配置出差用户利用L2TP over IPSec隧道接入总部的示例
规格
适用于所有版本、所有形态的路由器。
组网需求
如图6-48所示,某企业使用RouterA作为总部网关。企业的出差员工用PC A通过公网与总部建立通信。为了保证出差员工接入内网的安全性,企业希望在出差员工和总部网关之间建立一个L2TP over IPSec隧道。
本示例配置步骤在PC终端上以Windows 7系统为例。
图6-48 配置PC与路由器建立L2TP over IPSec隧道组网图
操作步骤
配置RouterA
# sysname RouterA //配置设备名称 # l2tp enable //开启L2TP功能# ipsec proposal prop //配置IPSec安全提议 encapsulation-mode transport # ike proposal 5 //配置IKE安全提议 encryption-algorithm aes-cbc-128 //V200R008及之后的版本,aes-cbc-128参数修改为aes-128 authentication-algorithm sha2-256 # ike peer peer1 v1 //配置IKE对等体及其使用的协议时,不同的软件版本间的配置有差异: V200R008之前的版本命令为ike peer peer-name [ v1 | v2 ]。V200R008及之后的版本命令为ike peer peer-name和version { 1 | 2 },如果对等体IKEv1和IKEv2版本同时启用,设备发起协商时会使用IKEv2协议,响应协商时则同时支持IKEv1协议和IKEv2协议。自V200R008版本到V200R021版本,缺省情况下,对等体IKEv1和IKEv2同时启用。如果设备需要使用IKEv1协议,则可以执行命令undo version 2;V200R021及之后版本,缺省情况下,启用对等体IKEv2版本。如果设备需要使用IKEv1协议,需要先执行命令version 1,再执行命令undo version 2。 pre-shared-key cipher %^%#JvZxR2g8c;a9~FPN~n'$7`DEV&=G(=Et02P/%\*!%^%# //配置预共享密钥 ike-proposal 5 # ipsec policy-template temp1 10 //配置策略模板 ike-peer peer1 proposal prop # ipsec policy policy1 10 isakmp template temp1 //配置安全策略 # ip pool 1 //配置IP地址池为L2TP客户端分配地址 gateway-list 10.2.1.1 network 10.2.1.0 mask 255.255.255.0 # aaa //配置AAA本地认证,用户名为vpdnuser,密码为YsHsjx_202206 authentication-scheme l2tp authentication-mode local domain l2tp authentication-scheme l2tp local-user vpdnuser password cipher %^%#!~$GMN5Gj=j&f)IjQ8\>~b\-1"i^b@~.)+,2gi9K%^%# local-user vpdnuser privilege level 0 local-user vpdnuser service-type ppp # interface GigabitEthernet1/0/0 ip address 1.1.1.2 255.255.255.0 ipsec policy policy1 # interface Virtual-Template1 //创建VT虚拟接口模板,配置拨号参数 ppp authentication-mode chap domain l2tp //配置认证方式时必须携带域名 remote address pool 1 //引用IP地址池 ip address 10.2.1.1 255.255.255.0 # l2tp-group 1 //创建L2TP组,配置L2TP连接参数 undo tunnel authentication //手机拨号接入,建议关闭隧道验证功能 allow l2tp virtual-template 1 # ip route-static 0.0.0.0 0.0.0.0 1.1.1.1 //配置静态路由,保证两端路由可达 ip route-static 10.2.1.0 255.255.255.0 Virtual-Template1 # return
配置出差用户的个人PC。以下为Windows 7系统的示例。
在“更改适配器设置”。
左侧区域中选择在新建的VPN连接处,单击鼠标右键并选择“属性”。
设置“选项”,选择“连接时显示进度”。
设置“安全”,在“VPN类型”中选择“使用IPsec的第2层隧道协议”,在“数据加密”中选择“需要加密”,并点击“高级设置”,选择“使用预共享的密钥作身份验证”,并输入密钥。
设置“网络”,选择“Internet 协议版本 4”。
选择
。选择
。打开
。选择
。选择
。选择
。设置Internet地址和目标名称。
Internet地址设置为RouterA外网接口的IP地址(域名固定的情况下,可以填写固定域名)。
设置用户名、密码。
设置完成后,单击“连接”。
单击“跳过”,跳过验证过程。显示“连接已经可用”后,单击“关闭”。
在“服务”界面。
中,输入services.msc命令,单击“确定”,进入在“名称”一列中,查看“IPsec Policy Agent”的状态,确保状态为“已启用”。如果不为“已启用”,请右键单击“IPsec Policy Agent”,选择“属性”,在“属性”中设置“启动类型”为自动,单击“应用”。之后在“服务状态”中选择“启动”。
关闭“服务”界面。
查看IPSec服务状态,保证IPSec服务开启。
创建L2TP over IPSec连接。
设置IKE连接参数。
验证配置结果
# 配置成功后,PC A使用系统自带软件进行拨号,拨号成功。
在RouterA上执行命令display l2tp tunnel,可以看到L2TP隧道建立成功。
在RouterA上执行命令display ike sa,可以看到SA建立成功。
配置注意事项
两端用于IKE协商的预共享密钥保持一致。
L2TP客户端软件不支持隧道验证时,需在设备上关闭隧道验证功能。
出差员工与总部之间是建立基于主机到网关的IPSec隧道,因此需要基于传输模式建立IPSec隧道
- 上一篇:华三H3C路由器负载均衡
- 下一篇:没有了!
请立即点击咨询我们或拨打咨询热线: 17804441181,我们会详细为你一一解答你心中的疑难。项目经理在线