今天继续给大家介绍HCIE安全。本文以华为eNSP模拟器,实现了CALL LNS类型的L2TP 配置。
阅读本文,您需要对L2TP 有一定的了解,如果您对此还存在困惑,欢迎您查阅我博客内的其他文章,相信您一定会有所收获。
相关文章链接:
L2TP详解(一)
L2TP详解(二)
强烈推荐您阅读以下文章:
L2TP 配置实例——Client-Initiated
由于在本实例中LNS端配置与上述实例配置中完全一致,因此在本实例中不会对LNS端配置进行过多介绍,主要给大家介绍LAC端的配置。
一、实验拓扑及目的
实验拓扑如上所示,现在要求配置CALL LNS L2TP,完成公司总部和分布之间跨互联网L2TP的建立。
二、实验配置命令
(一)L2TP GORUP配置
要配置CALL LNS L2TP,首先还是需要配置L2TP Group,在L2TP Group相关配置中,必须要配置的是隧道名称和隧道密码,以及LNS的对端建立隧道的IP地址。相关配置如下:
l2tp-group 1
tunnel password cipher huawei@123
tunnel name test
start l2tp ip 155.1.11.2 fullusername test
#
(二)虚模板配置
为了与LNS建立L2TP隧道,还必须建立一个虚模板接口,该接口要配置PPP认证的类型以及PPP认证的用户名和密码,这些配置必须与LNS端相符,相关配置如下:
interface Virtual-Template1
ppp authentication-mode chap
ppp chap user test
ppp chap password cipher huawei@123
ip address ppp-negotiate
call-lns local-user test
#
(三)NAT策略配置
在完成上述配置后,最基本的L2TP隧道应该已经建立了。但是为了保证总部和分布之间的通信,还需要配置一个NAT策略,这个策略要配置在虚模板接口上,使得数据包经过一次NAT的装换,否则当LNS回包的时候,以原始IP地址为目的地址的数据包就会在互联网上所丢弃。相关配置如下:
nat-policy
rule name 1
source-zone trust
egress-interface Virtual-Template1
source-address 192.168.57.0 mask 255.255.255.0
action source-nat easy-ip
#
除此之外,在完成上述配制后,如果发现L2TP还是不能建立,此时可以检查一下路由的问题。
三、实验现象
(一)L2TP建立过程抓包
(二)L2TP隧道建立
(三)L2TP通信
四、附录——FW2设备配置相关命令
l2tp enable
#
l2tp-group 1
tunnel password cipher %$%$W01y+)Rm(Z>KT0Tqjm/2E\Op%$%$
tunnel name test
start l2tp ip 155.1.11.2 fullusername test
#
interface Virtual-Template1
ppp authentication-mode chap
ppp chap user test
ppp chap password cipher %$%$6xj`D`Jh/RYKMD)q"`3CY$yW%$%$
ip address ppp-negotiate
call-lns local-user test
#
interface GigabitEthernet0/0/0
undo shutdown
ip binding vpn-instance default
ip address 192.168.0.1 255.255.255.0
alias GE0/METH
#
interface GigabitEthernet1/0/0
undo shutdown
ip address 155.1.12.2 255.255.255.0
#
interface GigabitEthernet1/0/1
undo shutdown
ip address 192.168.57.254 255.255.255.0
#
firewall zone local
set priority 100
#
firewall zone trust
set priority 85
add interface GigabitEthernet0/0/0
add interface GigabitEthernet1/0/1
#
firewall zone untrust
set priority 5
add interface GigabitEthernet1/0/0
#
firewall zone dmz
set priority 50
add interface Virtual-Template1
#
ip route-static 0.0.0.0 0.0.0.0 155.1.12.1
ip route-static 192.168.58.0 255.255.255.0 Virtual-Template1
#
nat-policy
rule name 1
source-zone trust
egress-interface Virtual-Template1
source-address 192.168.57.0 mask 255.255.255.0
action source-nat easy-ip
#
quota-policy
#
pcp-policy
#
dns-transparent-policy
#
rightm-policy
#
return
原创不易,转载请说明出处:https://blog.csdn.net/weixin_40228200/article/details/119905568