今天继续给大家介绍HCIE安全。本文以华为eNSP模拟器,实现了Client-Initiated类型的L2TP 配置。Client-Initiated 主要应用在公司外部职员在外地出差时访问公司内部网络的场景下。
阅读本文,您需要对L2TP 有一定的了解,如果您对此还存在困惑,欢迎您查阅我博客内的其他文章,相信您一定会有所收获。
相关文章链接:
L2TP详解(一)
L2TP详解(二)

一、实验拓扑及目的


实验拓扑如上所示,其中本地使用Vmware虚拟出一台Win7设备与路由器实现链接。虚拟机如下所示:

现在要求配置如上所示的Client-Initiated L2TP ,实现本地虚拟机通过防火墙连接到PC1。

二、实验配置命令

(一)L2TP功能使能

要配置实现L2TP功能,必须在全局模式下,使能L2TP功能,相关配置如下所示:

l2tp enable

(二)Service-scheme和domain相关配置

要实现L2TP功能,还应当在aaa模式下,配置service-schema和domain,相关配置如下:

aaaservice-scheme L2TPip-pool testdomain defaultservice-type l2tp
#

(三)L2TP组配置

在配置L2TP组时,在这里要注意tunnel password的配置就是在Client端要输入的隧道密码的值,而后面的远端“test”,也必须和Client上的配置相同。

l2tp-group 1tunnel password cipher huaweiallow l2tp virtual-template 1 remote test
#

(四)虚模板接口配置

为了实现L2TP虚拟隧道建立,必须建立一个虚模板接口,在该虚模板接口上配置PPP认证的模式,并关联到L2TP中,相关配置如下:

interface Virtual-Template1ppp authentication-mode chapremote service-scheme L2TPip address 192.168.100.200 255.255.255.0service-manage ping permit
#

(五)L2TP用户名和密码相关配置

为了实现L2TP用户的接入,必须在防火墙上配置L2TP的用户名和密码,相关配置如下:

user-manage user testpassword huawei@123

在配置上述部分时,必须要保证密码符合一定的复杂程度,负责会配置失败。

(六)安全区域和安全策略相关配置

为了实现L2TP的正常建立,需要在防火墙安全策略上方向一些数据包通信,一是要放行远程主机与防火墙建立L2TP的数据流量,因此目的区域在这里要配置成local,另外一个是配置远程Client与公司内网之间的网络流量。相关配置如下:

firewall zone trustset priority 85add interface GigabitEthernet0/0/0add interface GigabitEthernet1/0/1
#
firewall zone untrustset priority 5add interface GigabitEthernet1/0/0
#
firewall zone dmzset priority 50add interface Virtual-Template1
#
security-policyrule name l2tpsource-zone untrustdestination-zone localservice l2tpaction permitrule name pingsource-zone dmzdestination-zone trustaction permit

三、Seco Client配置

为了能够与对端正常建立L2TP 链接,我们可以选择在本地安装华为的专用L2TP 客户端。在安装完成后,就可以新建立一个L2TP链接,重要配置如下所示:

在这里,隧道名称和隧道验证密码必须和L2TP组中的名称配置相同,认证模式必须各Virtual-Template中配置的认证方式相同。
配置完成后,会出现如下界面:

这里,我们点击连接就可以了,之后会出现如下界面:

输入我们在user-manage中配置的用户名和密码,就可以正常登录了。如果成功实现登录,会弹出弹框提示,如果登录失败,也会弹出弹框说明失败原因。

四、实验现象

(一)L2TP隧道建立过程抓包

(二)L2TP数据报文抓包

(三)防火墙状态查看

(四)虚拟机网络状态查看

(五)数据包通信

五、附录——FW设备配置相关命令

sysname USG6000V1
l2tp enable
ip pool testsection 0 192.168.100.100 192.168.100.110
#
aaaservice-scheme L2TPip-pool testdomain defaultservice-type l2tp
#
l2tp-group default-lns
l2tp-group 1tunnel password cipher %$%$q6~DTdoqH$}@9WCz2\+2_cXo%$%$allow l2tp virtual-template 1 remote test
#
interface Virtual-Template1ppp authentication-mode chapremote service-scheme L2TPip address 192.168.100.200 255.255.255.0service-manage ping permit
#
interface GigabitEthernet1/0/0undo shutdownip address 155.1.11.2 255.255.255.0service-manage ping permit
#
interface GigabitEthernet1/0/1undo shutdownip address 192.168.58.254 255.255.255.0service-manage ping permit
#
firewall zone trustset priority 85add interface GigabitEthernet0/0/0add interface GigabitEthernet1/0/1
#
firewall zone untrustset priority 5add interface GigabitEthernet1/0/0
#
firewall zone dmzset priority 50add interface Virtual-Template1
#
ip route-static 0.0.0.0 0.0.0.0 155.1.11.1
#
security-policyrule name l2tpsource-zone untrustdestination-zone localservice l2tpaction permitrule name pingsource-zone dmzdestination-zone trustaction permit

原创不易,转载请说明出处:https://blog.csdn.net/weixin_40228200/article/details/119618546

L2TP 配置实例——Client-Initiated相关推荐

  1. 详解“FTP文件传输服务”安装配置实例

    "FTP文件传输服务"安装配置实例 家住海边喜欢浪:zhang789.blog.51cto.com 目录 简介 ftp工作原理 常见的FTP服务 Vsftpd服务器的安装 Vsft ...

