L2TP实验

最新推荐文章于 2025-04-05 13:31:30 发布
原创 最新推荐文章于 2025-04-05 13:31:30 发布 · 253 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络

一、实验拓扑图

二、实验需求 

让FW1(PPPoE Client)模拟拨号用户,向内部服务器发送建立拨号连接的请求,并保证连通。

 

三、实验配置

1、基础配置

 配置接口以及安全区域划分

[PPPoE Client]int g 0/0/0	
[PPPoE Client-GigabitEthernet0/0/0]service-manage all permit 
[PPPoE Client-GigabitEthernet0/0/0]q
[PPPoE Client]firewall zone trust 
[PPPoE Client-zone-trust]add interface g 1/0/0
[PPPoE Client-zone-trust]q

[NAS]int g 0/0/0
[NAS-GigabitEthernet0/0/0]ip add 192.168.0.2 24
[NAS-GigabitEthernet0/0/0]service-manage all permit 
[NAS-GigabitEthernet0/0/0]int g 1/0/1
[NAS-GigabitEthernet1/0/1]ip add 20.1.1.1 24
[NAS-GigabitEthernet1/0/1]q
[NAS]firewall zone untrust 	
[NAS-zone-untrust]add int g 1/0/1
[NAS-zone-untrust]q
[NAS]firewall zone trust 	
[NAS-zone-trust]add int g 1/0/0
[NAS-zone-trust]q

[LNS]int g 0/0/0
[LNS-GigabitEthernet0/0/0]ip add 192.168.0.3 24
[LNS-GigabitEthernet0/0/0]service-manage all permit 
[LNS-GigabitEthernet0/0/0]int g 1/0/0
[LNS-GigabitEthernet1/0/0]ip add 20.1.1.2 24
[LNS-GigabitEthernet1/0/0]int g 1/0/1
[LNS-GigabitEthernet1/0/1]ip add 192.168.1.254 24
[LNS-GigabitEthernet1/0/1]q	
[LNS]firewall zone untrust 
[LNS-zone-untrust]add int g 1/0/0
[LNS-zone-untrust]q
[LNS]firewall  zone trust 
[LNS-zone-trust]add int g 1/0/1

 

2、L2TP配置 

1. 建立PPPoE连接,设定拨号接口VT接口

Client


[PPPoE Client]interface Dialer 1
[PPPoE Client-Dialer1]dialer user user1 ---设定拨号用户名
[PPPoE Client-Dialer1]dialer-group 1 ---创建拨号组
[PPPoE Client-Dialer1]dialer bundle 1 ---设定拨号程序捆绑包
[PPPoE Client-Dialer1]ip address ppp-negotiate   ---设定IP地址获取方式为PPP邻居
分配,PPP邻居通过IPCP协议进行分配,即PPP的NCP协商过程所用协议
[PPPoE Client-Dialer1]ppp chap user user1
[PPPoE Client-Dialer1]ppp chap password cipher Password123
[PPPoE Client]dialer-rule 1 ip permit   ---配置拨号访问控制列表,允许所有IPv4报文
通过拨号口,数字1必须与拨号组编号相同。
[PPPoE Client]int g 1/0/0
[PPPoE Client-GigabitEthernet1/0/0]pppoe-client dial-bundle-number 1 ---在物
理接口上启动PPPoE Client程序,绑定拨号程序包,编号为1

NAS

[NAS]interface Virtual-Template 1
[NAS-Virtual-Template1]ppp authentication-mode chap
[NAS-Virtual-Template1]ip address 2.2.2.2 24
[NAS]firewall zone dmz 
[NAS-zone-dmz]add interface Virtual-Template 1
[NAS-GigabitEthernet1/0/0]pppoe-server bind virtual-template 1 ---将VT接口绑定在物
理接口
[NAS]aaa
[NAS-aaa]domain default 
[NAS-aaa-domain-default]service-type l2tp
[NAS]user-manage user user1 domain default
[NAS-localuser-user1]password Password123

