器进行认证。
支持私网地址分配
应用L2TP的企业总部网关,可以为远程用户动态分配私网地址。
可靠性
支持备份LNS,当一个主LNS不可达之后,LAC可以与备份LNS建立连接,增强了VPN服务的可靠性。
——————————————————————————————————————————————————
2、L2TP原理
——————————————————————————————————————————————————
2.1.基本概念
VPDN:承载PPP报文的VPN,可以为企业、小型ISP、移动办公人员提供接入服务。
PPP终端接入拨号网络,拨号到NAS。NAS收到PPP报文后进行L2TP封装,最外层的IP报头经过公网路由转发后到达LNS。LNS收到报文后解封装,还原PPP报文,完成了PPP报文在公共网络上的透明传输,从而在PPP终端和LNS之间建立了VPDN连接。随着以太网络的普及,PPP终端不再受限于传统的拨号网络,使用PPPoE技术,即可通过以太网络接入LAC。
PPP终端:L2TP应用中,PPP终端指发起拨号,将数据封装为PPP类型的设备,如远程用户PC、企业分支网关等。
NAS:网络接入服务器,主要由ISP维护,连接拨号网络,NAS用于传统的拨号网络中,为远程拨号用户提供VPDN服务,和企业总部建立隧道连接。
LAC:访问集中器,是交换网络上具有PPP和L2TP处理能力的设备。LAC根据PPP报文中所携带的用户名或者域名信息,和LNS建立L2TP隧道连接,将PPP协商延展到LNS。
在不同的组网环境中,LAC可以是不同的设备:
在传统的拨号网络中,ISP在NAS上部署LAC。
在企业分支的以太网络中,为PPP终端配备网关设备,网关作为PPPoE服务器,同时部署为LAC。
出差人员使用PC终端接入Internet,在PC上安装L2TP拨号软件,则PC终端为LAC。
LAC可以发起建立多条L2TP隧道使数据流之间相互隔离,即LAC可以承载多条VPDN连接。
LNS:网络服务器,终止PPP会话的一端,通过LNS的认证,PPP会话协商成功,远程用户可以访问企业总部的资源。对L2TP协商,LNS是LAC的对端设备,即LAC和LNS建立了L2TP隧道;对PPP,LNS是PPP会话的逻辑终止端点,即PPP终端和LNS建立了一条点到点的虚拟链路。
**隧道和会话:**在LAC和LNS的L2TP交互过程中存在两种类型的连接,隧道连接和会话连接。
1、L2TP隧道在LAC和LNS之间建立,一对LAC和LNS可以建立多个L2TP隧道,一个L2TP隧道可以包含多个L2TP会话。
2、L2TP会话发生在隧道连接成功之后,L2TP会话表示承载在隧道连接中的一个PPP会话过程。
——————————————————————————————————————————————————
2.2.工作原理
——————————————————————————————————————————————————
2.2.1.协议架构
L2TP协议包含两种类型的消息,控制消息和数据消息,消息的传输在LAC和LNS之间进行。
控制消息
用于L2TP隧道和会话连接的建立、维护和拆除。控制消息承载在L2TP控制通道上,控制通道实现了控制消息的可靠传输,将控制消息封装在L2TP报头内,再经过IP网络传输。
数据消息
用于封装PPP数据帧并在隧道上传输。数据消息是不可靠的传输。不重传丢失的数据报文,不支持对数据消息的流量控制和拥塞控制。
L2TP协议使用UDP端口1701,仅用于初始隧道的建立。隧道发起方任选一个空闲端口向接收方的1701端口发送报文;接收方收到报文后,也任选一个空闲端口,给发起方的选定的端口回送报文。
——————————————————————————————————————————————————
2.2.2.报文结构
远程用户拨号产生的PPP报文经L2TP封装后的报文格式:
L2TP报文进行了多次封装,比原始报文多出38个字节(如果需要携带序列号信息,则比原始报文多出42个字节),封装后报文的长度可能会超出接口的MTU值,协议本身不支持报文分片功能,这时需要设备支持对IP报文的分片功能,还原时进行L2TP报文重组。
——————————————————————————————————————————————————
2.2.3.报文封装
如果组网中只应用PPP,则PPP终端发起的拨号,最远只能到达拨号网络的边缘节点NAS,此时NAS可以称为PPP会话的终止节点。
应用L2TP,则可以使PPP报文在公网透传,到达企业总部的LNS,此时LNS相当于PPP会话的终止节点。
如图,企业分支发送报文到企业总部过程:
1、PPP终端:IP数据报文进行PPP(链路层)封装,发送报文。
2、LAC:收到PPP报文后,根据报文携带的用户名或者域名判断接入用户是否为VPDN用户。
是VPDN用户,对PPP报文进行L2TP封装,根据LNS的公网地址,再对L2TP报文进行UDP和IP封装。封装后的报文最外层为公网IP地址,经过公网路由转发到达LNS。
不是VPDN用户,对PPP报文进行PPP解封装,此时LAC为PPP会话的终止节点。
3、LNS:收到L2TP报文后,依次解除外层的IP封装、L2TP封装、PPP封装,得到PPP承载的信息,即PPP终端发送的IP数据报文。
企业总部回应分支用户时,回应报文到达LNS后查找路由表,根据转发接口进行L2TP处理,报文封装的过程和分支到总部一致。
——————————————————————————————————————————————————
2.2.4.报文传输
L2TP传输PPP报文前,需要建立L2TP隧道和会话的连接。首次发起连接流程:
1、建立L2TP隧道连接
LAC收到远程用户的PPP协商请求时,LAC向LNS发起L2TP隧道请求。通过L2TP的控制消息,协商隧道ID、隧道认证等内容,协商成功后则建立起一条L2TP隧道,由隧道ID进行标识。
2、建立L2TP会话连接
