设为首页收藏本站
开启辅助访问

IPsec over L2TP场景典型配置案例

 您所在的位置:网站首页 华为usg6555e配置 IPsec over L2TP场景典型配置案例

IPsec over L2TP场景典型配置案例

2023-10-21 03:27| 来源: 网络整理| 查看: 265

L2TP接入是目前常用的VPDN(Virtual Private Dial Network,虚拟私有拨号网)协议,为远程接入用户分配内网地址并提供内网资源的访问权限。

IPSec(Internet Protocol Security,因特网协议安全协议)是一种开放标准的框架结构,通过加密的安全服务以确保IP网络上能够进行保密而安全的通讯。

L2TP协议本身并不提供连接的安全性,使用IPSec over L2TP技术,在L2TP隧道基础上建立IPSec VPN,可以综合两种VPN的优势,实现隧道中数据的透明、安全传输。

本例介绍IPSec over L2TP场景的典型配置方法。即先用IPSec封装报文,再用L2TP封装。利用L2TP实现用户验证和地址分配,并利用IPSec保障安全性。

适用产品和版本

适用于V800R021C10及以后版本的ME60系列、NE40E系列及NE8000系列路由器。

场景配置注意事项 表1-1 IPSec over L2TP场景典型配置注意事项

序号

注意事项

影响

规避措施

1

IPSec Tunnel口借用其他接口地址时,被借用的接口无法正常承载其他业务,因为无法接收和发送组播、广播报文。

影响被借用口业务。

合理规划网络,被借用地址不要配置其他业务。

2

IKE IPSec仅支持隧道模式,手工IPSec仅支持传输模式

流量不通。

选用正确的隧道模式。

3

IPSec策略中需要配置ACL和IKE peer,ACL rule中配置的VPN与IKE peer下绑定的VPN必须一致。

配置不一致时IPSec转发流量不通。

配置IKE peer绑定的VPN和ACL规则中的VPN一致。

4

VSU单板上启动IKE,需要加载PAF,并配置License命令。

协议无法协商。

正确加载PAF,并配置License命令。

场景配置前置条件该场景下需要的特殊单板用户侧必须要支持用户接入的单板。 该场景需要的License项 表1-2 License项

中文描述

License说明

量纲

涉及形态

BNG功能许可证

BNG+默认32K用户数,支持单买扩容到128K用户数,包括PPPoE、IPoE、L2TP、DAA、EDSG功能。

按整机

NE40E,NE8000-M系列

1k用户数许可证

用户上线容量数。

按用户

NetEngine40E,NE8000-M系列,ME60

组网需求

如图1-1所示,DeviceA作为接入服务器,使用PPP拨号方式发起PPP会话,触发L2TP隧道创建。L2TP隧道建立成功后,LNS生成一条通往DeviceA的路由;DeviceA获取IP地址,并发起IPSec隧道创建。

图1-1 IPSec over L2TP组网

本例中Interface1、Interface2、Interface3分别代表接口GE1/0/1、GE1/0/2、GE1/0/3。

配置思路配置LAC侧:使能L2TP在AAA域下配置L2TP组配置虚拟模板配置BAS接口在LAC侧配置L2TP组并配置相关属性 配置LNS侧:使能L2TP配置地址池并在地址池下绑定VPN配置ACL策略配置IKE安全提议配置名称为1的IKE peer配置IPSec安全提议配置IPSec安全策略模板,并在IPSec安全策略模板安全策略中应用IPSec安全策略模板配置AAA域创建service-location组,并将业务绑定在service-location组下创建虚拟模板创建并配置Tunnel接口创建L2TP组并配置相关属性创建LNS组 操作步骤配置设备名称和接口IP地址

具体配置请参考配置文件,此处略。

配置LAC侧:

