强叔最近开始在“侃墙”系列连载VPN了,许多小伙伴们看后大呼不过瘾,希望强叔能加快更新速度。但强叔也不是三头六臂,也需要一笔一笔来写啊。为了满足小伙伴们对VPN的浓厚学习兴趣,强叔就先给大家带来一篇很实用的L2TP over IPSec的案例,算是让大家先预热下L2TP与IPSec的综合使用。而且本案例还可以指导各位小伙伴在出差时使用安卓或苹果手机通过VPN接入总部,进行安全、高效的移动办公。

——————————————————下面大家就一起来赏析此案例吧~  ——————————————————————

【组网需求】

如图下所示,公司通过USG5500(V3R1版本)连接Internet。公司希望出差员工能够使用手机(3G/4G)接入公司内部网络,实现安全、高效的移动办公。

【强叔规划】

USG5500 V3R1版本支持三种安全的远程接入方式:SSL VPN、EAP认证方式的IPSec VPN和L2TP over IPSec(仅仅L2TP是不安全的,加上IPSec就安全了)。由于一般手机不能很好地支持SSL VPN和EAP认证,所以本案例选择的是手机普遍支持的L2TP over IPSec。

L2TP over IPSec的主要配置思路如下:

1、  在USG上配置L2TP功能。这里的L2TP配置与普通的L2TP配置并无差别。

2、  在USG上配置IPSec功能。这里需要注意两点:一是在定义要保护的数据流时只需匹配1701端口(L2TP协议报文的端口)即可;二是由于手机是通过3G/4G方式接入Internet,IP地址不固定,所以需要在USG上配置模板方式的IPSec。

3、  在手机上配置L2TP over IPSec。需要注意的是手机上的VPN参数需要与USG上的保持一致。这点会在后面详细说明。

由于本案例L2TP over IPSec参数众多,而且要求服务器端(USG)与客户端(手机)的参数保持一致,因此我们在开始配置前很有必要将这些参数都规划好并列举出来。需要注意的是iPhone和Android的界面参数略有不同。

PS:以下参数均经过强叔实测,小伙伴们可以直接使用。

项目

数据

说明

USG

L2TP
  • PPP认证方式:CHAP
  • iPhone帐户(用户名iphone 密码abcd1234!)
  • Android帐户(用户名android密abcd3456!)
  • 用户认证方式:本地认证(缺省)

USG的iPhone帐户的“用户名”和“密码”需要与iPhone的“帐户”和“密码”保持一致。

USG的Android帐户的“用户名”和“密码”需要与Android手机连接VPN时的“用户名”和“密码”保持一致。

IKE安全提议
  • 认证方式:预共享密钥(缺省)
  • 认证算法:SHA-1(缺省)
  • 加密算法:AES-CBC
  • DH group:group2

-

IKE对等体
  • 版本:IKEv1
  • 协商模式:主模式(缺省)
  • 预共享密钥:abc123

USG的“预共享密钥认证字”需要与iPhone的“密钥”、 Android手机的“IPsec预共享密钥”保持一致。

IPSec安全提议
  • 安全协议:ESP(缺省)
  • 认证算法:SHA-1
  • 加密算法:AES
  • 封装模式:传输模式

-

iPhone手机

VPN
  • 描述:L2TP over IPSec
  • 服务器:218.17.167.149
  • 帐户:iphone
  • 密码:abcd1234!
  • 密钥:abc123
  • 发送所有流量:是

服务器的地址是USG的建立IPSec隧道的接口IP地址。

Android手机

VPN

编辑VPN网络

  • 名称:l2tp over ipsec
  • 类型:L2TP/IPSec PSK
  • 服务器地址:218.17.167.149
  • IPsec预共享密钥:abc123

连接到l2tp over ipsec

  • 用户名:android
  • 密码:abcd2345!

服务器的地址是USG的建立IPSec隧道的接口IP地址。

【配置步骤】

1、  配置USG的L2TP功能。

1)开启L2TP功能。

[USG] l2tp enable

2)配置本地用户名和密码,用于手机VPN拨号时认证。配置IP地址池,为手机分配内网IP地址。

[USG] aaa

[USG-aaa] local-user iphone password cipher abcd1234!

[USG-aaa] local-user android password cipher abcd2345!