2.建立L2TP隧道

 NAS配置

[NAS]l2tp enable 
[NAS]l2tp-group 1
[NAS-l2tp-1]tunnel authentication 
[NAS-l2tp-1]tunnel password cipher Hello123
[NAS-l2tp-1]tunnel name lac ---隧道名称
[NAS-l2tp-1]start l2tp ip 20.1.1.2 fullusername user1 ---设定LAC模式,以及LNS地址,
以及认证用户名的方式为“完全用户认证”,并指定用户名

 

LNS配置 

[LNS]ip pool l2tp
[LNS-ip-pool-l2tp]section 0 172.16.1.2 172.16.1.100
[LNS-ip-pool-l2tp]q
[LNS]aaa
[LNS-aaa]service-scheme l2tp
[LNS-aaa-service-l2tp]ip-pool l2tp
[LNS-aaa-service-l2tp]q
[LNS-aaa]domain default 
[LNS-aaa-domain-default]service-type l2tp 
[LNS-aaa-domain-default]q
[LNS-aaa]q	
[LNS]user-manage user user1 domain default 
[LNS-localuser-user1]password Password123
[LNS-localuser-user1]q
[LNS]int Virtual-Template 1
[LNS-Virtual-Template1]ppp authentication-mode chap 
[LNS-Virtual-Template1]ip address 172.16.0.1 24
[LNS-Virtual-Template1]remote service-scheme l2tp
[LNS-Virtual-Template1]q
[LNS]firewall zone dmz 	
[LNS-zone-dmz]add interface Virtual-Template 1
[LNS-zone-dmz]q
[LNS]l2tp enable 
[LNS]l2tp-group 1
[LNS-l2tp-1]allow l2tp virtual-template 1 remote lac domain default
[LNS-l2tp-1]tunnel authentication
[LNS-l2tp-1]tunnel password cipher Hello123

