组网图形
组网需求
- 企业网络如图所示,企业希望公司外的移动办公用户能够通过L2TP VPN隧道访问公司内网的各种资源。
操作步骤
配置LNS。
- 1.配置接口IP地址,并将接口加入安全区域。
<LNS> system-view
[LNS] sysname LNS
[LNS] interface GigabitEthernet 1 /0/1
[LNS-GigabitEthernet1 /0/1 ] ip address 1.1.1.1 24
[LNS-GigabitEthernet1 /0/1 ] quit
[LNS] firewall zone untrust
[LNS-zone-untrust] add interface GigabitEthernet 1 /0/1
[LNS-zone-untrust] quit
[LNS] interface GigabitEthernet 1 /0/2
[LNS-GigabitEthernet1 /0/2 ] ip address 10.1.1.1 24
[LNS-GigabitEthernet1 /0/2 ] quit
[LNS] firewall zone trust
[LNS-zone-trust] add interface GigabitEthernet 1 /0/2
[LNS-zone-trust] quit
- 2.配置地址池。
如果真实环境中地址池地址和总部内网地址配置在了同一网段,则必须在LNS连接总部网络的接口上开启ARP代理功能,保证LNS可以对总部网络服务器发出的ARP请求进行应答。
[LNS] ip pool pool
[LNS-ip-pool-pool] section 1 172.16.1.2 172.16.1.100
[LNS-ip-pool-pool] quit
- 3.配置业务方案。
[LNS] aaa
[LNS-aaa] service-scheme l2tp
[LNS-aaa-service-l2tp] ip-pool pool
[LNS-aaa-service-l2tp] quit
- 4.配置认证域及其下用户。
a. 配置认证域。
说明:
如果需要对L2TP接入用户进行基于用户名的策略控制,认证域的接入控制必须包含internetaccess。
[LNS-aaa] domain default
[LNS-aaa-domain-default] service- type l2tp
b. 配置分支用户及其对应的用户组。
[LNS] user-manage group /default/research
[LNS-usergroup- /default/research ] quit
[LNS] user-manage user user0001
[LNS-localuser-user0001] parent-group /default/research
[LNS-localuser-user0001] password Password123
[LNS-localuser-user0001] quit
- 5.配置VT接口。
[LNS] interface Virtual-Template 1
[LNS-Virtual-Template1] ip address 172.16.1.1 24
[LNS-Virtual-Template1] ppp authentication-mode pap
[LNS-Virtual-Template1] remote service-scheme l2tp
[LNS-Virtual-Template1] quit
[LNS] firewall zone dmz
[LNS-zone-dmz] add interface Virtual-Template 1
[LNS-zone-dmz] quit
- 6.配置L2TP Group。
[LNS] l2tp enable
[LNS] l2tp-group 1
[LNS-l2tp-1] allow l2tp virtual-template 1 remote client
[LNS-l2tp-1] tunnel authentication
[LNS-l2tp-1] tunnel password cipher Hello123
[LNS-l2tp-1] quit
- 7.配置到Internet上的缺省路由,假设LNS通往Internet的下一跳IP地址为1.1.1.2。
[LNS] ip route-static 0.0.0.0 0.0.0.0 1.1.1.2
- 8.配置LNS上的域间安全策略。
# 配置trust与dmz之间的安全策略,允许移动办公用户访问总部内网以及总部内网访问移动办公用户的双向业务流量通过。
[LNS] security-policy
[LNS-policy-security] rule name service_td
[LNS-policy-security-rule-service_td] source -zone trust
[LNS-policy-security-rule-service_td] destination-zone dmz
[LNS-policy-security-rule-service_td] source -address 10.1.2.0 24
[LNS-policy-security-rule-service_td] destination-address 172.16.1.0 24
[LNS-policy-security-rule-service_td] action permit
[LNS-policy-security-rule-service_td] quit
[LNS-policy-security] rule name service_dt
[LNS-policy-security-rule-service_dt] source -zone dmz
[LNS-policy-security-rule-service_dt] destination-zone trust
[LNS-policy-security-rule-service_dt] source -address 172.16.1.0 24
[LNS-policy-security-rule-service_dt] destination-address 10.1.2.0 24
[LNS-policy-security-rule-service_dt] action permit
[LNS-policy-security-rule-service_dt] quit
# 配置从untrust到local方向的安全策略,允许L2TP报文通过。
[LNS-policy-security] rule name l2tp_ul
[LNS-policy-security-rule-l2tp_ul] source -zone untrust
[LNS-policy-security-rule-l2tp_ul] destination-zone local
[LNS-policy-security-rule-l2tp_ul] destination-address 1.1.1.0 24
[LNS-policy-security-rule-l2tp_ul] action permit
[LNS-policy-security-rule-l2tp_ul] quit
配置移动办公用户侧的SecoClient。
- 1.打开SecoClient,进入主界面。
在“连接”对应的下拉列表框中,选择“新建连接”。
- 2.配置L2TP VPN连接参数。
在“新建连接”窗口左侧导航栏中选中“L2TP/IPSec”,并配置相关的连接参数,然后单击“确定”。隧道验证密码是Hello123。
- 3.登录L2TP VPN网关。
a.在“连接”下拉列表框中选择已经创建的L2TP VPN连接,单击“连接”。
b.在登录界面输入用户名、密码。
c.单击“登录”,发起VPN连接。
VPN接入成功时,系统会在界面右下角进行提示。连接成功后移动办公用户就可以和企业内网用户一样访问内网资源了。
结果验证
- 1.移动办公用户可正常访问总部内网服务器。
- 2.在LNS上查看L2TP隧道的建立情况,此处以LNS为例。
a.执行display l2tp tunnel命令,查看到有L2TP隧道信息,说明L2TP隧道建立成功。
[LNS] display l2tp tunnel
L2TP::Total Tunnel: 1
LocalTID RemoteTID RemoteAddress Port Sessions RemoteName VpnInstance
------------------------------------------------------------------------------
2 1 2.2.2.2 61535 1 client
------------------------------------------------------------------------------
Total 1, 1 printed
b.执行display l2tp session命令,查看到有L2TP会话信息,说明L2TP会话建立成功。
[LNS] display l2tp session
L2TP::Total Session: 1
LocalSID RemoteSID LocalTID RemoteTID UserID UserName VpnInstance
------------------------------------------------------------------------------
119 32 2 1 9689 user0001
------------------------------------------------------------------------------
Total 1, 1 printed
出处:https://www.cnblogs.com/zhangwencheng
版权:本文版权归作者和博客园共有,欢迎转载,但未经作者同意必须保留此段声明,且在文章页面明显位置给出
原文链接
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。
文章由极客之音整理,本文链接:https://www.bmabk.com/index.php/post/206090.html