如果L2TP隧道已存在,则在LAC和LNS之间通过L2TP的控制消息,协商会话ID等内容,否则先建立L2TP隧道连接。会话中携带了LAC的LCP协商信息和用户认证信息,LNS对收到的信息认证通过后,则通知LAC会话建立成功。L2TP会话连接由会话ID进行标识。
3、传输PPP报文
L2TP会话建立成功后,PPP终端将数据报文发送至LAC,LAC根据L2TP隧道和会话ID等信息,进行L2TP报文封装,并发送到LNS,LNS进行L2TP解封装处理,根据路由转发表发送至目的主机,完成报文的传输。
——————————————————————————————————————————————————
3、工作过程
VPDN连接在远程用户和LNS之间建立。ISP将距离远程用户地理位置最近的NAS部署为LAC,LAC和LNS之间建立L2TP隧道连接。
1、远程用户在电话网络中拨号,发起PPP连接到ISP部署的本地NAS。
2、NAS接入远程用户的呼叫,和远程用户进行PPP协商。
3、NAS作为LAC,根据远程用户拨号的用户名或者域,判断接入的用户是否为VPDN用户。如果接入用户是VPDN用户,则交由L2TP模块进行封装处理,将PPP报文通过L2TP隧道发送到LNS;
4、LNS从L2TP隧道收到远程用户的接入请求,对远程用户认证后,为远程用户分配IP地址,通过隧道和LAC发送到远程用户。
5、远程用户获取IP地址,向总部主机发送报文进行通信。
6、LNS收到经由隧道传输的报文后,查找路由表,转发报文到内部目的主机。
——————————————————————————————————————————————————
4、应用场景
——————————————————————————————————————————————————
4.1、远程拨号用户发起L2TP隧道连接
企业出差员工的地理位置经常发生移动,并且随时需要和总部通信和访问总部内网资源,直接通过Internet网络虽然可以访问总部网关,但总部网关无法对接入的用户进行辨别和管理,这时将总部网关部署为LNS,出差员工在PC终端上使用L2TP拨号软件,则可以在出差员工和总部网关之间建立虚拟的点到点连接。LNS可以对接入用户进行身份验证,分配私网地址,如果部署ACL还可以管理接入用户的访问权限。
——————————————————————————————————————————————————
4.2、LAC接入拨号请求发起L2TP隧道连接
企业总部在其他城市设有分支机构,分支机构位于传统的拨号网络。分支用户需要和总部用户建立VPDN连接,于是分支向ISP申请L2TP服务,ISP将NAS部署为LAC,将分支用户的拨号连接通过Internet延展到LNS。企业将总部的网关部署为LNS,为分支用户提供接入服务,实现分支用户和总部网关之间的VPDN连接。
——————————————————————————————————————————————————
4.3、LAC接入PPPoE用户发起L2TP隧道连接
企业总部在其他城市设有分支机构,分支机构部署为以太网络,并配备网关设备接入Internet。总部用户需要和分支用户通信,由总部统一管理分支用户的接入,于是使用L2TP功能将总部网关部署为LNS。分支用户的拨号报文无法直接在以太网络中传输,需要使用PPPoE拨号软件部署为PPPoE客户端,而分支网关则作为PPPoE服务器和LAC,使分支用户的呼叫请求到达总部。
——————————————————————————————————————————————————
4.4、L2TP Client发起L2TP隧道连接
企业总部在其他城市设有分支机构,分支机构部署为以太网络,并配备网关设备接入Internet。总部为分支用户提供接入服务,需要在分支和总部网关之间建立VPDN连接。总部允许分支的任意用户接入,则只对分支网关认证,此时总部网关部署为LNS,分支网关部署为L2TP Client,并在分支网关创建虚拟拨号,触发到总部的L2TP隧道连接。通过L2TP Client的方式,在L2TP Client和LNS之间建立虚拟的点到点连接,分支用户的IP报文到达L2TP Client后路由转发到虚拟拨号接口,报文送至LNS后经路由转发到达目的主机。
——————————————————————————————————————————————————
4.5、LAC接入多域用户发起L2TP隧道连接
企业总部和旗下子公司有业务往来,不同的子公司需要访问的总部的不同部门,总部为不同子公司的员工提供接入服务,使用L2TP功能和子公司建立VPDN连接。因接入用户较多,可以配置子公司的网关设备按照域名判断接入用户是否VPDN用户,简化VPDN的部署。子公司之间使用不同的L2TP隧道,获取不同网段的IP地址。子公司用户发起到总部的连接时,因为源地址和目的地址都由总部分配,所以总部可以配置ACL实现对子公司访问权限的管理。
——————————————————————————————————————————————————
4.6、RADIUS服务器认证VPDN用户
企业总部在其他城市设有分支机构,分支机构部署为以太网络,并配备网关设备接入Internet。总部为分支用户提供接入服务,需要在分支和总部网关之间建立VPDN连接。企业将分支网关部署为LAC,总部网关部署为LNS,建立VPDN连接。同时将分支网关部署为PPPoE服务器,和PPPoE客户端(分支用户)在以太网络交换PPP报文。LAC和LNS都可以对分支用户进行认证,但接入用户数目较多时,不便于在设备本地维护,可以部署RADIUS服务器认证接入用户。LAC侧的RADIUS服务器需要支持L2TP认证,判断用户是否为VPDN用户,并反馈结果给LAC。
——————————————————————————————————————————————————
4.7、L2TP使用IPSec封装建立安全隧道连接
