Пример настройки L2TP over IPSec для обеспечения безопасной связи между филиалом компан

Последний ответ окт 30, 2019 11:52:50 55 2 0 0

Пример настроек применим ко всем моделям AR роутеров на версиях ПО V200R002C00 и более поздних.

Как показано на рисунке ниже, пользователи подключаются к LNS чтобы получить доступ к сети штаб-квартиры через LAC. Обмен данными между LAC и LNS зашифровывается с помощью IPSec.

Сетевая топология L2TP over IPSec:

1

Шаг 1 Настройте LAC.

#
sysname LAC
#
l2tp enable //включите L2TP.
#
acl number 3000 //Настройте ACL.
rule 0 permit ip source 12.1.1.2 0 destination 12.1.1.1 0 //Настройте правило ACL для определения IP-адресов источника и получателя.
#
ipsec proposal lac //Настройте предложение IPSec.
esp authentication-algorithm sha2-512
esp encryption-algorithm aes-256
#
ike peer lac v1 //Команды, используемые для настройки одноранговых узлов IKE и протокола IKE различаются в зависимости от версии программного обеспечения. В версиях ПО ранее V200R008, команда - ike peer peer-name [ v1 | v2 ]. В V200R008 и более поздних версиях команда - ike peer peer-name и version { 1 | 2 }. По умолчанию IKEv1 и IKEv2 включены одновременно. Инициатор использует
IKEv2 для инициирования запроса на согласование, в то время как для ответа используется IKEv1 или IKEv2. Чтобы инициировать запрос на согласование с использованием IKEv1, используйте команду undo version 2.
pre-shared-key cipher %^%#JvZxR2g8c;a9~FPN~n'$7`DEV&=G(=Et02P/%\*!%^%# // Настройте пароль аутентификации в psk ключе huawei в формате - шифрованный текст. 
remote-address 12.1.1.1 //Настройте адрес WAN-интерфейса в качестве удаленного адреса.
#
ipsec policy lac 1 isakmp //Настройте политику IPSec.
security acl 3000
ike-peer lac
proposal lac
#
interface GigabitEthernet1/0/0 //Назначьте IP-адрес WAN -интерфейсу.
ip address 12.1.1.2 255.255.255.0
ipsec policy lac //Связать политику IPSec.
#
interface GigabitEthernet2/0/0 //Назначьте IP-адрес интерфейсу локальной сети.
ip address 192.168.1.1
255.255.255.0
#
interface Virtual-Template1 //Настройте имя пользователя и пароль, режим аутентификации и IP-адрес для виртуального пользователя PPP.
ppp chap user huawei
ppp chap password cipher
ip address ppp-negotiate //Настройте интерфейс для получения IP-адреса посредством согласования PPP.
l2tp-auto-client enable //Включите l2tp-auto-client пользователя PPP в LAC для запуска туннеля L2TP.
#
l2tp-group 1 //Configure an L2TP group and set
attributes.
tunnel password cipher %@%@d'o6Xpp(i/i:WRC)`'0#3nJ*%@%@ //Включитеаутентификацию туннеля и установите пароль шифрования -  huawei, что совпадает с паролем для соседнего устройства.
tunnel name LAC
start l2tp ip 12.1.1.1 fullusername huawei
#
ip route-static 192.168.0.0 255.255.255.0 Virtual-Template1 //Настройте статический маршрут.
#
Return


Шаг 2 Настройте LNS.