[USG-aaa] ip pool 1 10.0.0.1 10.0.0.50

[USG-aaa] quit

【强叔点评】本案例中只举例创建了两个帐号,如果有多个用户则需要创建多个帐号。

本案例的地址池中的IP地址与现有公司内网IP地址不在同一网段。如果希望在同一网段,则需要配置L2TP虚拟转发功能和ARP代理功能。

3)配置虚拟接口模板,并将虚拟接口模板加入trust区域。

[USG] interface Virtual-Template 1

[USG-Virtual-Template1] ip address 1.1.1.1 24

[USG-Virtual-Template1] ppp authentication-mode chap

[USG-Virtual-Template1] remote address pool 1

[USG-Virtual-Template1] quit

[USG] firewall zone trust

[USG-zone-trust] add interface Virtual-Template 1

[USG-zone-trust] quit

【强叔点评】 虚拟接口模板的IP地址可以任意配置,只要不与已存在的IP地址冲突即可。

此处指定的地址池号必须是AAA视图下已有的地址池,否则USG无法为客户端分配IP地址。

4)创建并配置L2TP组。

[USG] l2tp-group 1

[USG-l2tp1] undo tunnel authentication

[USG-l2tp1] allow l2tp virtual-template 1

[USG-l2tp1] quit

【强叔点评】这里建议使用L2TP组1(l2tp-group 1),因为L2TP组1可以不指定隧道对端名称,即不需要知道手机的设备名称。

2、  配置USG的IPSec功能。

1)定义要保护的数据流。

[USG] acl 3100

[USG-acl-adv-3100] rule 5 permit udp source-port eq 1701

[USG-acl-adv-3100] quit

【强叔点评】IPSec需要保护L2TP封装后的报文,L2TP报文的端口号为1701。

2)配置IKE安全提议。

[USG] ike proposal 1

[USG-ike-proposal-1] encryption-algorithm aes-cbc

[USG-ike-proposal-1] dh group2

[USG-ike-proposal-1] quit

3)配置IKE对等体,预共享密钥为abc123。

[USG] ike peer b1

[USG-ike-peer-b1] ike-proposal 1

[USG-ike-peer-b1] pre-shared-key abc123

[USG-ike-peer-b1] quit

4)配置IPSec安全提议。

[USG] ipsec proposal a1

[USG-ipsec-proposal-a1] encapsulation-mode transport

[USG-ipsec-proposal-a1] esp authentication-algorithm sha1

[USG-ipsec-proposal-a1] esp encryption-algorithm aes

[USG-ipsec-proposal-a1] quit

5)配置IPSec安全策略模板。

[USG] ipsec policy-template temp 1

[USG-ipsec-policy-templet-temp-1] security acl 3100

[USG-ipsec-policy-templet-temp-1] proposal a1

[USG-ipsec-policy-templet-temp-1] ike-peer b1

[USG-ipsec-policy-templet-temp-1] quit

6)创建IPSec安全策略并引用安全策略模板。

[USG] ipsec policy d1 1 isakmp template temp

7)在接口上应用IPSec安全策略。

[USG] interface GigabitEthernet 0/0/1

[USG-GigabitEthernet0/0/1] ipsec policy d1

3、  在iPhone上配置VPN(本文以iPhone 4S的iOS 5.1版本为例)。

配置iPhone前,请确认iPhone能够正常访问Internet(通过3G或通过无线局域网)。

1)在iPhone上选择“设置 > 通用 > 网络 > VPN”。

2)单击“添加VPN配置”。

3)按照下图输入参数。


【强叔点评】

l  iPhone的“服务器”需要与USG的公网IP地址保持一致。本例中即为USG的GigabitEthernet0/0/1接口的IP地址。

l  iPhone的“帐户”和“密码”需要与USG的AAA视图下配置的本地用户的“用户名”和“密码”保持一致。

l  iPhone的“密钥”需要与USG的“预共享密钥”保持一致。

4)单击“存储”。

5)选中配置的VPN后,启用VPN,如下图所示。

4、  在Android上配置VPN(本文以Android4.0版本为例)。

配置Android手机前,请确认Android手机能够正常访问Internet(通过3G或通过无线局域网)。

1)在Android手机上选择“设定 > 无线和网络 > 更多设定 > VPN”。

2)在弹出的对话框中单击“确定”。

3)选择“密码”,在文本框中输入密码后,单击“继续”。

【强叔点评】此密码为手机的屏幕锁定密码。如果您之前设定了屏幕锁定密码,则不会弹出对话框。

4)重新输入密码后,单击“继续”。

5)单击“添加VPN网络”。

6)参考下图输入参数。

【强叔点评】

l  “服务器地址”需要与USG的公网接口IP地址保持一致。本例中即为USG的GigabitEthernet0/0/1接口的IP地址。

l  “IPsec预密钥”需要与USG的“预共享密钥”保持一致。

7)单击“储存”。

8)单击以上配置的“l2tp over ipsec”。

9)参考下图输入参数。