企业总部在其他城市设有分支机构,分支机构部署为以太网络,并配备网关设备接入Internet。在企业总部和分支上部署L2TP功能建立VPDN连接,使分支用户可以访问总部。当企业对数据和网络的安全性要求较高时,L2TP无法为报文传输提供足够的保护,这时可以和IPSec功能结合使用,保护传输的数据,有效避免数据被截取或攻击。在LAC上将数据报文先进行IPSec封装,再进L2TP封装,发往总部。在总部网关,部署IPSec策略,最终还原数据。这种方式保护原始的数据报文,可根据需要对接入用户提供保护。
——————————————————————————————————————————————————
4.8、IPSec使用L2TP封装建立安全隧道连接
企业出差用户和总部通信,使用L2TP功能建立VPDN连接,总部部署为LNS对接入的用户进行认证。当出差用户需要向总部传输高机密信息时,L2TP无法为报文传输提供足够的保护,这时可以和IPSec功能结合使用,保护传输的数据。在出差用户的PC终端上运行拨号软件,将数据报文先进行L2TP封装,再进行IPSec封装,发往总部。在总部网关,部署IPSec策略,最终还原数据。这种方式IPSec功能会对所有源地址为LAC、目的地址为LNS的报文进行保护。
——————————————————————————————————————————————————
5、配置步骤
——————————————————————————————————————————————————
5.1、Client-Initiated场景下的L2TP VPN
所示是LNS端L2TP VPN的配置步骤以及各配置步骤间的引用关系,下图中仅列出了重要的配置步骤以及各配置步骤间的引用关系,并非全部配置。
——————————————————————————————————————————————————
5.2、NAS-Initiated场景下的L2TP VPN
LNS
NAS
——————————————————————————————————————————————————
6、示例
——————————————————————————————————————————————————
6.1、Client-Initiated场景下的L2TP VPN(本地认证)
企业希望公司外的移动办公用户能够通过L2TP VPN隧道访问公司内网的各种资源。
配置步骤
数据规划:
LNS:
接口:G1/0/1,IP:1.1.1.1/30,安全区域:Untrust
接口:G1/0/0,IP:192.168.88.254,安全区域:Trust
LNS L2TP配置:
对端隧道名称:client
用户名:huawei
密码:huawei@123
隧道验证密码:huawei@123
地址池:192.168.50.1-192.168.50.200
若内网服务器IP地址与地址池的IP地址不在同一网段,需要在内网服务器上配置到地址池的路由
若真实环境中地址池地址和总部内网地址配置在了同一网段,则必须在LNS连接总部网络的接口上配置虚拟转发功能,保证LNS可以对总部网络服务器发出的ARP请求进行应答。
移动办公用户:
用户名:huawei
密码:huawei@123
————————————————————————————
基础配置
FW1:
firewall zone trust
add int g1/0/0
firewall zone untrust
add int g1/0/1
security-policy
default action permit
int g1/0/0
ip add 192.168.88.254 24
service-manage all permit
int g1/0/1
ip add 1.1.1.1 30
service-manage all permit
ip route-static 0.0.0.0 0.0.0.0 1.1.1.2
ip address-set to_internet type object
address 0 192.168.88.0 mask 24
nat-policy
rule name to_internet
source-zone trust
destination-zone untrust
source-address address-set to_internet
action source-nat easy-ip
AR1:
int g0/0/0
ip add 192.168.100.254 24
int g0/0/1
ip add 1.1.1.2 30
————————————————————————————
配置地址池
FW1:
ip pool l2tpvpn
section 1 192.168.50.1 192.168.50.200
如果地址池地址和总部网络地址配置为同一网段,则必须在LNS连接总部内网的接口上开启L2TP虚拟转发功能和ARP代理功能,
保证LNS可以对总部服务器发出的ARP请求进行应答。虚拟转发功能默认开启且不可配置。
进入LNS端和内网相连的接口视图
int g1/0/0
arp-proxy enable 开启ARP代理功能
————————————————————————————
配置业务方案
aaa
service-scheme l2tp
ip-pool l2tpvpn 引用地址池
————————————————————————————
配置认证域及用户
aaa
domain default
service-type l2tp 此处以认证域采用本地认证,系统缺省采用本地认证。
user-manage group /default/l2tpvpn 创建用户组,/default/l2tpvpn组
user-manage user huawei 创建用户
password hauwei@123
parent-group /default/l2tpvpn 配置用户所属组
————————————————————————————
配置VT接口
interface Virtual-Template1 创建VT接口
ppp authentication-mode pap 移动办公用户与LNS建立PPP阶段,双方进行LCP协商,PAP不是安全协议,建议使用CHAP。
