Настройка L2TP over IPSec
Согласно условию, маршрутизатор LAC автоматически поднимает L2TP соединение с
маршрутизатором LNS (рисунок 1). Необходимо сделать так, чтобы
служебный трафик, передаваемый через L2TP туннель, был защищен от перехвата. Для этого
мы можем настроить L2TP over IPSec для шифрования
служебного трафика.
Рисунок 1. L2TP соединение
Перейдем к настройке:
1. Назначим IP адреса на интерфейсы и настроим статические маршруты:
LAC
interface gigabitethernet 0/0/1
ip address 1.1.2.1 255.255.255.0
interface gigabitethernet 0/0/2
ip address 10.1.10.1 255.255.255.0
ip route-static 1.1.1.1 255.255.255.0 1.1.2.2
LNS
interface gigabitEthernet 0/0/1
ip address 1.1.1.1 255.255.255.0
interface gigabitEthernet 0/0/2
ip address 10.1.2.1 255.255.255.0
ip route-static 1.1.2.1 255.255.255.0 1.1.1.2
2. Настройка L2TP на маршрутизаторе LAC:
Глобально разрешаем L2TP и настраиваем параметры L2TP группы.
l2tp enable
l2tp-group 1
tunnel name lac
start l2tp ip 1.1.1.1 fullusername huawei
tunnel authentication
tunnel password cipher huawei
Настраиваем способ аутентификации, имя пользователя и пароль для виртуального интерфейса.
interface virtual-template 1
ppp chap user huawei
ppp chap password cipher Huawei@1234
ip address ppp-negotiate
Также на виртуальном интерфейсе разрешаем устанавливать L2TP туннель.
l2tp-auto-client enable
Задаем статический маршрут, чтобы трафик до сети 10.1.2.0 шел через туннель.
ip route-static 10.1.2.0 255.255.255.0 virtual-template 1
Настройка L2TP на маршрутизаторе LNS:
aaa
local-user huawei password Huawei@1234
local-user huawei service-type ppp
Настраиваем пул адресов, из которого будет выделен IP адрес для LAC интерфейса.
ip pool 1
network 10.1.1.0 mask 24
gateway-list 10.1.1.1
Создаем виртуальный интерфейс.
interface virtual-template 1
ppp authentication-mode chap
remote address pool 1
ip address 10.1.1.1 255.255.255.0
Разрешаем L2TP и настраиваем L2TP группу.
l2tp enable
l2tp-group 1
tunnel name lns
allow l2tp virtual-template 1 remote lac
tunnel authentication
tunnel password cipher huawei
Задаем статический маршрут.
ip route-static 10.1.10.0 255.255.255.0 virtual-template 1
3. Переходим к настройке IPSec:
a.
LAC
acl number 3100
rule permit ip source 1.1.2.0 0.0.0.255 destination 1.1.1.0 0.0.0.255
LNS
acl number 3100
rule permit ip source 1.1.1.0 0.0.0.255 destination 1.1.2.0 0.0.0.255
b.
LAC
ipsec proposal tran1
esp authentication-algorithm sha2-256
esp encryption-algorithm aes-128
LNS
ipsec proposal tran1
esp authentication-algorithm sha2-256
esp encryption-algorithm aes-128
c.
LAC
ike proposal 1
encryption-algorithm aes-cbc-128
authentication-algorithm sha2-256
LNS
ike proposal 1
encryption-algorithm aes-cbc-128
authentication-algorithm sha2-256
d.
LAC
ike peer lns v1
ike-proposal 1
pre-shared-key cipher huawei
remote-address 1.1.1.1
LNS
ike peer lac v1
ike-proposal 1
pre-shared-key cipher huawei
remote-address 1.1.2.1
e.
LAC
ipsec policy map1 1 isakmp
ike-peer lns
proposal tran1
security acl 3100
LNS
ipsec policy map1 1 isakmp
ike-peer lac
proposal tran1
security acl 3100
f.
LAC
interface gigabitethernet 0/0/1
ipsec policy map1
LNS
interface gigabitethernet 0/0/1
ipsec policy map1
4. Проверим конфигурацию.
Наберем команду display ike sa. Вывод показывает, что туннель был успешно установлен:
[LAC] display ike sa
Conn-ID Peer VPN Flag(s) Phase
-------------------------------------------------------------------------------------
16 1.1.1.1 0 RD|ST 2
14 1.1.1.1 0 RD|ST 1
Flag Description:
RD--READY ST--STAYALIVE RL--REPLACED FD--FADING TO--TIMEOUT
HRT--HEARTBEAT LKG--LAST KNOWN GOOD SEQ NO. BCK--BACKED UP
При помощи команды display l2tp tunnel можем проверить, поднялся ли L2TP туннель:
[LAC] display l2tp tunnel
Total tunnel : 1
LocalTID RemoteTID RemoteAddress Port Sessions RemoteName
1 1 1.1.1.1 1701 1 lns
После завершения всех настроек, PC1 может успешно пинговать PC2. Передаваемые данные между хостами зашифрованы. Для проверки статистики пакетов, передаваемых через ipsec, мы можем воспользоваться командой display ipsec statistics esp.