Хорошо

Настройка L2TP over IPSec

1954 0 2 0

Настройка L2TP over IPSec


Согласно условию, маршрутизатор LAC автоматически поднимает L2TP соединение с маршрутизатором LNS (рисунок 1). Необходимо сделать так, чтобы служебный трафик, передаваемый через L2TP туннель, был защищен от перехвата. Для этого мы можем настроить L2TP over IPSec для шифрования служебного трафика.


L2TP over IPSec

Рисунок 1. L2TP соединение



Перейдем к настройке:


1.       Назначим IP адреса на интерфейсы и настроим статические маршруты:






LAC
interface gigabitethernet 0/0/1
   ip address 1.1.2.1 255.255.255.0

interface gigabitethernet 0/0/2
   ip address 10.1.10.1 255.255.255.0

ip route-static 1.1.1.1 255.255.255.0 1.1.2.2

LNS
interface gigabitEthernet 0/0/1
   ip address 1.1.1.1 255.255.255.0

interface gigabitEthernet 0/0/2
   ip address 10.1.2.1 255.255.255.0

ip route-static 1.1.2.1 255.255.255.0 1.1.1.2


2.       Настройка L2TP на маршрутизаторе LAC:


Глобально разрешаем L2TP и настраиваем параметры L2TP группы.






l2tp enable
l2tp-group 1
   tunnel name lac
   start l2tp ip 1.1.1.1 fullusername huawei
   tunnel authentication
   tunnel password cipher huawei


Настраиваем способ аутентификации, имя пользователя и пароль для виртуального интерфейса.






interface virtual-template 1
   ppp chap user huawei
   ppp chap password cipher Huawei@1234
   ip address ppp-negotiate


Также на виртуальном интерфейсе разрешаем устанавливать L2TP туннель.





l2tp-auto-client enable


Задаем статический маршрут, чтобы трафик до сети 10.1.2.0 шел через туннель.





ip route-static 10.1.2.0 255.255.255.0 virtual-template 1


Настройка L2TP на маршрутизаторе LNS:



aaa
   local-user huawei password Huawei@1234
   local-user huawei service-type ppp





Настраиваем пул адресов, из которого будет выделен IP адрес для LAC интерфейса.



ip pool 1
   network 10.1.1.0 mask 24
   gateway-list 10.1.1.1





Создаем виртуальный интерфейс.






interface virtual-template 1
   ppp authentication-mode chap
   remote address pool 1
   ip address 10.1.1.1 255.255.255.0


Разрешаем L2TP и настраиваем L2TP группу.






l2tp enable
l2tp-group 1
   tunnel name lns
   allow l2tp virtual-template 1 remote lac
   tunnel authentication
   tunnel password cipher huawei

Задаем статический маршрут.



ip route-static 10.1.10.0 255.255.255.0 virtual-template 1



3.       Переходим к настройке IPSec:


a.



LAC
acl number 3100
   rule permit ip source 1.1.2.0 0.0.0.255 destination 1.1.1.0 0.0.0.255

LNS
acl number 3100
   rule permit ip source 1.1.1.0 0.0.0.255 destination 1.1.2.0 0.0.0.255




b.






LAC
ipsec proposal tran1
   esp authentication-algorithm sha2-256
   esp encryption-algorithm aes-128

LNS
ipsec proposal tran1
   esp authentication-algorithm sha2-256
   esp encryption-algorithm aes-128

c.






LAC
ike proposal 1
   encryption-algorithm aes-cbc-128
   authentication-algorithm sha2-256

LNS
ike proposal 1
   encryption-algorithm aes-cbc-128
   authentication-algorithm sha2-256

d.



LAC
ike peer lns v1
   ike-proposal 1
   pre-shared-key cipher huawei
   remote-address 1.1.1.1

LNS
ike peer lac v1
   ike-proposal 1
   pre-shared-key cipher huawei
   remote-address 1.1.2.1




e.






LAC
ipsec policy map1 1 isakmp
   ike-peer lns
   proposal tran1
   security acl 3100

LNS
ipsec policy
 map1 1 isakmp
   ike-peer lac
   proposal tran1
   security acl 3100

f.



LAC
interface gigabitethernet 0/0/1
   ipsec policy map1

LNS
interface gigabitethernet 0/0/1
   ipsec policy map1




4.       Проверим конфигурацию.


Наберем команду display ike sa. Вывод показывает, что туннель был успешно установлен:






[LAC] display ike sa
            Conn-ID            Peer                    VPN          Flag(s)        Phase
   ---------------------------------------------------------
----------------------------
              16                   1.1.1.1                   0              RD|ST             2
              14                   1.1.1.1                   0              RD|ST             1
   Flag Description:
   RD--READY      ST--STAYALIVE
      RL--REPLACED      FD--FADING      TO--TIMEOUT
   HRT--HEARTBEAT
      LKG--LAST KNOWN GOOD SEQ NO.      BCK--BACKED UP

При помощи команды display l2tp tunnel можем проверить, поднялся ли L2TP туннель:






[LAC] display l2tp tunnel

  Total tunnel : 1
  LocalTID   RemoteTID   RemoteAddress      Port      Sessions    RemoteName
  1                  1                   1.1.1.1                    1701     1                 lns

После завершения всех настроек, PC1 может успешно пинговать PC2. Передаваемые данные между хостами зашифрованы. Для проверки статистики пакетов, передаваемых через ipsec, мы можем воспользоваться командой display ipsec statistics esp.


У статьи есть другие ресурсы

Требуется войти для загрузки или просмотра. Нет аккаунта? Register

x
  • x

Комментарий

Выполните вход в систему, чтобы ответить на пост. Вход | Регистрация
Отправить

Внимание! В целях защиты правовых интересов Вас, сообщества и третьих лиц, не публикуйте любой материал, содержащий политические высказывания, порнографию, упоминание азартных игр, употребление наркотиков, а также материал, нарушающий коммерческую тайну или содержащий персональные данные пользователей. Также не предоставляйте данные от вашей учетной записи. Вы будете нести ответственность за все действия, выполняемые под вашим аккаунтом. Подробная информация: “Политика конфиденциальности..”

My Followers

Авторизуйтесь и пользуйтесь всеми преимуществами участника!

Вход

Huawei ICT Club
Huawei ICT Club
Заблокировать
Вы уверены, что хотите заблокировать этого пользователя?
Пользователи из вашего черного списка не могут комментировать ваши посты, не могут упоминать вас, не могут отправлять личные сообщения.
Напоминание
Пожалуйста, привяжите свой мобильный номер чтобы получить бонус за приглашение.