运维开发网

18、华为 华三中小型企业网络架构搭建 【防火墙篇之XXX部署–L2TP over IPSEC】

运维开发网 https://www.qedev.com 2021-04-07 13:47 出处:51CTO 作者:网络之路blo
拓扑拓扑可以保存到本地,然后扩大查看,这样才能看的更清楚。(拖动到新窗口打开即可)***部署【L2TP Over ipsec】说明:在***上面,我们希望与分部建立***,保证与分部的财务部正常通信,另外还提供L2TP Over ISPEC功能,方便远程接入访问内部服务器等。当然我们也可以做详细的控制,根据需求而定。9.5.1 部署L2TP over ipsec功能(1)定义用户名与密码[USG-

拓扑

18、华为 华三中小型企业网络架构搭建 【防火墙篇之XXX部署–L2TP over IPSEC】

拓扑可以保存到本地,然后扩大查看,这样才能看的更清楚。(拖动到新窗口打开即可)

***部署【L2TP Over ipsec】

说明:在***上面,我们希望与分部建立***,保证与分部的财务部正常通信,另外还提供L2TP Over ISPEC功能,方便远程接入访问内部服务器等。当然我们也可以做详细的控制,根据需求而定。

9.5.1 部署L2TP over ipsec功能

(1)定义用户名与密码

[USG-GW]aaa

[USG-GW-aaa]local-user ccieh3c password cipher ccieh3c

[USG-GW-aaa]local-user ccieh3c service-type ppp

说明:定义了一个用户名与密码。

(2)定义地址池

[USG-GW-aaa]ip pool 1 192.168.24.2 192.168.24.254

说明:防火墙的地址池在AAA下定义的,定义了一个网段为192.168.24.0

(3)定义虚拟模板

[USG-GW]interface Virtual-Template 1

[USG-GW-Virtual-Template1]ip address 192.168.24.1 24

[USG-GW-Virtual-Template1]ppp authentication-mode chap

[USG-GW-Virtual-Template1]remote address pool 1

说明:这里定义了 一个地址,然后定义认证方式与调用地址池。

(4) 开启L2TP功能

[USG-GW]l2tp enable

[USG-GW]l2tp-group 1

[USG-GW-l2tp1]allow l2tp Virtual-template 1

[USG-GW-l2tp1]undo tunnel authentication

说明:该功能开启了L2TP功能,并且调用了虚拟模板,不过注意的是一定要关闭隧道认证,因为那是给硬件客户端用的。

(5)IKE定义

[USG-GW]ike proposal 10

[USG-GW-ike-proposal-10]encryption-algorithm 3des-cbc

[USG-GW-ike-proposal-10]dh group2

[USG-GW]ike peer l2tp

[USG-GW-ike-peer-l2tp]pre-shared-key ccieh3c.taobao.com

[USG-GW-ike-peer-l2tp]ike-proposal 10

[USG-GW-ike-peer-l2tp]undo version 2

说明:定义了一个IKE的策略,不使用默认的,这样无论是移动客户端还是PC都可以拨入,然后定义了一个对等体,定义了 预共享密钥,关联Proposal,注意关闭V2,L2TP要用V1搞定。

