Configuración de IPSec sobre L2TP entre la sede y las sucursales

Pubilicado 2019-1-28 08:48:03 84 0 0 0

Presupuesto

 

Este ejemplo se aplica a todos los modelos AR de V200R002C00 y versiones posteriores.

 

Requisitos de red

 

Como se muestra en la Figura 1-1, una empresa tiene algunas sucursales ubicadas en otras ciudades, y las sucursales utilizan la red Ethernet.

 

La empresa requiere que la sede central proporcione servicios VPDN para los usuarios de la sucursal, de modo que los usuarios de la sucursal puedan acceder a la red de la sede. Cuando los usuarios de la sucursal acceden a los servidores de intranet en la red de la sede, los datos deben cifrarse para evitar fugas de datos.

 

Para cumplir con estos requisitos, puede configurar el LAC para iniciar una solicitud de conexión L2TP al LNS. Luego, puede configurar IPSec para proteger los datos intercambiados entre usuarios de sucursales y servidores de intranet. Los datos encriptados IPSec se transmiten a través del túnel L2TP entre el LAC y el LNS.

 

Figura 1-1 IPSec sobre redes L2TP

224329lzr21uofcth410u2.png?image.png

Procedimiento

 

                       Paso 1 Configure el LAC.


 sysname LAC 

 l2tp enable  //Enable L2TP. 

acl number 3000  //Configure an ACL. 
 rule 0 permit ip source 10.2.1.0 0.0.0.255 destination 10.3.1.0 0.0.0.255  

ipsec proposal lac  //Create an IPSec proposal. 
 esp authentication-algorithm sha2-512 
 esp encryption-algorithm aes-256 

ike peer lac v1  //Create an IKE peer. 
 pre-shared-key cipher %^%#JvZxR2g8c;a9~FPN~n'$7`DEV&=G(=Et02P/%\*!%^%#  //Set the pre-shared key to huawei in cipher text. In V2R3C00 and earlier versions, the command is pre-shared-key huawei, which specifies a plain-text pre-shared key. 
 remote-address 10.4.1.1  //Specify an IP address for the remote IPSec interface. 

ipsec policy lac 1 isakmp  //Create an IPSec policy. 
 security acl 3000 
 ike-peer lac 
 proposal lac 

interface Virtual-Template1  //Create a virtual tunnel template. 
 ppp chap user huawei  //Set the user name of a virtual PPP user to huawei
 ppp chap password cipher %@%@\;#%<c~6Y%cNZK/h.pK%:>Uo%@%@  //Set the password of the virtual PPP user to Huawei@1234
 ip address ppp-negotiate  //Configure IP address negotiation. 
 l2tp-auto-client enable  //Enable the virtual PPP user to initiate an L2TP connection request. 
 ipsec policy lac  //Apply an IPSec policy. 

interface GigabitEthernet1/0/0 
 ip address 1.1.1.1 255.255.255.0 

interface GigabitEthernet2/0/0 
 ip address 10.2.1.1 255.255.255.0 

l2tp-group 1  //Create an L2TP group and set related attributes. 
 tunnel password cipher %@%@7v&1O#yr\#gl]w=Rk^uY:>@"%@%@  //Enable tunnel authentication and set the cipher-text password to huawei, which is the same as the password specified on the remote device. 
 tunnel name lac 
 start l2tp ip 1.1.2.1 fullusername huawei 

ip route-static 10.3.1.0 255.255.255.0 Virtual-Template1 10.1.1.1  //Configure a static route. 
ip route-static 10.4.1.0 255.255.255.0 Virtual-Template1   

return

 

Paso 2 Configure el LNS.

224346beceezgvx2tsengx.png?image.png

Paso 3 Configurar Router_1.

224400g3rscqc8qh6cr8bc.png?image.png

Paso 4 Verificar la configuración.

 

# Ejecute el comando de pantalla l2tp tunnel en el LAC o LNS. Puede ver que se han establecido un túnel L2TP y una sesión numerada 1.

 

# Ejecute el comando display ike sa en el LAC o Router_1. En la salida del comando, los indicadores se muestran como RD, lo que indica que un SA se ha establecido correctamente; La fase se muestra como 1 y 2.

 

# La sede y la sucursal pueden hacer ping entre sí.

 

----Fin

 

Notas de configuración

 

  • El LAC y el LNS deben usar el mismo nombre de usuario y contraseña.

  • En el LAC, la política de IPSec debe estar vinculada a la interfaz VT1.

  • Cuando configura una ruta estática en el LAC, la interfaz de salida en la ruta destinada al segmento de red de la sede debe ser la interfaz VT1.


  • x
  • convención:

Responder

Responder
Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse

Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente
Respuesta rápida Desplácese hasta arriba