Juniper防火墙下实现L2TP的本地和AAA验证
L2TP
是一种工业标准的
Internet
隧道协议,功能大致和
PPTP协议
类似,比如同样可以对网络数据流进行加密。不过也有不同之处,比如
PPTP
要求网络为
IP网络
,
L2TP
要求面向数据包的点对点连接;
PPTP
使用单一隧道,
L2TP
使用多隧道;
L2TP
提供
包头
压缩、隧道验证,而
PPTP
不支持
.
L2TP
隧道(
L2TP Tunnel
)是指在第二层隧道协议
(L2TP)
端点之间的逻辑链接:
LAC
(
L2TP
接入聚合器)和
LNS
(
L2TP
网络服务器)。当
LNS
是服务器时,
LAC
是隧道的发起人,它等待新的隧道。一旦一个隧道被确立,在这个点之间的新通信将是双向的。为了对网络有用
,
高层协议例如点对点协议
(PPP)
然后通过
L2TP
隧道,适合出差在外的员工利用
×××
拨入公司的内网!
案例:
以下以
juniper
防火墙为例建立
l2tp
,分别实现本地身份验证和
AAA
服务器验证。
防火墙型号是netscreen-25
配置防火墙
设置ip地址
ns25-> set interface eth1 ip 192.168.3.1 255.255.255.0
ns25-> set interface eth1 manage ping 给予ping权限
ns25-> set interface eth1 manage web 给予web访问权限
ns25-> set interface eth3 manage ping
ns25-> set interface eth3 manage web
ns25-> set interface eth3 ip 61.130.130.21 255.255.255.0
ns25-> get interface
A - Active, I - Inactive, U - Up, D - Down, R - Ready
Interfaces in vsys Root:
Name
IP Address Zone MAC VLAN State VSD
eth1
192.168.3.1/24 Trust 0019.e240.67d0 - U -
eth2
0.0.0.0/0 DMZ 0019.e240.67d5 - D -
eth3
61.130.130.21/24 Untrust 0019.e240.67d6 - U -
eth4
0.0.0.0/0 Null 0019.e240.67d7 - D -
vlan1
0.0.0.0/0 VLAN 0019.e240.67df 1 D -
null
0.0.0.0/0 Null 0000.5e00.0100 - U 0
接下来用pc1对防火墙进行web配置
一
本地身份验证
1
设置地址池
2
设置本地账号
3
配置
l2tp
4 l2tp
隧道
5
写策略
6
配置外网用户端
为方便测试,我们直接让用户端与防火墙相连,但不能配置网关
关闭ipsec的认证功能,修改注册表 (快捷键 regedit)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\Parameters中添加一个DWORD文件,文件名为ProhibitIPSec 值为1
创建一个l2tp网络连接
创建完成后打开
7
测试
二
借助于
AAA
实现验证
借助于AAA服务器进行验证,可有效地实现安全性。
1 acs
配置
2
防火墙配置
3
测试
转载于:https://blog.51cto.com/liufan0321/1130199