HUAWEI防火墙通过L2TP隧道让外出员工访问公司内网的各种资源

如果你不相信努力和时光,那么成果就会是第一个选择辜负你的。不要去否定你自己的过去,也不要用你的过去牵扯你现在的努力和对未来的展望。不是因为拥有希望你才去努力,而是去努力了,你才有可能看到希望的光芒。HUAWEI防火墙通过L2TP隧道让外出员工访问公司内网的各种资源,希望对大家有帮助,欢迎收藏,转发!站点地址:www.bmabk.com,来源:原文

组网图形

    HUAWEI防火墙通过L2TP隧道让外出员工访问公司内网的各种资源

组网需求

  • 企业网络如图所示,企业希望公司外的移动办公用户能够通过L2TP VPN隧道访问公司内网的各种资源。

操作步骤

配置LNS

  • 1.配置接口IP地址,并将接口加入安全区域。
<LNS> system-view
[LNS] sysname LNS
[LNS] interface GigabitEthernet 1 /0/1
[LNS-GigabitEthernet1 /0/1 ] ip address 1.1.1.1 24 
[LNS-GigabitEthernet1 /0/1 ] quit
[LNS] firewall zone untrust
[LNS-zone-untrust] add interface GigabitEthernet 1 /0/1
[LNS-zone-untrust] quit
[LNS] interface GigabitEthernet 1 /0/2
[LNS-GigabitEthernet1 /0/2 ] ip address 10.1.1.1 24 
[LNS-GigabitEthernet1 /0/2 ] quit
[LNS] firewall zone trust
[LNS-zone-trust] add interface GigabitEthernet 1 /0/2
[LNS-zone-trust] quit
  •  2.配置地址池。

  如果真实环境中地址池地址和总部内网地址配置在了同一网段,则必须在LNS连接总部网络的接口上开启ARP代理功能,保证LNS可以对总部网络服务器发出的ARP请求进行应答。

[LNS] ip pool pool
[LNS-ip-pool-pool] section 1 172.16.1.2 172.16.1.100
[LNS-ip-pool-pool] quit
  •  3.配置业务方案。
[LNS] aaa
[LNS-aaa] service-scheme l2tp 
[LNS-aaa-service-l2tp] ip-pool pool
[LNS-aaa-service-l2tp] quit 
  •  4.配置认证域及其下用户。

  a. 配置认证域。

说明:

  如果需要对L2TP接入用户进行基于用户名的策略控制,认证域的接入控制必须包含internetaccess

[LNS-aaa] domain default
[LNS-aaa-domain-default] service- type l2tp

   b. 配置分支用户及其对应的用户组。

[LNS] user-manage group  /default/research
[LNS-usergroup- /default/research ] quit
[LNS] user-manage user user0001
[LNS-localuser-user0001] parent-group  /default/research
[LNS-localuser-user0001] password Password123
[LNS-localuser-user0001] quit
  •  5.配置VT接口。
[LNS] interface Virtual-Template 1
[LNS-Virtual-Template1] ip address 172.16.1.1 24
[LNS-Virtual-Template1] ppp authentication-mode pap
[LNS-Virtual-Template1] remote service-scheme l2tp
[LNS-Virtual-Template1] quit
[LNS] firewall zone dmz
[LNS-zone-dmz] add interface Virtual-Template 1
[LNS-zone-dmz] quit
  •  6.配置L2TP Group。
[LNS] l2tp  enable
[LNS] l2tp-group 1
[LNS-l2tp-1] allow l2tp virtual-template 1 remote client
[LNS-l2tp-1] tunnel authentication
[LNS-l2tp-1] tunnel password cipher Hello123
[LNS-l2tp-1] quit
  •  7.配置到Internet上的缺省路由,假设LNS通往Internet的下一跳IP地址为1.1.1.2。
[LNS] ip route-static 0.0.0.0 0.0.0.0 1.1.1.2
  •  8.配置LNS上的域间安全策略。

