路由VPN_分公司与总部之间通过L2TPoverIPSec方式实现安全互通

bestproxy 代理百科

前两篇的文章带大家认识了VPN技术的实用性,在拨号连接方式与总部进行通信,但是实际工作运用中L2TP由于协议设定时间比较早,其在数据传输的过程中是以明文方式不加密的,就跟telnet一样,你用抓包工具都能捕获到具体信息,所以一些对数据安全性比较敏感的企业就不能使用这种单纯L2TP模式,至少得L2TP over IPSec方式传输。

今天KB小网管就给大家分享一下分支机构与总部之间通过L2TP over IPSec方式实现安全互通的示例。

(VISIO作图果然美观,虽然没有eNSP上简单方便,^_^)

如上图所示,分公司用户通过LAC接入LNS以访问总部内网,在LAC和LNS之间交互的数据通过IPSec加密后传输。发起方和接收方IPSec策略绑定在外网接口,即L2TP封装后,再进行IPSec封装。

怕新手看不懂VISIO图,再加个eNSP的截图。废话少说上配置文件。

LAC配置文件:

<Huawei>sys

Enter system view, return user view with Ctrl+Z.

[Huawei]sysn LAC

[LAC]l2tp enable //使能L2TP

[LAC]acl nu

[LAC]acl number 3000 //配置ACL规则,用于L2TP封装为外网地址后加密

[LAC-acl-adv-3000]rule 0 permit ip source 12.1.1.2 0 destination 12.1.1.1 0 //报文L2TP封装后,源地址和目的地址变为外网地址

[LAC-acl-adv-3000]q

[LAC]ipsec proposal lac //配置安全提议

[LAC-ipsec-proposal-lac]esp authentication-algorithm sha2-512 //身份验证方式为sha2-512

[LAC-ipsec-proposal-lac]esp encryption-algorithm aes-256 //加密算法为aes-256

[LAC-ipsec-proposal-lac]q

[LAC]ike peer lac v1 //配置IKE对等体及其使用的协议IKE v1

[LAC-ike-peer-lac]pre-shared-key cipher KBxiaowangguan //配置预共享密钥认证为密文显示KB小网管拼音

[LAC-ike-peer-lac]remote-address 12.1.1.1 //集团总部的公网IP

[LAC-ike-peer-lac]q

[LAC]ipsec policy lac 1 isakmp //配置安全策略

[LAC-ipsec-policy-isakmp-lac-1]security acl 3000

[LAC-ipsec-policy-isakmp-lac-1]ike-peer lac

[LAC-ipsec-policy-isakmp-lac-1]proposal lac

[LAC-ipsec-policy-isakmp-lac-1]q

[LAC]int g0/0/1

[LAC-GigabitEthernet0/0/1]ip address 12.1.1.2 24 //分公司的公网IP地址

[LAC-GigabitEthernet0/0/1]ipsec policy lac //在出口处进行第二次的IPSec封装

[LAC-GigabitEthernet0/0/1]q

[LAC]int g0/0/0

[LAC-GigabitEthernet0/0/0]ip address 192.168.1.1 24 //分公司内网网关

[LAC-GigabitEthernet0/0/0]q

[LAC]int Virtual-Template 1 //配置虚拟PPP用户的用户名和密码,及PPP验证方式以及IP地址

[LAC-Virtual-Template1]ppp chap user yang

[LAC-Virtual-Template1]ppp chap password cipher woyaoyuanchuang

[LAC-Virtual-Template1]ip address ppp-negotiate //配置地址协商

[LAC-Virtual-Template1]l2tp-auto-client enable //启用L2TP自拨号方式

[LAC-Virtual-Template1]q

[LAC]l2tp-group 1 //设置一个L2TP组并配置相关属性

[LAC-l2tp1]tunnel password cipher woyaoyuanchuang2 //缺省使能隧道认证,配置密文密码为“我要原创2”,和对端认证一致

[LAC-l2tp1]tunnel name LAC

[LAC-l2tp1]start l2tp ip 12.1.1.1 fullusername yang

[LAC-l2tp1]q

[LAC]ip route-static 192.168.0.0 255.255.255.0 Virtual-Template 1 preference 40 //配置静态路由

[LAC]ip route-static 0.0.0.0 0.0.0.0 12.1.1.1 //配置回城路由

[LAC]

LNS配置文件:

<Huawei>sys

Enter system view, return user view with Ctrl+Z.