【强叔点评】“用户名”和“密码”需要与USG的AAA视图下配置的L2TP的“用户名”和“密码”保持一致。

10)单击“连接”。

【强叔验证】

1、在USG上查看结果。

1)执行命令display l2tp tunnel,可看到隧道建立成功。

[USG] display l2tp tunnel

Total tunnel = 1

LocalTID RemoteTID RemoteAddress    Port   Sessions RemoteName

1        2         219.141.159.58   52032  1        LHW

2)执行命令display l2tp session,可看到会话连接建立成功。

[USG] display l2tp session

Total session = 1

LocalSID  RemoteSID  LocalTID

1         330        1

3)执行命令display ike sa,可看到IKE SA建立成功。

[USG] display ike sa

current ike sa number: 2

-----------------------------------------------------------------------------

conn-id    peer                    flag          phase vpn

-----------------------------------------------------------------------------

40004      219.141.159.58          RD            v1:2  public

40003      219.141.159.58          RD            v1:1  public

flag meaning

RD--READY    ST--STAYALIVE  RL--REPLACED      FD--FADING

TO--TIMEOUT  TD--DELETING   NEG--NEGOTIATING  D—DPD

4)执行命令display ipsec sa,可看到IPSec SA建立成功。

[USG] display ipsec sa

===============================

Interface: GigabitEthernet0/0/1

path MTU: 1500

===============================

-----------------------------

IPsec policy name: "d1"

sequence number: 1

mode: template

vpn: public

-----------------------------

connection id: 40004

rule number: 4294967295

encapsulation mode: transport

holding time: 0d 0h 1m 30s

tunnel local : 218.17.167.149    tunnel remote: 219.141.159.58

flow      source: 218.17.167.149/255.255.255.255 17/1701

flow destination: 219.141.159.58/255.255.255.255 17/64528

[inbound ESP SAs]

spi: 2168422603 (0x813f80cb)

vpn: public  said: 2  cpuid: 0x0000

proposal: ESP-ENCRYPT-AES ESP-AUTH-SHA1

sa remaining key duration (bytes/sec): 1887432278/3510

max received sequence-number: 51

udp encapsulation used for nat traversal: Y

[outbound ESP SAs]

spi: 73673897 (0x4642ca9)

vpn: public  said: 3  cpuid: 0x0000

proposal: ESP-ENCRYPT-AES ESP-AUTH-SHA1

sa remaining key duration (bytes/sec): 1887435335/3510

max sent sequence-number: 29

udp encapsulation used for nat traversal: Y

2、在手机上查看结果。

l  在iPhone手机上查看结果

1)在iPhone上选择“设置 > 通用 > 网络 > VPN”,可以看到VPN的“状态”显示为“已连接”。

2)在iPhone上能够访问公司的内部网络。

l  在Android手机上查看结果

1)在Android手机上选择“设定 > 无线和网络 > 更多设定 > VPN”,可以看到“l2tp over ipsec”下显示“已连接”。

2)在Android手机上能够访问公司的内部网络。

【拍案惊奇】

1、此案例的惊奇之处在于既介绍了L2TP及IPSec的配置方法,又介绍了L2TP与IPSec如何配合使用。

2、此案例的另一惊奇之处在于介绍了 iPhone 和安卓两种手机的 L2TP over IPSec 配置方法。

强叔拍案惊奇 出差员工使用手机通过L2TP over IPSec接入总部相关推荐

  1. 强叔侃墙_第5章_GRE L2TP

    说到L2TP VPN 必须先将镜头切到互联网发展初期,那个时代个人用户和企业用户大都通过电话线上网,当然企业分支机构和出差用户一般也通过"电话网络[学名PSTN/ISDN]"来接入 ...

  2. 【防火墙技术连载贴汇总】强叔侃墙系列

    https://forum.huawei.com/enterprise/zh/thread-331003.html [防火墙技术连载贴汇总]强叔侃墙系列 转载于:https://www.cnblogs ...