remote service-scheme l2tp 为接入用户分配地址,使用address参数仅限于一个L2TP接入用户场景,使用service-scheme为多个接入用户分配地址池IP。
ip address 192.168.50.254 255.255.255.0 配置VT接口的IP地址
firewall zone dmz VT接口加入防火墙区域,可以加入任意区域
add interface Virtual-Template 1
————————————————————————————
配置L2TP Group
l2tp enable 启用L2TP功能
l2tp-group 1 创建L2TP Group。L2TP Group是建立L2TP隧道的基本单元,L2TP Group中定义了建立隧道所需的VT接口、隧道名称和用以认证用户身份的认证域等参数。
tunnel authentication 启用隧道密码验证功能,启用隧道密码验证功能可以提高隧道的安全性,建议启用本功能。
tunnel password cipher huawei@123
allow l2tp virtual-template 1 remote client 为L2TP Group指定建立隧道所需的VT接口、认证域和隧道对端名称等信息。 VT接口1,隧道对端名称
————————————————————————————
配置移动办公用户侧
使用华为Seco Client客户端
可以访问公司内部资源
——————————————————————————————————————————————————
验证
1、隧道协商:
移动办公用户在访问企业总部服务器之前,需要先通过L2TP VPN软件与LNS建立L2TP VPN隧道。
1、移动用户与LNS建立L2TP VPN隧道
Client:发送SCCRQ报文,此消息用于控制链接发起请求,用来初始化和LNS之间的tunnel,开始tunnel的建立过程。
LNS:发送SCCRP报文,表示接受了对端的连接请求,tunnel的建立过程可以继续。
Client:发送SCCCN报文,对SCRRP的回应,隧道双方Tunnel ID协商结束,L2TP VPN隧道建立完毕。
2、移动用户与LNS建立L2TP VPN会话
Client:发送ICRQ报文,请求在已建立的tunnel中建立session。
LNS:此消息用来回应ICRQ,表示ICRQ成功,LNS也会在ICRP中标识L2TP session必要的参数。
Client:发送ICCN确认报文。隧道双方Session ID协商结束,L2TP会话建立完毕。
3、移动用户与LNS建立PPP连接
Client:发送LCP Request请求报文,协商链路层参数。中双方约定使用的MRU值为1500。
LNS:返回LCP ACK确认报文后,链路层参数协商完成。
Client:发送PAP Request报文,请求LNS进行身份认证。LNS返回认证结果PAP ACK报文,身份认证完成。
L2TP VPN隧道本身无数据加密功能,为了确保用户数据不被窃取,实际应用中建议使用IPSec技术对L2TP VPN提供加密保护。
Client:身份认证通过后,Client向LNS发送IPCP Request消息,请求LNS向其分配企业内网IP地址。
LNS:向Client返回IPCP ACK消息,此消息中携带了为Client分配的企业内网IP地址(即地址池中的IP地址),PPP连接建立完成。
4、移动办公用户发送业务报文访问企业总部服务器
报文封装
1、移动办公用户向企业总部服务器发送业务报文。原始报文含数据及私有IP,业务报文进行PPP封装和L2TP封装,然后按照移动办公用户PC的本地路由转发给LNS。
2、LNS接收到报文以后,使用VT接口拆除报文的L2TP头和PPP头,然后按照到企业内网的路由将报文转发给企业总部服务器。
使用display l2tp tunnel命令,查看L2TP隧道信息,如有则建立成功。
display l2tp session命令,可以看到隧道会话信息,有会话信息,则建立会话成功。
——————————————————————————————————————————————————
6.2、Client-Initiated场景下的L2TP VPN(RADIUS服务器认证)
移动办公用户通过L2TP VPN隧道访问公司内网资源,企业需要使用Radius服务器对移动办公用户进行身份认证。
懒得去找Radius,可以自行去找WinRadius和开源的TreeRadius,这里就说下配置吧。
————————————————————————————
配置Radius服务器的对接参数
LNS:
radius-server template radius_lns 配置模板和认证、IP端口
radius-server shared-key cipher Radius123
radius-server authentication 10.1.3.2 1645
————————————————————————————
配置采用Radius服务器进行用户身份认证
LNS:
aaa
authentication-scheme scheme_radius
authentication-mode radius
————————————————————————————
配置认证域,引用Radius服务模板及认证方案
LNS:
aaa
domain default
service-type l2tp
authentication-scheme scheme_radius
radius-server radius_lns
——————————————————————————————————————————————————
6.3、配置LAC接入PPPoE用户发起L2TP隧道连接示例
分支用户需要和总部用户建立VPDN连接,在分支和总部之间部署L2TP,其中分支机构没有拨号网络,将分支的网关部署为PPPoE服务器,使分支用户的PPP拨号可以通过以太网络传输,同时分支网关也作为LAC,和总部建立L2TP隧道。