(6)IPSEC定义

[USG-GW]ipsec proposal l2tp

[USG-GW-ipsec-proposal-l2tp]encapsulation-mode transport

[USG-GW-ipsec-proposal-l2tp]esp authentication-algorithm sha1

[USG-GW-ipsec-proposal-l2tp]esp encryption-algorithm 3de

说明:定义了一个IPSEC策略,并且定义一个模式必须为transport,然后策略建议是3DES与SHA1,方便主流的操作系统协商。

(7)ACL定义【必须匹配】

[USG-GW] acl 3003

[USG-GW-acl-adv-3003]rule permit udp source-port eq 1701

说明:IPSEC下面必须用ACL配置。匹配的是L2TP的端口号

(8)定义动态策略 ISPEC模板

[USG-GW]ipsec policy-template l2tp 1000

[USG-GW-ipsec-policy-template-l2tp-1000]security acl 3003

[USG-GW-ipsec-policy-template-l2tp-1000]ike-peer l2tp

[USG-GW-ipsec-policy-template-l2tp-1000]proposal l2tp

说明:定义一个动态策略IPSEC模板,因为L2TP的拨入是提供给任何人拨入的,所以不知道具体地址,必须用动态来配置。

(9)定义静态策略模板关联动态,调用在接口

[USG-GW]ipsec policy ***_1 1000 isakmp template l2tp

[USG-GW]ipsec policy ***_2 1000 isakmp template l2tp

说明:必须关联2个ipsec policy,。

[USG-GW]int g0/0/1

[USG-GW-GigabitEthernet0/0/1]ipsec policy ***_1

[USG-GW-GigabitEthernet0/0/1]int g0/0/2

[USG-GW-GigabitEthernet0/0/2]ipsec policy ***_2

说明:在接口调用,因为一个接口只能调用一个IPSEC 策略,所以这里定义了2个。

(10)创建Zone,关联虚拟接口

[USG-GW]firewall zone name l2tp

[USG-GW-zone-l2tp]set priority 30

[USG-GW-zone-l2tp]add interface Virtual-Template 1

(11)放行内网到***,***到内网的流量

[USG-GW]firewall packet-filter default permit interzone trust l2tp

说明:这里建议单独用一个Zone关联虚拟***接口,然后呢,双向放行该Zone的策略,这样的话,不会影响其他流量。

(12)***需要放行的流量

[USG-GW]policy interzone isp_dx local inbound

[USG-GW-policy-interzone-local-isp_dx-inbound]policy 0

[USG-GW-policy-interzone-local-isp_dx-inbound-0]policy service service-set udp esp l2tp

[USG-GW-policy-interzone-local-isp_dx-inbound-0]policy destination 202.100.1.2 0

[USG-GW-policy-interzone-local-isp_dx-inbound-0]action permit

[USG-GW]policy interzone isp_lt local inbound

[USG-GW-policy-interzone-local-isp_lt-inbound]policy 0

[USG-GW-policy-interzone-local-isp_lt-inbound-0]policy service service-set udp esp l2tp

[USG-GW-policy-interzone-local-isp_lt-inbound-0]policy destination 61.128.1.2 0

[USG-GW-policy-interzone-local-isp_lt-inbound-0]action permit

说明:放行isp_dx 、isp_lt到Local的流量,包括ESP UDP L2TP流量,因为L2TP与IPSEC都需要经过这些流量,默认防火墙是不处理的,所以需要放行,目的地址为自身的接口地址。当然UDP可以明确指定为500。