  2. 思科pix防火墙配置实例大全

    在配置PIX防火墙之前,先来介绍一下防火墙的物理特性.防火墙通常具有至少3个接口,但许多早期的防火墙只具有2个接口:当使用具有3个接口的防火墙时,就至少产生了3个网络,描述如下: 内部区域(内网):内 ...

  3. redis配置实例及redis.conf详细说明

    一.配置实例 1.redis修改持久化路径.日志路径.清缓存 redis修改持久化路径和日志路径 vim  redis.conf logfile /data/redis_cache/logs/redi ...

  4. 128.3. Example 配置实例

    128.3.1. HTTP 配置实例 cd /etc/haproxy/cp haproxy.cfg haproxy.cfg.old# cat /etc/haproxy/haproxy.cfg #--- ...

  5. cisco 模拟器安装及交换机的基本配置实验心得_软考网络工程师级配置题总结 | 交换机配置、路由器配置、广域网接入配置、L2TP配置、IPSec配置、PIX防火墙配置...

    软考网络工程师级配置题总结 一. 交换机配置 1. 交换机的基本配置 Enable 进入特权模式 Config terminal 进入配置模式 Enable password cisco 设置enab ...

  6. L2TP 配置 实践出配置

    ####L2TP 配置 # L2TP(client)-----------------LAC(fa0/0 10.1.1.2/24)--------(fa0/1 10.1.1.1/24)LNS(s0/0 ...

  7. SONICWALL防火墙 L2TP ×××配置方法

    SONICWALL防火墙 L2TP ×××配置方法 在经过多次的SonicWALL 防火墙调试的实际案例中,部分客户对L2TP×××的技术问题要求比较多,根据我们的经验,特别罗列出SonicWALL防 ...

  8. 基于FRR全面解析BGP协议(八):FRR配置实例

    FRR配置实例 环境:centos 7.6.1810 版本:FRR 7.3 服务器: 1台 Namespace配置实例 FRR的vrf功能支持同一个进程在不同ns内创建bgp对等体.首先需要配置zeb ...

  9. 基于net.tcp的WCF配置实例解析

    开通黄钻 基于net.tcp的WCF配置实例解析 本文主要通过文件配置来讲解如何编写一个基于net.tcp的Windows Form小程序. 使用的工具 涉及的工具有: SvcUtil.exe WCF ...

  10. log4j2配置实例[按小时记录日志文件]

    log4j2.xml文件配置实例:<?xml version="1.0" encoding="UTF-8"?> <configuration ...

最新文章

  1. RGBD相机模型与图片处理
  2. linux 的功能,Linux的主要功能
  3. 【python基础】——数据类型(列表、字典、集合)
  4. Java面向对象(4) ——多态
  5. Python学习day02_数字类型 与 布尔类型 短路逻辑和运算符优先级
  6. 基于JAVA+SpringMVC+Mybatis+MYSQL的校园二手自行车交易系统
  7. Go语言面向对象编程
  8. 正在等待继续编辑 - Python - 基础知识专题 - 配置文件与日志管理
  9. 分享一个数据结构网站
  10. 人口增长模型——基于matlab语言
  11. 重置linux红帽登录密码,红帽(RHEL)Linux 忘记root密码后重置密码
  12. Mac安装/卸载brew
  13. cv/dl/cl领域的实验室官网/牛人主页/技术论坛/比赛数据库/好玩的东西
  14. [内附完整源码和文档] 基于ThinkPhp框架的高校图书馆藏书借阅系统
  15. 小米路由器4刷padavan固件
  16. ASP.NET Web API下对比测试Jil序列化性能
  17. Python黑客攻防入门
  18. 每天学点统计学——平均
  19. 如何在多台电脑间同步
  20. 基于ESP32的BLE蓝牙开关

热门文章

  1. bug5-tensorflow.python.framework.errors_impl.UnknownError: Failed to get convolution algorithm
  2. pyspark对Mysql数据库进行读写
  3. python pyspark用法
  4. 测试有道:微软测试技术心得 1
  5. 为什么这本书大家都称好
  6. Machine Learning - IV. Linear Regression with Multiple Variables多变量线性规划 (Week 2)
  7. module 'tensorflow.python.keras.backend' has no attribute 'get_graph'
  8. html css没有反应,只有CSS和HTML的标签没有正确响应
  9. 目前为止微型计算机,2017年计算机一级考试题库及答案
  10. 小米平板android版本,小米平板2发布:分Android和Wind 10两个版本