  3. Cisco路由器实现远程访问虚拟专用网——Easy虚拟专用网(解决出差员工访问内网的问题)

    通过博文CIsco路由器实现IPSec 虚拟专用网原理及配置详解可以实现两个局域网之间建立虚拟专用网,但是在现实环境中,较为常用的还是Easy 虚拟专用网.它主要解决的就是出差员工通过虚拟专用网访问内 ...

  4. 荣耀是不是没有鸿蒙了,不只是华为手机!荣耀或将接入鸿蒙,选定这款机型大有讲究...

    依稀记得当初任正非在华为和荣耀分别前夕,曾做出过义正言辞的表决,他希望两个企业分开了就不要藕断丝连,并嘱咐荣耀将华为作为对手,自己去规划未来的发展道路,最好还能超越华为.任正非的一席话不仅直接斩断了荣 ...

  5. 华强北airpods三代连接安卓手机没声音_正品Airpods的钱买了8个“华强北顶配”,翻了7次车...

    资深科技爱好者,16年airpods一代发布,超千元定价业界全不看好,半年后抵不过真香定律,口碑逆袭,销量直线上升 华强北在山寨机辉煌时代过后,沉寂数年,终于借真无线tws耳机又迎来了久违的盛世繁华 ...

  6. 处理器性能越来越强,但电脑为什么没有手机流畅?

    讲速度要搞清楚计算机怎么工作的. 计算机启动和每次开机后每个软件第一次启动才由硬盘速度决定,这时候cpu要把软件相关程序从硬盘读入内存,读入内存后,只要不清理,这些相关程序就会一直驻留在内存,即使关闭 ...

  7. 什么叫侧面指纹识别_屏幕指纹技术最强的3款全面屏手机,指纹识别技术手机你喜欢吗?...

    手机作为现在人生活中不可或缺的产品,其安全性也是个人以及手机厂商最为看重的点,而指纹由于具备了唯一性,再加上技术的不断迭代发展,手机指纹识别技术的诞生也就成了顺理成章的事情.现如今,几乎所有的智能手机 ...

  8. 华强北airpods三代连接安卓手机没声音_安卓手机体验华强北的顶配AirPods,“翻车”还是真香?...

    华强北的顶配AirPods一度脱销,我这边也卖出不少,很少有售后相关的问题,花原装价格零头不到的价格体验90%左右的原装功能,对于手头比较紧的机友来说是一个不错的选择. 另外这里我还是不推荐AirPo ...

  9. 如何对出差员工的工作进行异地监控?

    前言 对于各行各业,由于不同的工作性质,有很多人需要经常出差办公.员工在外地办公,公司管理者除了电话与微信聊天,不能通过其他直观的方式对员工的工作内容有很正确,真实,全面地了解,只能通过员工的口头上报 ...

最新文章

  1. 《数据科学:R语言实现》——3.12 估计缺失数据
  2. 论文,风险管理(背诵)
  3. AOP—JVM SandBox—底层原理解析
  4. 然爸读书笔记(2014-2)----影响力
  5. Ajax响应处理数据的三种格式(主要使用gson包)
  6. 转-HTTPClient调用https请求,通过基本认证用户名密码(Basic Auth)
  7. MVC PartialView
  8. SAP License:整理的SAP参数文件
  9. 复化梯形公式求二重积分matlab源码
  10. 直线旋转动画html5,多视角3D可旋转的HTML5 Logo动画
  11. 获得周公解梦数据接口java_周公解梦接口调用示例
  12. 计算机历史人物-随笔
  13. 五子棋AI算法(二)
  14. Java中文分词组件 - word分词
  15. 创建你的战略型人际网络
  16. 手机影音第十七天,实现歌词同步
  17. Vue项目区分开发环境问题
  18. 旅行售货员问题及其近似算法(NPC问题)
  19. C盘太满怎么办? 这些文件可以放心删除!
  20. 用计算机演奏的生日快乐歌,51单片机演奏音乐“祝你生日快乐”

热门文章

  1. 一、FFmpeg简介
  2. python爬虫 爬取史诗典籍
  3. 小C的故事(快速学C语言,,,极速版!)
  4. 机器学习中的数学——常用概率分布(八):狄拉克分布(Dirac分布)
  5. 【神界原罪2】终于debug到了经验地址,出生地即可一刀成佛
  6. iphone x计算机失灵,苹果x连接电脑没反应
  7. layui分页 加下拉选择
  8. java语言发展史,虚拟机的安装与配置
  9. 【Ubuntu】——ubuntu18.04配置静态ip
  10. 基于FPGA的模数转换器(ADC)或数模转换器