测试拨号【PC客户端与移动客户端】

18、华为 华三中小型企业网络架构搭建 【防火墙篇之XXX部署–L2TP over IPSEC】

18、华为 华三中小型企业网络架构搭建 【防火墙篇之XXX部署–L2TP over IPSEC】

18、华为 华三中小型企业网络架构搭建 【防火墙篇之XXX部署–L2TP over IPSEC】

18、华为 华三中小型企业网络架构搭建 【防火墙篇之XXX部署–L2TP over IPSEC】

18、华为 华三中小型企业网络架构搭建 【防火墙篇之XXX部署–L2TP over IPSEC】

18、华为 华三中小型企业网络架构搭建 【防火墙篇之XXX部署–L2TP over IPSEC】

已经连接上去了。

18、华为 华三中小型企业网络架构搭建 【防火墙篇之XXX部署–L2TP over IPSEC】

2、查看获取的IP地址

18、华为 华三中小型企业网络架构搭建 【防火墙篇之XXX部署–L2TP over IPSEC】

3、访问内部服务器测试

18、华为 华三中小型企业网络架构搭建 【防火墙篇之XXX部署–L2TP over IPSEC】

能访问到服务器。

18、华为 华三中小型企业网络架构搭建 【防火墙篇之XXX部署–L2TP over IPSEC】

可以看到可以访问对应的服务器。

4、访问外网

18、华为 华三中小型企业网络架构搭建 【防火墙篇之XXX部署–L2TP over IPSEC】

5、外网访问不了的解决办法

18、华为 华三中小型企业网络架构搭建 【防火墙篇之XXX部署–L2TP over IPSEC】

可以看到路由表,所有的流量都是发送给192.168.24.2,***的流量都走防火墙了,这样造成***的流量与访问公网的流量都走公网了。

解决办法1、只让***的流量走***,其余走公网

18、华为 华三中小型企业网络架构搭建 【防火墙篇之XXX部署–L2TP over IPSEC】

18、华为 华三中小型企业网络架构搭建 【防火墙篇之XXX部署–L2TP over IPSEC】

18、华为 华三中小型企业网络架构搭建 【防火墙篇之XXX部署–L2TP over IPSEC】

去掉这个沟。

18、华为 华三中小型企业网络架构搭建 【防火墙篇之XXX部署–L2TP over IPSEC】

Ping 114.114.114.114没有任何问题。

但是访问内网。

18、华为 华三中小型企业网络架构搭建 【防火墙篇之XXX部署–L2TP over IPSEC】

18、华为 华三中小型企业网络架构搭建 【防火墙篇之XXX部署–L2TP over IPSEC】

解决办法2、直接通过防火墙上网

部署NAT策略

断开***连接,添加默认网关

[USG-GW]policy interzone l2tp isp_dx outbound

[USG-GW-policy-interzone-l2tp-isp_dx-outbound]policy 0

[USG-GW-policy-interzone-l2tp-isp_dx-outbound-0]action permit

[USG-GW]nat-policy interzone l2tp isp_dx outbound

[USG-GW-nat-policy-interzone-l2tp-isp_dx-outbound]policy 0

[USG-GW-nat-policy-interzone-l2tp-isp_dx-outbound-0]policy source 192.168.24.0 mask 24

[USG-GW-nat-policy-interzone-l2tp-isp_dx-outbound-0]action source-nat

[USG-GW-nat-policy-interzone-l2tp-isp_dx-outbound-0]easy-ip g0/0/1

说明:这里放心哪个了L2TP访问外网的流量,并且做了一个源NAT转换。

18、华为 华三中小型企业网络架构搭建 【防火墙篇之XXX部署–L2TP over IPSEC】

18、华为 华三中小型企业网络架构搭建 【防火墙篇之XXX部署–L2TP over IPSEC】

可以看到都可以访问了。

联通端的配置

[USG-GW]policy interzone l2tp isp_lt outbound

[USG-GW-policy-interzone-l2tp-isp_lt-outbound]policy 0

[USG-GW-policy-interzone-l2tp-isp_lt-outbound-0]action permit

[USG-GW]nat-policy interzone l2tp isp_lt outbound

[USG-GW-nat-policy-interzone-l2tp-isp_lt-outbound]policy 0

[USG-GW-nat-policy-interzone-l2tp-isp_lt-outbound-0]policy source 192.168.24.0 mask 24

[USG-GW-nat-policy-interzone-l2tp-isp_lt-outbound-0]action source-nat

[USG-GW-nat-policy-interzone-l2tp-isp_lt-outbound-0]easy-ip g0/0/2

说明:最终联通也可以访问的,这里不测试了。

移动端测试【Android配置】

由于手头只有Android版本的,基于4.2的,iPhone系统设置也差不多

设置———-更多———-***——-创建一个L2TPover ipsec的———–密钥填写

由于不好截图,所以不能上图了,测试是没任何问题的。

命令查看【虚拟接口】

18、华为 华三中小型企业网络架构搭建 【防火墙篇之XXX部署–L2TP over IPSEC】

本文首发于公众号:网络之路博客

0

精彩评论

暂无评论...
验证码 换一张
取 消