配置思路:
1、LAC部署为PPPoe服务器,使用CHAP认证。
2、LAC需要认证拨号的用户信息,部署AAA认证,采用本地认证方式。
3、LAC需要为符合条件的用户建立到达LNS的连接。
4、LNS需要认证分支用户的身份信息。部署AAA认证,采用本地认证方式。
5、LNS需要对接入用户进行管理,创建IP地址池,为分支用户分配IP地址。
6、LNS需要和远程用户进行PPP协商,使用虚拟接口模板配置协商参数。
7、LNS需要接入LAC发起的L2TP连接请求,配置L2TP组和LAC建立隧道。
—————————————————————————————————
配置接口IP地址等
—————————————————————————————————
LAC部署为PPPoe服务器,使用CHAP认证
LAC:
interface Virtual-Template 1 创建虚拟接口模板
ppp authentication-mode chap
interface g0/0/1 用户连接物理接口配置PPPoe服务,引入虚拟模板
pppoe-server bind virtual-template 1
—————————————————————————————————
部署AAA认证,采用本地认证方式
LAC:
aaa
local-user huawei password cipher huawei@123
local-user huawei service-type ppp
—————————————————————————————————
LAC发起L2TP连接
LAC:
l2tp enable 开启L2TP服务
l2tp-group 1 创建L2TP组
tunnel name lac 配置LAC本端隧道名称
start l2tp ip 1.1.1.1 fullusername huawei 指定LNS公网IP地址
tunnel authentication 启用隧道验证
tunnel password cipher huawei
如果公网是夸网段,需要指定静态路由,下一条地址。
—————————————————————————————————
配置LNS AAA认证
LNS:
aaa
local-user huawei password cipher huawei@123
local-user huawei service-type ppp
—————————————————————————————————
配置LNS 私网地址池
LNS:
ip pool 1
network 192.168.254.0 mask 24
gateway-list 192.168.254.254
—————————————————————————————————
配置LNS PPP协商参数
LNS:
interface virtual-template 1
ip address 192.168.254.254 255.255.255.0
ppp authentication-mode chap
remote address pool 1
—————————————————————————————————
配置LNS 响应L2TP连接
LNS:
l2tp enable
l2tp-group 1
tunnel name lns
allow l2tp virtual-template 1 remote lac
tunnel authentication
tunnel password cipher huawei
—————————————————————————————————
验证
把其余的网卡都关掉,如果是ENE-NG的话,把本地网卡连接互联网的网关和DNS去掉。反正吧多余的网卡都关掉。
然后进行宽带拨号,账号huawei 密码huawei@123
获取到VT的地址
可以和总部PC互通
查看LAC PPPoe服务器会话
查看LNS L2TP 通道
—————————————————————————————————
配置脚本
<LAC>dis cu
[V300R019C00SPC300]
#
sysname LAC
#
l2tp enable
#
stp disable
#
authentication-profile name default_authen_profile
authentication-profile name dot1x_authen_profile
authentication-profile name dot1xmac_authen_profile
authentication-profile name mac_authen_profile
authentication-profile name multi_authen_profile
authentication-profile name portal_authen_profile
#
dhcp enable
#
radius-server template default
#
pki realm default
#
ssl policy default_policy type server
pki-realm default
version tls1.2
ciphersuite rsa_aes_128_cbc_sha rsa_aes_128_sha256 rsa_aes_256_sha256 ecdhe_rsa_aes128_gcm_sha256 ecdhe_rsa_aes256_gcm_sha384
#
ike proposal default
encryption-algorithm aes-256 aes-192 aes-128
dh group14
authentication-algorithm sha2-512 sha2-384 sha2-256
authentication-method pre-share
