Presupuesto
Este ejemplo se aplica a todos los modelos AR de V200R002C00 y versiones posteriores.
Requisitos de red
Como se muestra en la Figura 1-1, una empresa tiene algunas sucursales ubicadas en otras ciudades, y las sucursales utilizan la red Ethernet.
La empresa requiere que la sede central proporcione servicios VPDN para los usuarios de la sucursal, de modo que los usuarios de la sucursal puedan acceder a la red de la sede. Cuando los usuarios de la sucursal acceden a los servidores de intranet en la red de la sede, los datos deben cifrarse para evitar fugas de datos.
Para cumplir con estos requisitos, puede configurar el LAC para iniciar una solicitud de conexión L2TP al LNS. Luego, puede configurar IPSec para proteger los datos intercambiados entre usuarios de sucursales y servidores de intranet. Los datos encriptados IPSec se transmiten a través del túnel L2TP entre el LAC y el LNS.
Figura 1-1 IPSec sobre redes L2TP
Procedimiento
Paso 1 Configure el LAC.
#
sysname LAC
#
l2tp enable //Enable L2TP.
#
acl number 3000 //Configure an ACL.
rule 0 permit ip source 10.2.1.0 0.0.0.255 destination 10.3.1.0 0.0.0.255
#
ipsec proposal lac //Create an IPSec proposal.
esp authentication-algorithm sha2-512
esp encryption-algorithm aes-256
#
ike peer lac v1 //Create an IKE peer.
pre-shared-key cipher %^%#JvZxR2g8c;a9~FPN~n'$7`DEV&=G(=Et02P/%\*!%^%# //Set the pre-shared key to huawei in cipher text. In V2R3C00 and earlier versions, the command is pre-shared-key huawei, which specifies a plain-text pre-shared key.
remote-address 10.4.1.1 //Specify an IP address for the remote IPSec interface.
#
ipsec policy lac 1 isakmp //Create an IPSec policy.
security acl 3000
ike-peer lac
proposal lac
#
interface Virtual-Template1 //Create a virtual tunnel template.
ppp chap user huawei //Set the user name of a virtual PPP user to huawei.
ppp chap password cipher %@%@\;#%<c~6Y%cNZK/h.pK%:>Uo%@%@ //Set the password of the virtual PPP user to Huawei@1234.
ip address ppp-negotiate //Configure IP address negotiation.
l2tp-auto-client enable //Enable the virtual PPP user to initiate an L2TP connection request.
ipsec policy lac //Apply an IPSec policy.
#
interface GigabitEthernet1/0/0
ip address 1.1.1.1 255.255.255.0
#
interface GigabitEthernet2/0/0
ip address 10.2.1.1 255.255.255.0
#
l2tp-group 1 //Create an L2TP group and set related attributes.
tunnel password cipher %@%@7v&1O#yr\#gl]w=Rk^uY:>@"%@%@ //Enable tunnel authentication and set the cipher-text password to huawei, which is the same as the password specified on the remote device.
tunnel name lac
start l2tp ip 1.1.2.1 fullusername huawei
#
ip route-static 10.3.1.0 255.255.255.0 Virtual-Template1 10.1.1.1 //Configure a static route.
ip route-static 10.4.1.0 255.255.255.0 Virtual-Template1
#
return
Paso 2 Configure el LNS.
Paso 3 Configurar Router_1.
Paso 4 Verificar la configuración.
# Ejecute el comando de pantalla l2tp tunnel en el LAC o LNS. Puede ver que se han establecido un túnel L2TP y una sesión numerada 1.
# Ejecute el comando display ike sa en el LAC o Router_1. En la salida del comando, los indicadores se muestran como RD, lo que indica que un SA se ha establecido correctamente; La fase se muestra como 1 y 2.
# La sede y la sucursal pueden hacer ping entre sí.
----Fin
Notas de configuración
El LAC y el LNS deben usar el mismo nombre de usuario y contraseña.
En el LAC, la política de IPSec debe estar vinculada a la interfaz VT1.
Cuando configura una ruta estática en el LAC, la interfaz de salida en la ruta destinada al segmento de red de la sede debe ser la interfaz VT1.