Настройка L2TP over IPSec

419 0 0 0

Согласно условию, маршрутизатор LAC автоматически поднимаетL2TP соединение с маршрутизатором LNS. Необходимо сделать так, чтобы служебный трафик, передаваемый через L2TP туннель, был защищен от перехвата. Для этого мы можем настроить L2TP over IPSec для шифрования служебного трафика.

L2TP over IPSec

Перейдем к настройке:

1.       Назначим IP адреса на интерфейсы и настроим статические маршруты:

LAC
interface gigabitethernet 0/0/1
   ip address 1.1.2.1 255.255.255.0

interface gigabitethernet 0/0/2
   ip address 10.1.10.1 255.255.255.0

ip route-static 1.1.1.1 255.255.255.0 1.1.2.2

LNS
interface gigabitEthernet 0/0/1
   ip address 1.1.1.1 255.255.255.0

interface gigabitEthernet 0/0/2
   ip address 10.1.2.1 255.255.255.0

ip route-static 1.1.2.1 255.255.255.0 1.1.1.2

2.       Настройка L2TP на маршрутизаторе LAC:

Глобально разрешаем L2TP и настраиваем параметры L2TP группы.

l2tp enable
l2tp-group 1
   tunnel name lac
   start l2tp ip 1.1.1.1 fullusername huawei
   tunnel authentication
   tunnel password cipher huawei

Настраиваем способ аутентификации, имя пользователя и пароль для виртуального интерфейса.

interface virtual-template 1
   ppp chap user huawei
   ppp chap password cipher Huawei@1234
   ip address ppp-negotiate

Также на виртуальном интерфейсе разрешаем устанавливать L2TP туннель.

l2tp-auto-client enable

Задаем статический маршрут, чтобы трафик до сети 10.1.2.0 шел через туннель.

ip route-static 10.1.2.0 255.255.255.0 virtual-template 1

Настройка L2TP на маршрутизаторе LNS:

aaa
   local-user huawei password Huawei@1234
   local-user huawei service-type ppp

Настраиваем пул адресов, из которого будет выделен IP адрес для LAC интерфейса.

ip pool 1
   network 10.1.1.0 mask 24
   gateway-list 10.1.1.1

Создаем виртуальный интерфейс.

interface virtual-template 1
   ppp authentication-mode chap
   remote address pool 1
   ip address 10.1.1.1 255.255.255.0

Разрешаем L2TP и настраиваем L2TP группу.

l2tp enable
l2tp-group 1
   tunnel name lns
   allow l2tp virtual-template 1 remote lac
   tunnel authentication
   tunnel password cipher huawei

Задаем статический маршрут.

ip route-static 10.1.10.0 255.255.255.0 virtual-template 1

3.       Переходим к настройке IPSec:

a.

LAC
acl number 3100
   rule permit ip source 1.1.2.0 0.0.0.255 destination 1.1.1.0 0.0.0.255

LNS
acl number 3100
   rule permit ip source 1.1.1.0 0.0.0.255 destination 1.1.2.0 0.0.0.255

b.

LAC
ipsec proposal tran1
   esp authentication-algorithm sha2-256
   esp encryption-algorithm aes-128

LNS
ipsec proposal tran1
   esp authentication-algorithm sha2-256
   esp encryption-algorithm aes-128

c.

LAC
ike proposal 1
   encryption-algorithm aes-cbc-128
   authentication-algorithm sha2-256

LNS
ike proposal 1
   encryption-algorithm aes-cbc-128
   authentication-algorithm sha2-256

d.

LAC
ike peer lns v1
   ike-proposal 1
   pre-shared-key cipher huawei
   remote-address 1.1.1.1

LNS
ike peer lac v1
   ike-proposal 1
   pre-shared-key cipher huawei
   remote-address 1.1.2.1

e.

LAC
ipsec policy map1 1 isakmp
   ike-peer lns
   proposal tran1
   security acl 3100

LNS
ipsec policy
 map1 1 isakmp
   ike-peer lac
   proposal tran1
   security acl 3100

f.

LAC
interface gigabitethernet 0/0/1
   ipsec policy map1

LNS
interface gigabitethernet 0/0/1
   ipsec policy map1

4.       Проверим конфигурацию.

Наберем команду display ike sa. Вывод показывает, что туннель был успешно установлен:

[LAC] display ike sa
            Conn-ID            Peer                    VPN          Flag(s)        Phase
   ---------------------------------------------------------
----------------------------
              16                   1.1.1.1                   0              RD|ST             2
              14                   1.1.1.1                   0              RD|ST             1
   Flag Description:
   RD--READY      ST--STAYALIVE
      RL--REPLACED      FD--FADING      TO--TIMEOUT
   HRT--HEARTBEAT
      LKG--LAST KNOWN GOOD SEQ NO.      BCK--BACKED UP

При помощи команды display l2tp tunnel можем проверить, поднялся ли L2TP туннель:

[LAC] display l2tp tunnel

  Total tunnel : 1
  LocalTID   RemoteTID   RemoteAddress      Port      Sessions    RemoteName
  1                  1                   1.1.1.1                    1701     1                 lns

После завершения всех настроек, PC1 может успешно пинговать PC2. Передаваемые данные между хостами зашифрованы. Для проверки статистики пакетов, передаваемых через ipsec, мы можем воспользоваться командой display ipsec statistics esp.

У статьи есть другие ресурсы

Требуется войти для загрузки или просмотра. Нет аккаунта?Register

x
  • x

Ответ

Отправить
Выполните вход в систему, чтобы ответить на пост. Вход | Регистрация

Внимание! В целях защиты правовых интересов Вас, сообщества и третьих лиц, не публикуйте любой материал, содержащий политические высказывания, порнографию, упоминание азартных игр, употребление наркотиков, а также материал, нарушающий коммерческую тайну или содержащий персональные данные пользователей. Также не предоставляйте данные от вашей учетной записи. Вы будете нести ответственность за все действия, выполняемые под вашим аккаунтом. Подробная информация: “Политика конфиденциальности..”
Если кнопка вложения недоступна, обновите Adobe Flash Player до последней версии.

Авторизуйтесь и пользуйтесь всеми преимуществами участника!

Вход
Быстрый ответ Вверх