 完成实验配置

NAS-Initialized场景下的L2TP实验配置
m0_49864110的博客
05-28 876
目录 基础配置 配置LNS 配置NAS(LAC) 配置AR2 二次认证 为什么LAC要创建和LNS相同的认证用户 为什么LAC不需要对私网互访做安全策略 防火墙——L2TP基础知识_多谢思考的博客-优快云博客https://blog.youkuaiyun.com/m0_49864110/article/details/124882684 基础配置 FW1: interface GigabitEthernet1/0/0 ip address 10.0.11.254 255.255.......
Call—LNS场景下的L2TP实验配置
m0_49864110的博客
05-29 784
目录 LNS: 配置业务方案(地址池) 配置认证域以及用户 配置VT接口 配置L2TP-Group 配置路由 配置安全策略 LAC: 配置VT接口 配置L2TP-Group 配置路由 配置安全策略 注意事项 防火墙——L2TP基础知识_多谢思考的博客-优快云博客https://blog.youkuaiyun.com/m0_49864110/article/details/124882684 基础配置按照图上配置 LNS: 配置业务方案(地址池) ip pool l2tp...
L2TP LAC initial 配置与安全策略
qq_47529104的博客
04-04 1361
对于和NAS initial类似,这里是由LAC发起的,而且不是使用pppoe进行隧道的建立和会话的建立,当有去往总部的流量的时候,LAC就会主动和LNS进行隧道和会话的协商,LNS会分配给LAC一个地址,所以如果分支机构的用户想要访问总部,那么都要借助LAC获取来的地址,所以在这种情况下,分支机构的用户要访问总部就需要LAC设置easy IP,将分支结构用户的源IP置换为LNS分配的IP地址。 模拟器上配置的困难: 首先就是你配了也不一定立刻就能生效,有的时候你明明创建了用户,但是验证没有给...
L2TP-LAC auto LNS
夜夜无眠事事晓
07-12 1963
分公司防火墙(LAC)连接总部防火墙(LNS),实现分公司无需拨VPN连接总部 拓普图 [PC] 0/0/1———–0/0/1 [LAC] 0/0/2———0/0/1 [LNS] 0/0/2———0/0/2 [AR2] ===20.1.1.10 ——20.1.1.1====2.2.2.2——2.2.2.1====10.0.0.2——10.0.0.1 配置思路如下: 基础配置 配...
L2TP的LAC拨号模式实验
m0_74262682的博客
03-23 266
1、建立PPPoE连接,设定拨号接口VT接口。2、建立L2TP隧道
L2TP的LAC自动拨号实验
坏坏-5的博客
07-22 1735
使用华为的NGFW完成L2TP VPN的LAC自动拨号实验
L2TP中的LAC和LNS
A19771979的专栏
09-06 2460
L2TP中的LAC和LNS
精选资源
SSL,L2TP,IPSEC神州数码
03-20
SSL,L2TP,IPSEC神州数码SSL,L2TP,IPSEC神州数码SSL,L2TP,IPSEC神州数码SSL,L2TP,IPSEC神州数码SSL,L2TP,IPSEC神州数码SSL,L2TP,IPSEC神州数码SSL,L2TP,IPSEC神州数码
网络安全L2TP实验
最新发布
2302_81651427的博客
04-05 933
6.设定LAC模式,以及LNS地址, 以及认证用户名的方式为“完全用户认证”,并指定用户名,终止就可以选择ip,也可以选择lns的域名。5.设定IP地址获取方式为PPP邻居 分配,PPP邻居通过IPCP协议进行分配,即PPP的NCP协商过程所用协议。8.配置拨号访问控制列表,允许所有IPv4报文 通过拨号口,数字1必须与拨号组编号相同。在物理接口上启动PPPoE Client程序,绑定拨号程序包,编号为1。5.设定用户名user1,密码 Password123。1、创建拨号接口Dialer 1。
L2TP远程拨号配置实验
earthtoearth的博客
07-18 1265
首先在客户端云与NAS(FW2)之间建立PPPoE连接,其次NAS(FW2)与服务端FW1之间通过L2TP方式建立隧道,最后客户端云与服务端FW1之间通过PPP方式建立连接。(二)将两个防火墙外网接口加入untrue,将两个内容接口加入trust,将两个虚拟模板接口加入dmz区域。(一)在FW2(NAS)上配置PPPoE服务器端和L2TP用户端。(二)在FW1(LNS)上配置。(一)根据拓扑设置各接口地址。1、配置ppp拨号用户地址池。5、将虚接口加入dmz区域。NAS端FW2上验证结果。
L2TP详解(四)——LAC自动拨号隧道和会话建立过程
永远是少年
08-22 1850
今天继续给大家介绍HCIE安全,本文主要给大家介绍LAC自动拨号隧道和会话建立过程。 与NAS-Initiated建立隧道方式不同,LAC自动拨号是无需触发的永久隧道,一旦配置完毕,即可建立永久隧道,LAC为LNS的唯一客户端。 LAC自动拨号场景下隧道和会话建立过程如下图所示: 在互联网中,数据包封装格式如下: ...
LAC自动建立L2TP
iead12的博客
03-28 219
一、实验拓扑:二、实验配置。
LAC方式建立L2TP
2201_75323989的博客
03-18 511
的作用,是完成用户的认证,然后将用户的认证成功信息反馈给。和客户端签订的服务不满意,要求与客户端重新洽谈务。设备,然后 LNS设备进行地址分配。设备,要求重新对用户进行审查。,可以提高更高的安全保障。L2TP VPN无法建立。第二步:建立L2TP隧道。,直接验证Client。不支持二次认证,那么。
LAC接入PPPoE用户发起的L2TP隧道连接
Anthony_Lee85的博客
09-27 646
软件:ensp,VMware。 网络拓扑如下: 首先在LAC、Internet、LNS路由器上配置IP地址,部署静态路由或动态路由协议,保证子公司与总公司之间的公网路由可达。 然后在LAC和LNS进行如下配置: 1. LAC设备上的配置: (1)部署AAA local-user lg password cipher huawei local-user lg privilege level 15 local-user lg service-type ppp (2)配置虚...