integrity-algorithm hmac-sha2-256
prf hmac-sha2-256
#
free-rule-template name default_free_rule
#
portal-access-profile name portal_access_profile
#
aaa
authentication-scheme default
authentication-scheme radius
authentication-mode radius
authorization-scheme default
accounting-scheme default
local-aaa-user password policy administrator
undo password alert original
local-aaa-user password policy access-user
service-scheme 1
domain default
authentication-scheme default
domain default_admin
authentication-scheme default
undo user-password complexity-check
undo local-user admin
local-user super password irreversible-cipher $1a$~nhT;hv\wJ$/skcAM]C7!JPK!&qJ3YN<vF'-.iYvX5Vhb6dH;q@$
local-user super privilege level 15
local-user super service-type telnet terminal
local-user huawei password cipher %^%#51pr)jP=y&0IY<W}F%,XN4T:!LoF|!S]D-9>Sq-+%^%#
local-user huawei privilege level 0
local-user huawei service-type ppp
#
firewall zone Local
#
interface Virtual-Template1
ppp authentication-mode chap
ppp keepalive retry-times 2
timer hold 30
#
interface GigabitEthernet0/0/0
ip address 1.1.1.2 255.255.255.252
#
interface GigabitEthernet0/0/1
pppoe-server bind Virtual-Template 1
#
interface GigabitEthernet0/0/2
#
interface GigabitEthernet0/0/3
#
interface GigabitEthernet0/0/4
#
interface GigabitEthernet0/0/5
#
interface GigabitEthernet0/0/6
description VirtualPort
#
interface NULL0
#
l2tp-group 1
tunnel password cipher %^%#XS$E1~IwbXC>0B>(^{6S2_ZM4}#\~U)V9*NCRP'S%^%#
tunnel name lac
start l2tp ip 1.1.1.1 fullusername huawei
#
snmp-agent local-engineid 800007DB03E0FC000A0B0C
snmp-agent trap enable
#
ssh server permit interface GigabitEthernet0/0/0
#
http secure-server ssl-policy default_policy
http secure-server enable
http server permit interface GigabitEthernet0/0/0
#
fib regularly-refresh disable
#
user-interface con 0
authentication-mode aaa
user-interface vty 0
authentication-mode aaa
user privilege level 15
user-interface vty 1 4
#
dot1x-access-profile name dot1x_access_profile
#
mac-access-profile name mac_access_profile
#
ops
#
autostart
#
secelog
#
ms-channel
#
return
[LNS]dis cu
[V300R019C00SPC300]
#
sysname LNS
#
l2tp enable
#
stp disable
#
authentication-profile name default_authen_profile
authentication-profile name dot1x_authen_profile
authentication-profile name dot1xmac_authen_profile
authentication-profile name mac_authen_profile
authentication-profile name multi_authen_profile
authentication-profile name portal_authen_profile
#
dhcp enable
#
radius-server template default
#
pki realm default
#
ssl policy default_policy type server