  # 配置trust与dmz之间的安全策略,允许移动办公用户访问总部内网以及总部内网访问移动办公用户的双向业务流量通过。

[LNS] security-policy
[LNS-policy-security] rule name service_td
[LNS-policy-security-rule-service_td]  source -zone trust
[LNS-policy-security-rule-service_td] destination-zone dmz
[LNS-policy-security-rule-service_td]  source -address 10.1.2.0 24
[LNS-policy-security-rule-service_td] destination-address 172.16.1.0 24
[LNS-policy-security-rule-service_td] action permit
[LNS-policy-security-rule-service_td] quit
[LNS-policy-security] rule name service_dt
[LNS-policy-security-rule-service_dt]  source -zone dmz
[LNS-policy-security-rule-service_dt] destination-zone trust
[LNS-policy-security-rule-service_dt]  source -address 172.16.1.0 24
[LNS-policy-security-rule-service_dt] destination-address 10.1.2.0 24
[LNS-policy-security-rule-service_dt] action permit
[LNS-policy-security-rule-service_dt] quit

   # 配置从untrust到local方向的安全策略,允许L2TP报文通过。

[LNS-policy-security] rule name l2tp_ul
[LNS-policy-security-rule-l2tp_ul]  source -zone untrust
[LNS-policy-security-rule-l2tp_ul] destination-zone  local
[LNS-policy-security-rule-l2tp_ul] destination-address 1.1.1.0 24
[LNS-policy-security-rule-l2tp_ul] action permit
[LNS-policy-security-rule-l2tp_ul] quit

 配置移动办公用户侧的SecoClient。

  • 1.打开SecoClient,进入主界面。

  在“连接”对应的下拉列表框中,选择“新建连接”。

    HUAWEI防火墙通过L2TP隧道让外出员工访问公司内网的各种资源

  •  2.配置L2TP VPN连接参数。

  在“新建连接”窗口左侧导航栏中选中“L2TP/IPSec”,并配置相关的连接参数,然后单击“确定”。隧道验证密码是Hello123。

    HUAWEI防火墙通过L2TP隧道让外出员工访问公司内网的各种资源

  •  3.登录L2TP VPN网关。

   a.在“连接”下拉列表框中选择已经创建的L2TP VPN连接,单击“连接”。

    HUAWEI防火墙通过L2TP隧道让外出员工访问公司内网的各种资源

   b.在登录界面输入用户名、密码。

    HUAWEI防火墙通过L2TP隧道让外出员工访问公司内网的各种资源

   c.单击“登录”,发起VPN连接。

  VPN接入成功时,系统会在界面右下角进行提示。连接成功后移动办公用户就可以和企业内网用户一样访问内网资源了。

    HUAWEI防火墙通过L2TP隧道让外出员工访问公司内网的各种资源

 结果验证

  • 1.移动办公用户可正常访问总部内网服务器。
  • 2.在LNS上查看L2TP隧道的建立情况,此处以LNS为例。

  a.执行display l2tp tunnel命令,查看到有L2TP隧道信息,说明L2TP隧道建立成功。

[LNS] display l2tp tunnel
L2TP::Total Tunnel: 1 
                     
 LocalTID RemoteTID RemoteAddress    Port   Sessions RemoteName  VpnInstance   
 ------------------------------------------------------------------------------
 2        1         2.2.2.2          61535   1         client                   
 ------------------------------------------------------------------------------
  Total 1, 1 printed       

  b.执行display l2tp session命令,查看到有L2TP会话信息,说明L2TP会话建立成功。

[LNS] display l2tp session
L2TP::Total Session: 1
                     
  LocalSID  RemoteSID  LocalTID   RemoteTID  UserID  UserName    VpnInstance   
 ------------------------------------------------------------------------------
  119       32         2           1         9689    user0001                     
 ------------------------------------------------------------------------------
  Total 1, 1 printed 

 

版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。

文章由极客之音整理,本文链接:https://www.bmabk.com/index.php/post/206090.html

(0)
小半的头像小半

相关推荐

极客之音——专业性很强的中文编程技术网站,欢迎收藏到浏览器,订阅我们!