L2TP隧道的呼叫建立流程
weixin_33936401的博客
11-25 819
转载于:https://blog.51cto.com/noyear/431972
搭建L2TP-***
weixin_34240657的博客
02-13 1806
-------------L2TP ×××--------------1、搭建环境yum install -y make gcc gmp-devel xmlto bison flex xmlto libpcap-devel lsof vim-enhanced manyum install openswan ppp xl2tpd -y2、安装openswanwget https...
宝塔面板搭建网站教程:Linux下使用宝塔一键搭建网站,内网穿透发布公网上线
热门推荐
asdssadddd的博客
05-22 1万+
宝塔面板作为简单好用的服务器运维管理面板,它支持Linux/Windows系统,我们可用它来一键配置LAMP/LNMP环境、网站、数据库、FTP等,通过Web端轻松管理服务器。以下教程,我们将演示使用宝塔面板快速简单搭建本地web网站,并做内网穿透,实现不在同个局域网下的用户也可以访问到本地web站点,无需公网IP,也不用设置路由器。安装apache服务器,在宝塔面板中我们点击网站,然后会提示安装apache服务器。选择极速安装然后等待安装完成即可,安装完成在左边消息列表会提示 登录cpolar官网,点击左
L2TP协议
weixin_33843947的博客
01-07 386
L2TP协议   L2TP(Layer 2 Tunneling Protocol) 第二层隧道协议。该协议是工业标准的Internet隧道协议。 L2TP实现的两种方式 LAC (L2TP Access Concentrator L2TP访问集中器)是附属在交换机网络中具有PPP端系统和L2TP协议处理能力的设备。LAC一般是一个网络接入服务器NAS(Network Access Server)...
l2tp/lpsec
01-01
### L2TP/IPSec 协议介绍 L2TP (Layer Two Tunneling Protocol) 是一种用于支持虚拟私有拨号网络(VPDN, Virtual Private Dial-up Network) 的隧道协议[^1]。然而,单独使用L2TP并不提供足够的安全性来保护传输的数据流免受窃听或篡改攻击。 为了增强安全性,通常会将L2TP与IPSec(Internet Protocol Security) 结合起来使用。这种组合不仅提供了L2TP的功能特性,而且利用了IPSec的安全机制,包括加密、身份验证以及数据完整性校验等功能[^2]。因此,L2TP over IPsec 成为了一种广泛应用于企业环境中的解决方案,特别是对于移动办公场景下的安全接入需求。 ### 实现原理 在实现过程中,客户端发起连接请求至LNS(L2TP Network Server),并通过预共享密钥或其他认证方式完成双方的身份确认过程;随后建立一条基于UDP封装的L2TP隧道,并在此基础上构建ESP(Encapsulating Security Payload)/AH(Authentication Header)形式的安全关联(SA)。整个通讯流程都受到严格的加密处理,从而确保了信息传递的安全性和隐私性。 ### 配置方法概述 #### 设备准备 - **硬件设备**:至少两台路由器/防火墙作为两端节点(例如华为AR系列) - **软件平台**:可以选用eNSP等仿真工具来进行实验部署 #### 基本配置步骤说明 ##### 客户端设置 以Windows操作系统为例: 1. 打开“控制面板”,选择“网络和Internet”-> “网络和共享中心” 2. 点击左侧菜单栏里的“设置新的连接或网络... ”选项 3. 选取“连接到工作区”,点击下一步按钮 4. 选中“使用我的Internet连接(Dial-up or VPN)”一项后继续操作 5. 输入远程访问服务器地址(IPv4 地址 或者域名), 并指定此链接名称 6. 在高级设置窗口勾选启用L2TP/IPSec 加密选项 ##### 服务端配置要点 针对华为设备而言: ```shell # 进入系统视图 system-view # 创建ACL规则匹配特定源目地址范围内的流量 acl number 3000 rule permit ip source any destination any # 开启IKE协商功能并定义相应参数集 ike proposal 1 encryption-algorithm aes-cbc-256 integrity-algorithm sha2-256 dh group19 # 设置本地ID标识符以便于远端识别 identity local address <Local_IP_Address> # 添加对端描述信息及其对应的PSK(pre-shared key) peer name RemotePeerName pre-shared-key cipher YourPreSharedKeyHere! # 启动IPSec策略模板 ipsec policy template-name TemplatePolicy 1 isakmp security acl 3000 pfs dh-group19 proposal 1 # 绑定L2TP组与上述创建好的IPSec SA之间关系 l2tp enable l2tp-group 1 authentication-mode pap virtual-template 1 remote-address pool_name ipsec sa bind l2tp-group 1 ipsec-policy TemplatePolicy ``` 以上命令片段展示了如何在一个典型的华为路由器上快速搭建起能够接受来自外部LAC(Client) 发来的L2TP-over-IPSec 请求的服务端环境。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值