Juniper防火墙下实现L2TP的本地和AAA验证
L2TP 是一种工业标准的 Internet 隧道协议,功能大致和 PPTP协议 类似,比如同样可以对网络数据流进行加密。不过也有不同之处,比如 PPTP 要求网络为 IP网络 L2TP 要求面向数据包的点对点连接; PPTP 使用单一隧道, L2TP 使用多隧道; L2TP 提供 包头 压缩、隧道验证,而 PPTP 不支持 .
L2TP 隧道( L2TP Tunnel )是指在第二层隧道协议 (L2TP) 端点之间的逻辑链接: LAC L2TP 接入聚合器)和 LNS L2TP 网络服务器)。当 LNS 是服务器时, LAC 是隧道的发起人,它等待新的隧道。一旦一个隧道被确立,在这个点之间的新通信将是双向的。为了对网络有用 , 高层协议例如点对点协议 (PPP) 然后通过 L2TP 隧道,适合出差在外的员工利用 ××× 拨入公司的内网!
案例:
以下以 juniper 防火墙为例建立 l2tp ,分别实现本地身份验证和 AAA 服务器验证。
 

防火墙型号是netscreen-25
配置防火墙
设置ip地址
ns25-> set interface eth1 ip 192.168.3.1 255.255.255.0
ns25-> set interface eth1 manage ping 给予ping权限
ns25-> set interface eth1 manage web 给予web访问权限
ns25-> set interface eth3 manage ping
ns25-> set interface eth3 manage web
ns25-> set interface eth3 ip 61.130.130.21 255.255.255.0
ns25-> get interface
 
A - Active, I - Inactive, U - Up, D - Down, R - Ready
 
Interfaces in vsys Root:
Name            IP Address         Zone        MAC            VLAN State VSD     
eth1            192.168.3.1/24     Trust       0019.e240.67d0    -   U   - 
eth2            0.0.0.0/0          DMZ         0019.e240.67d5    -   D   - 
eth3            61.130.130.21/24   Untrust     0019.e240.67d6    -   U   - 
eth4            0.0.0.0/0          Null        0019.e240.67d7    -   D   - 
vlan1           0.0.0.0/0          VLAN        0019.e240.67df    1   D   - 
null            0.0.0.0/0          Null        0000.5e00.0100    -   U   0 
 

接下来用pc1对防火墙进行web配置
 

 

 

本地身份验证
1 设置地址池
 

 
 
2 设置本地账号
 

3 配置 l2tp
 
 

4 l2tp 隧道
 

5 写策略
 

 

 

 
6 配置外网用户端
   为方便测试,我们直接让用户端与防火墙相连,但不能配置网关
   关闭ipsec的认证功能,修改注册表 (快捷键 regedit)
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\Parameters中添加一个DWORD文件,文件名为ProhibitIPSec 值为1
创建一个l2tp网络连接
 

 

 

 

 

 

 

创建完成后打开
 

 

 

 

 

 

 

7 测试
 
 

 

 

 

 

 

 

 
 
借助于 AAA 实现验证
借助于AAA服务器进行验证,可有效地实现安全性。
1 acs 配置
 

 

 

 

 

 

 

 

 

2 防火墙配置
 

 

 

 

 

3 测试