[Huawei]sysn LNS

[LAC]l2tp enable //使能L2TP

[LNS]acl number 3000 //配置ACL策略

[LNS-acl-adv-3000]rule 0 permit ip source 12.1.1.1 0 destination 12.1.1.2 0

[LNS-acl-adv-3000]q

[LNS]ipsec proposal lns//配置安全提议

[LNS-ipsec-proposal-lns]esp authentication-algorithm sha2-512

[LNS-ipsec-proposal-lns]esp encryption-algorithm aes-256

[LNS-ipsec-proposal-lns]q

[LNS]ike peer lns v1//配置IKE对等体及其使用的协议V1

[LNS-ike-peer-lns]pre-shared-key cipher KBxiaowangguan//配置预共享密钥认证为密文显示KB小网管拼音

[LNS-ike-peer-lns]remote-address 12.1.1.2 //对端公网IP地址

[LNS-ike-peer-lns]q

[LNS]ipsec policy lns 1 isakmp //配置安全策略

[LNS-ipsec-policy-isakmp-lns-1]security acl 3000

[LNS-ipsec-policy-isakmp-lns-1]ike-peer lns

[LNS-ipsec-policy-isakmp-lns-1]proposal lns

[LNS-ipsec-policy-isakmp-lns-1]q

[LNS]ip pool ToGroup //配置IP地址池

Info: Its successful to create an IP address pool.

[LNS-ip-pool-ToGroup]gateway-list 192.168.11.1

[LNS-ip-pool-ToGroup]network 192.168.11.0 mask 255.255.255.0

[LNS-ip-pool-ToGroup]q

[LNS]aaa //配置本地用户

[LNS-aaa]local-user yang password cipher woyaoyuanchuang

Info: Add a new user.

[LNS-aaa]local-user yang privilege level 0

[LNS-aaa]local-user yang service-type ppp

[LNS-aaa]q

[LNS]int Virtual-Template 1 //创建虚模板Virtual-Template并配置认证方式、IP地址及接口地址池

[LNS-Virtual-Template1]ppp authentication-mode chap

[LNS-Virtual-Template1]ip address 192.168.11.1 24

[LNS-Virtual-Template1]q

[LNS]int g0/0/1

[LNS-GigabitEthernet0/0/1]ip address 12.1.1.1 24 //集团总部公网IP地址

[LNS-GigabitEthernet0/0/1]ipsec policy lns //在出口处进行第二次的IPSec封装

[LNS-GigabitEthernet0/0/1]q

[LNS]int g0/0/0

[LNS-GigabitEthernet0/0/0]ip address 192.168.0.1 24 //集团内网网关

[LNS-GigabitEthernet0/0/0]q

[LNS]l2tp-group 1 //设置一个L2TP组并配置相关属性

[LNS-l2tp1]allow l2tp virtual-template 1 remote LAC

[LNS-l2tp1]tunnel password cipher woyaoyuanchuang2

[LNS-l2tp1]tunnel name LNS

[LNS-l2tp1]q

[LNS]ip route-static 192.168.1.0 255.255.255.0 Virtual-Template 1 preference 40 //配置静态路由

[LNS]ip route-static 0.0.0.0 0.0.0.0 12.1.1.2 //配置回城路由

[LNS]

测试结果

LAC或者LNS上命令display ike sa和 dispaly l2tp tunnel

分公司网络ping总部的服务器要ping通

配置注意事项:

1、LAC和LNS配置的验证用户名和密码必须统一。

2、发起方和接收方IPSec策略绑定在外网接口,即L2TP封装后,再进行IPSEC封装。

以上就是今天跟大家分享的比较安全的L2TP over IPSec的连接方式,有什么疑问的可以在评论区留言。关注KB小网管,每日分享一篇网络实用技能。

(0)
« 上一篇 2022年6月7日 am1:56
下一篇 » 2022年6月7日 am1:59

相关文章

  • Nginx 失败重试机制

    src网易游戏 SRE,喜欢钻研与分享。 背景 Nginx 作为目前应用较广的反向代理服务,原生提供了一套失败重试机制,来保证服务的可用性。本文主要是通过一些简单例子来剖析 Nginx 失败重试机制,让读者能对该机制有一个基础的了解,避免在使用过程中踩坑。 本文中的结论在以下环境进行验证:版本详情:nginx/1.16.0安装方式:使用 apt 从 ngin...

    代理百科 2022年7月15日

  • 国产远程控制的黑马_深度使用新版ToDesk软件推荐

    前言 大家好,俺又来了! 最近受疫情影响,多地都有发布通告,鼓励企业员工进行居家在线办公、远程办公、移动设备协助办公等。 在有效减少人员聚集、流动的同时,也为打工人节省奔波在路上的时间。 对此,一直有不少朋友问我,疫情管制下的工作状态怎么样?怎么做到把主业、博主、个人生活琐事,一桩桩都平衡得那么好! 究竟是怎么做到的生活和工作状态之间无缝切换? 其实有很多种...

    代理百科 2022年6月20日

  • 青云QingCloud「高防IP」新品上线,守护企业网络安全

    《2020年上半年我国互联网网络安全监测数据分析报告》显示,我国云平台上网络安全威胁形势依然较为严峻,其中云平台上遭受 DDoS 攻击次数占境内目标被攻击次数的 76.1%。而据有关部门估计,目前黑客产业链年产值超过 10 亿人民币,造成的损失超过百亿。 DDoS 攻击对企业业务的正常运行造成巨大威胁。 为解决企业的网络安全问题,青云QingClo...

    代理百科 2022年4月4日

  • Win7连接共享打印机0x00004005,win7连接打印机的方法

    打印机是办公室内必备的办公用品之一,但是在使用过程中总会遇到各种各样的情况,就有用户跟小编反映自己的win7电脑无法连接共享打印机,还出现错误代码0x,这该怎么办?下面我们就来看看详细的解决方法。   原因分析: 是因为Windows 7系统没有默认打开打印机的服务,只要把服务打开就可以回了。   启用服务操作如下: 1、在桌面上,我的电脑 -- 鼠标右键,...

    代理百科 2022年4月18日

  • 天新药业药品注册批件与关联方不分家人员混用资产交叠独立性存疑

    本文源自:金证研   《上市公司治理准则》第七十三条,上市公司业务应当独立于控股股东、实际控制人。控股股东、实际控制人及其控制的其他单位不应从事与上市公司相同或者相近的业务。控股股东、实际控制人应当采取有效措施避免同业竞争。   放眼江西天新药业股份有限公司(以下简称“天新药业”),2017年末,为解决同业竞争问题,天新药业实控人控制的企业浙江天新关闭维生素...

    代理百科 2022年7月6日

  • 银行基于华为DME实现存储智能化统一管理平台应用实践

    【摘要】云计算基础设施特性取代了小型机、高性能集中存储设备,随之而来的是大量的PC服务器、中低端存储设备和庞杂的SAN网络。云架构规划体系下,存储系统作为数据的直接容器、IT支撑的重要地基,挑战着银行的运维能力。本文分享了引入了华为DME存储智能管理平台,实现存储全生命周期自动化管理与智能运维,提升数据中心运营效率的实践及运维经验,供银行同业参考。 【作者】...

    代理百科 2022年4月15日