#
sysname LNS
#
l2tp enable
#
acl number 3000 //Настройте
ACL.
rule 0 permit ip source 12.1.1.1 0 destination 12.1.1.2 0
#
ipsec proposal lns //Настройте IPSec proposal.
esp authentication-algorithm sha2-512
esp encryption-algorithm aes-256
#
ike peer lns v1 //Команды, используемые для настройки соседних узлов IKE и протокола IKE различаются в зависимости от версии программного обеспечения. В версиях до V200R008, команда - ike peer peer-name [ v1 | v2 ]. В V200R008 и более поздних версиях команда - ike peer peer-name и version{ 1 | 2 }. По умолчанию IKEv1 и IKEv2 включены одновременно. Инициатор использует IKEv2 для инициирования запроса на согласование, в то время как ответчик использует IKEv1 или IKEv2 для ответа. Чтобы инициировать запрос на согласование с использованием IKEv1, используйте команду undo version 2.
pre-shared-key cipher %^%#K{JG:rWVHPMnf;5\|,GW(Luq'qi8BT4nOj%5W5=)%^%# // Настройте psk пароль аутентификации - huawei в
шифрованном виде. Эта команда в V2R3C00 и более ранних версиях - huawei в виде обычного текста.
remote-address 12.1.1.2
#
ipsec policy lns 1 isakmp //Настройте политику IPSec.
security acl 3000
ike-peer lns
proposal lns
#
ip pool 1 //Настройка пула IP-адресов.
gateway-list 13.1.1.1
network 13.1.1.0 mask 255.255.255.0
#
aaa //Настройте локального пользователя.
local-user huawei password cipher %^%#_<`.CO&(:LeS/$#F\H0Qv8B]KAZja3}3q'RNx;VI%^
%#
local-user huawei privilege level 0
local-user huawei service-type ppp
#
interface Virtual-Template1 //Настройте интерфейс Virtual-Template и настройте режим проверки подлинности, IP-адрес и пул адресов
интерфейса.
ppp authentication-mode chap
remote address pool 1
ip address 13.1.1.1 255.255.255.0
#
interface GigabitEthernet1/0/0 //Назначьте IP-адрес WAN-интерфейсу.
ip address 12.1.1.1 255.255.255.0
ipsec policy lns //Связать политику IPSec.
#
interface GigabitEthernet2/0/0 //Назначьте IP-адрес интерфейсу локальной сети.
ip address 192.168.0.1 255.255.255.0
#
l2tp-group 1 //Настройте группу L2TP и установите атрибуты.
allow l2tp virtual-template 1 remote LAC
tunnel password cipher %@%@5j*=S&AGSK'J}kG])REK]_-o%@%@ //Включите аутентификацию туннеля и установите пароль шифрования на huawei, что совпадает с паролем на соседнем устройстве.
tunnel name LNS
#
ip route-static 192.168.1.0 255.255.255.0 Virtual-Template1 //Настройте статический маршрут.
#
return


Шаг 3 Проверьте конфигурацию.

# Запустите команду display ike sa на LAC или LNS, чтобы просмотреть настройку SA.

# Запустите команду dis l2tp session на LAC или LNS, чтобы просмотреть настройки

сеанса L2TP.

# LAC и LNS могут успешно проверять связь (ping) друг с другом.

Замечания по конфигурации

l LAC и LNS должны использовать один и то же имя пользователя и пароль.

l Политика IPSec привязана к интерфейсу внешней сети. Пакеты инкапсулируются заголовком L2TP, и затем заголовком IPSec.


  • x

KKV
Опубликовано 2019-10-30 11:49:27 Полезно(0) Полезно(0)
А если у меня роутер более ранней версии, то мне лучше обновить его до V200R002C00 и старше и потом уже производить настройку? Так же проще будет, правильно?
  • x

user_2909167
Модератор Опубликовано 2019-10-30 11:52:50 Полезно(0) Полезно(0)
Да, обновляйтесь до актуального софта.
  • x

Комментарий

Отправить
Выполните вход в систему, чтобы ответить на пост. Вход | Регистрация

Внимание Внимание! В целях защиты правовых интересов Вас, сообщества и третьих лиц, не публикуйте любой материал, содержащий политические высказывания, порнографию, упоминание азартных игр, употребление наркотиков, а также материал, нарушающий коммерческую тайну или содержащий персональные данные пользователей. Также не предоставляйте данные от вашей учетной записи. Вы будете нести ответственность за все действия, выполняемые под вашим аккаунтом. Подробная информация: “Политика конфиденциальности..”
Если кнопка вложения недоступна, обновите Adobe Flash Player до последней версии.
Авторизуйтесь и пользуйтесь всеми преимуществами участника!

Авторизуйтесь и пользуйтесь всеми преимуществами участника!

Вход