pki-realm default
version tls1.2
ciphersuite rsa_aes_128_cbc_sha rsa_aes_128_sha256 rsa_aes_256_sha256 ecdhe_rsa_aes128_gcm_sha256 ecdhe_rsa_aes256_gcm_sha384
#
acl number 2000
rule 5 permit source 192.168.100.0 0.0.0.255
#
ike proposal default
encryption-algorithm aes-256 aes-192 aes-128
dh group14
authentication-algorithm sha2-512 sha2-384 sha2-256
authentication-method pre-share
integrity-algorithm hmac-sha2-256
prf hmac-sha2-256
#
free-rule-template name default_free_rule
#
portal-access-profile name portal_access_profile
#
ip pool 1
gateway-list 192.168.254.254
network 192.168.254.0 mask 255.255.255.0
#
aaa
authentication-scheme default
authentication-scheme radius
authentication-mode radius
authorization-scheme default
accounting-scheme default
local-aaa-user password policy administrator
undo password alert original
local-aaa-user password policy access-user
domain default
authentication-scheme default
domain default_admin
authentication-scheme default
undo user-password complexity-check
undo local-user admin
local-user super password irreversible-cipher $1a$81W*WpV8%D$&5bVD-#x8-"qSC#}+5[BQFteD[mP:+lVF)LuM>v~$
local-user super privilege level 15
local-user super service-type telnet terminal
local-user huawei password cipher %^%#935/9yh=/K@RyE+.L\T;*:QyGQdi"Md;.uDGv{>#%^%#
local-user huawei privilege level 0
local-user huawei service-type ppp
#
firewall zone Local
#
interface Virtual-Template1
ppp authentication-mode chap
remote address pool 1
ip address 192.168.254.254 255.255.255.0
#
interface GigabitEthernet0/0/0
ip address 1.1.1.1 255.255.255.252
nat outbound 2000
#
interface GigabitEthernet0/0/1
ip address 192.168.100.254 255.255.255.0
#
interface GigabitEthernet0/0/2
#
interface GigabitEthernet0/0/3
#
interface GigabitEthernet0/0/4
#
interface GigabitEthernet0/0/5
#
interface GigabitEthernet0/0/6
description VirtualPort
#
interface NULL0
#
l2tp-group 1
allow l2tp virtual-template 1 remote lac
tunnel password cipher %^%#Ea!g4rKm#B#B!+PSl6~;)73GOc"nAB7r%q5N8{x+%^%#
tunnel name lns
#
snmp-agent local-engineid 800007DB03E0FC000A0B0C
snmp-agent trap enable
#
ssh server permit interface GigabitEthernet0/0/0
#
http secure-server ssl-policy default_policy
http secure-server enable
http server permit interface GigabitEthernet0/0/0
#
fib regularly-refresh disable
#
user-interface con 0
authentication-mode aaa
user-interface vty 0
authentication-mode aaa
user privilege level 15
user-interface vty 1 4
#
dot1x-access-profile name dot1x_access_profile
#
mac-access-profile name mac_access_profile
#
ops
#
autostart
#
secelog
#
ms-channel
#
return