使能L2TP,并配置LAC侧的L2TP连接 system-view [~LAC] l2tp enable [~LAC] l2tp-group 1 [*LAC-l2tp-1] tunnel name lac [*LAC-l2tp-1] start l2tp ip 192.168.0.14 [*LAC-l2tp-1] tunnel source GigabitEthernet1/0/2 [*LAC-l2tp-1] commit 配置隧道验证方式[~LAC-l2tp-1] tunnel authentication [*LAC-l2tp-1] tunnel password cipher huawei_123@ [*LAC-l2tp-1] commit 配置虚拟接口模板[~LAC] interface Virtual-Template1 [~LAC-interface-Virtual-Template1] ppp authentication-mode auto [*LAC-interface-Virtual-Template1] commit [~LAC-interface-Virtual-Template1] quit L2TP接入相关配置配置AAA方案[~LAC] aaa [~LAC-aaa] authentication-scheme auth1 [*LAC-aaa-authen-auth1] authentication-mode radius [*LAC-aaa-authen-auth1] commit [~LAC-aaa-authen-auth1] quit [~LAC-aaa] accounting-scheme acct1 [*LAC-aaa-accounting-acct1] accounting-mode radius [*LAC-aaa-accounting-acct1] commit [~LAC-aaa-accounting-acct1] quit [~LAC-aaa] quit 配置RADIUS服务器[~LAC] radius-server group radius1 [*LAC-radius-radius1] radius-server authentication 10.20.20.1 1812 [*LAC-radius-radius1] radius-server accounting 10.20.20.1 1813 [*LAC-radius-radius1] radius-server shared-key itellin@123 [*LAC-radius-radius1] commit [~LAC-radius-radius1] quit 配置用户接入时的域,并在域下指定L2TP组[~LAC] aaa [~LAC-aaa] domain huawei [*LAC-aaa-domain-huawei] authentication-scheme auth1 [*LAC-aaa-domain-huawei] accounting-scheme acct1 [*LAC-aaa-domain-huawei] radius-server group radius1 [*LAC-aaa-domain-huawei] commit [~LAC-aaa-domain-huawei] l2tp-group 1 [*LAC-aaa-domain-huawei] commit [~LAC-aaa-domain-huawei] quit 配置BAS接口[~LAC] interface GigabitEthernet1/0/1 [~LAC-GigabitEthernet1/0/1] bas [~LAC-GigabitEthernet1/0/1-bas] access-type layer2-subscriber default-domain authentication huawei [*LAC-GigabitEthernet1/0/1-bas] commit

配置LNS侧:

使能L2TP基本功能 system-view [~LNS] l2tp enable [~LNS] l2tp-group 1 [*LNS-l2tp-1] commit 配置虚拟接口模板[~LNS] interface Virtual-Template1 [~LNS-interface-Virtual-Template1] ppp authentication-mode auto [*LNS-interface-Virtual-Template1] commit [~LNS-interface-Virtual-Template1] quit 配置地址池并在地址池下绑定VPN[~LNS] ip vpn-instance test [*LNS-vpn-instance-test] ipv4-family [*LNS-vpn-instance-test1-af-ipv4] route-distinguisher 100:1 [*LNS-vpn-instance-test1-af-ipv4] vpn-target 100:1 both [*LNS-vpn-instance-test-af-ipv4] commit [~LNS-vpn-instance-test-af-ipv4] quit [~LNS-vpn-instance-test] quit [~LNS] ip pool 1 bas local [~LNS-ip-poop-1] gateway 10.228.61.1 255.255.255.0 [~LNS-ip-poop-1] section 0 10.228.61.2 11.228.61.254 [~LNS-ip-poop-1] vpn-instance test 配置ACL策略[~LNS] acl number 3000 [*LNS-acl-3000] rule 5 permit ip destination 10.92.236.64 0.0.0.15 [*LNS-acl-3000] rule 10 permit ip destination 10.92.236.80 0.0.0.15 [*LNS-acl-3000] rule 15 permit ip destination 10.228.61.0 0.0.0.15 [*LNS-acl-3000] rule 20 permit ip destination 10.228.254.0 0.0.0.15 [*LNS-acl-3000] commit [~LNS-acl-3000] quit 配置IKE安全提议[~LNS]ike proposal 1 [*LNS-ike-proposal-1] authentication-algorithm sha2-256 [*LNS-ike-proposal-1] integrity-algorithm hmac-sha2-256 [*LNS-ike-proposal-1] dh group14 [*LNS-ike-proposal-1] commit 配置名称为1的IKE peer。[~LNS] ike peer 1 [*LNS-ike-peer-p1] ike-proposal 1 [*LNS-ike-peer-p1] pre-shared-key 123456 [*LNS-ike-peer-p1] remote-address vpn-instance test 0.0.0.0 255.255.255.255 [*LNS-ike-peer-p1] commit [~LNS-ike-peer-p1] quit 配置IPSec安全提议[~LNS] ipsec proposal 1 [*LNS-ipsec-proposal-proposa1] esp authentication-algorithm sha256 [*LNS-ipsec-proposal-proposa1] esp encryption-algorithm aes 128 [*LNS-ipsec-proposal-proposa1] commit [~LNS-ipsec-proposal-proposa1] quit 配置IPSec安全策略模板,并在IPSec安全策略模板安全策略中应用IPSec安全策略模板[~LNS] ipsec policy-template t1 1 [*LNS-ipsec-policy-templet-map_t1-1] security acl 3000 [*LNS-ipsec-policy-templet-map_t1-1] ike-peer 1 [*LNS-ipsec-policy-templet-map_t1-1] proposal 1 [*LNS-ipsec-policy-templet-map_t1-1] commit [~LNS-ipsec-policy-templet-map_t1-1] quit [~LNS] ipsec policy 1 1 isakmp template t1 [*LNS] commit 配置AAA域[~LNS] aaa [~LNS-aaa] authentication-scheme auth1 [*LNS-aaa-authen-auth1] authentication-mode radius [*LNS-aaa-authen-auth1] commit [~LNS-aaa-authen-auth1] quit [~LNS-aaa] accounting-scheme acct1 [*LNS-aaa-accounting-acct1] accounting-mode radius [*LNS-aaa-accounting-acct1] commit [~LNS-aaa-accounting-acct1] quit [~LNS-aaa] domain huawei [*LNS-domain-huawei] authentication-scheme auth1 [*LNS-domain-huawei] accounting-scheme acct1 [*LNS-domain-huawei] radius-server group radius1 [*LNS-domain-huawei] commit [~LNS-domain-huawei] ip-pool 1 [~LNS-domain-huawei] vpn-instance test [*LNS-domain-huawei] commit 创建service-location组,并将业务绑定在service-location组下[~LNS] service-location 1 [*LNS-service-location-1] location slot 1 card 0 [*LNS-service-location-1] commit [~LNS-service-location-1] quit [~LNS] service-instance-group 1 [*LNS-service-instance-group-group1] service-location 1 [*LNS-service-instance-group-group1] commit [~LNS-service-instance-group-group1] quit 创建虚拟模板[~LNS] interface Virtual-Template1 [*LNS-Virtual-Template1] ppp authentication-mode auto [*LNS-Virtual-Template1] commit 创建并配置Tunnel接口[~LNS] interface Tunnel 1 [*LNS-Tunnel1] tunnel-protocol ipsec [*LNS-Tunnel1] ip address 192.168.0.14 255.255.255.255 [*LNS-Tunnel1] ip binding vpn-instance test [*LNS-Tunnel1] ipsec policy 1 service-instance-group 1 [*LNS-Tunnel1] commit [~LNS-Tunnel1] quit 在LNS侧配置L2TP组以及相关属性[~LNS] l2tp-group 1 [*LNS-l2tp-1] tunnel name lns [*LNS-l2tp-1] allow l2tp Virtual-Template 1 remote lac [*LNS-l2tp-1] tunnel password cipher huawei_123@ [*LNS-l2tp-1] commit [~LNS-l2tp-1] quit 创建LNS组,并绑定隧道板[~LNS] lns-group 1 [*LNS-lns-group-1] bind slot 1 [*LNS-lns-group-1] bind source GigabitEthernet1/0/3 [*LNS-lns-group-1] commit 配置文件

LAC侧配置文件

# sysname LAC # l2tp enable # interface GigabitEthernet1/0/2 undo shutdown ip address 192.168.0.13 255.255.255.252 # radius-server group radius1 radius-server authentication 10.20.20.1 1812 radius-server accounting 10.20.20.1 1813 radius-server shared-key %^%#vS%796FO7%C~pB%CR=q;j}gSCqR-X6+P!.DYI@)%^% # interface Virtual-Template1 ppp authentication-mode auto # interface GigabitEthernet1/0/1 undo shutdown bas # access-type layer2-subscriber default-domain authentication huawei # # l2tp-group 1 tunnel password cipher %^%#`E)v.Q@BHVzxxZ;ij{>&_M0!TGP7YRA@8a7mq


【本文地址】


今日新闻

推荐新闻

CopyRight 2018-2019 办公设备维修网 版权所有 豫ICP备15022753号-3