h12731認(rèn)證精英hcie security v15培訓(xùn)與實(shí)驗(yàn)手冊hcscel2tp over ipsec技術(shù)

L2TPOverIPSec技術(shù)目標(biāo)學(xué)完本課程后，您將能夠:了解L2TPVPN的工作原理了解L2TPoverIPSec的工作原理掌握L2TPoverIPSecVPN的配置方法目錄L2TP技術(shù)原理L2TPoverIPSec工作原理L2TPoverIPSec配置L2TP簡介L2TP提供了對PPP鏈路層數(shù)據(jù)幀的隧道（Tunnel）傳輸支持，允許二層鏈路端點(diǎn)和PPP會話點(diǎn)駐留在不同設(shè)備上，擴(kuò)展了PPP模型。在L2TP中，用戶通過PPP撥號到LAC（L2TPAccessConcentrator，L2TP訪問集中器）即NAS設(shè)備（NetworkAccessServer）上，LAC通過L2TP隧道將PPP報(bào)文透明傳輸?shù)絃NS（L2TPNetworkServer，L2TP網(wǎng)絡(luò)服務(wù)器），LNS隨即與用戶建立PPP連接。即PPP的二層鏈路端點(diǎn)為LAC，而PPP的會話終止點(diǎn)為LNS。L2TP中，LAC和LNS分別對用戶進(jìn)行認(rèn)證，從而大大提高了用戶接入的安全性。L2TP的角色在L2TP中，網(wǎng)絡(luò)組件包括以下三個部分：用戶（也可稱作接入用戶、客戶端、撥號用戶）LACLNSL2TP的特點(diǎn)靈活的身份驗(yàn)證機(jī)制以及高度的安全性多協(xié)議傳輸支持RADIUS服務(wù)器的驗(yàn)證支持內(nèi)部地址分配可靠性L2TP應(yīng)用場景——NAS-InitiatedVPN用戶通過PPPoE撥入LAC，觸發(fā)LAC和LNS之間建立隧道。L2TP應(yīng)用場景——LAC自動撥號LAC與LNS之間建立一條永久性L2TP會話。客戶端不用PPP撥號，而通過IP連接即可在隧道中傳輸數(shù)據(jù)。這種組網(wǎng)也適用于分支機(jī)構(gòu)接入總部，用于分支機(jī)構(gòu)員工訪問總部頻率較高的情況。L2TP應(yīng)用場景——Client-InitiatedVPN支持L2TP撥號的客戶端可直接向LNS發(fā)起隧道連接請求，無需再經(jīng)過一個單獨(dú)的LAC設(shè)備。此場景適用于出差員工使用PC、手機(jī)等移動設(shè)備接入總部服務(wù)器，實(shí)現(xiàn)移動辦公。L2TP隧道和會話建立過程在LNS和LAC對之間存在著兩種類型的連接：隧道（Tunnel）連接：它定義了互相通信的兩個實(shí)體LNS和LAC。在一對LAC和LNS之間可以建立多個L2TP隧道，隧道由一個控制連接和至少一個會話（Session）組成。L2TP首先需要建立L2TP隧道，然后在L2TP隧道上建立會話連接，最后建立PPP連接。所有的L2TP需要承載的數(shù)據(jù)信息都是在PPP連接中進(jìn)行傳遞的。會話（Session）連接：它復(fù)用在隧道連接之上，用于表示承載在隧道連接中的每個PPP連接過程。會話是有方向的，從LAC向LNS發(fā)起的會話叫做ing會話，從LNS向LAC發(fā)起的會話叫做Outgoing會話。L2TP隧道和會話建立過程——NAS-InitiatedVPNNAS-InitiatedVPN場景中，一對LAC和LNS的連接可存在多條隧道；一條隧道中可承載多條會話。L2TP隧道和會話建立過程——LAC自動撥號LAC自動撥號場景中，LAC和LNS之間建立一條永久的隧道，且僅承載一條永久的L2TP會話和PPP連接。L2TP會話和PPP連接只存在于LAC和LNS之間。L2TP隧道和會話建立過程——Client-InitiatedVPNClient-InitiatedVPN中，每個接入用戶和LNS之間均建立一條隧道；每條隧道中僅承載一條L2TP會話和PPP連接。L2TP控制消息和數(shù)據(jù)消息控制消息：控制消息用于隧道和會話連接的建立、維護(hù)以及傳輸控制，位于隧道和會話建立過程中?？刂葡⒌膫鬏斒强煽總鬏敚⑶抑С謱刂葡⒌牧髁靠刂坪蛽砣刂?。包括控制報(bào)文、會話報(bào)文等。控制報(bào)文：用于建立和拆除、維持隧道會話報(bào)文：用于建立和拆除會話數(shù)據(jù)消息：用于承載用戶的PPP連接數(shù)據(jù)報(bào)文，并在隧道上進(jìn)行傳輸。數(shù)據(jù)消息的傳輸是不可靠傳輸，若數(shù)據(jù)報(bào)文丟失，不予重傳。不支持對數(shù)據(jù)消息的流量控制和擁塞控制。L2TP控制消息和數(shù)據(jù)消息消息類別報(bào)文類別作用控制消息控制報(bào)文SCCRQ控制連接發(fā)啟請求。SCCRP接受了對端連接請求，隧道的建立過程可以繼續(xù)。SCCCN對SCCRP的回應(yīng)，完成隧道的建立。StopCCN由LAC或者LNS發(fā)出，通知對端隧道將要停止。HELLO隧道?；羁刂葡ⅰ拡?bào)文ICRQ請求在已經(jīng)建立的隧道中建立會話。ICRP用來回應(yīng)ICRQ，表示ICRQ成功。ICCN用來回應(yīng)ICRP，L2TP會話建立完成。CDN由LAC或者LNS發(fā)出，通知對端會話將要停止。數(shù)據(jù)消息數(shù)據(jù)報(bào)文承載用戶的PPP連接數(shù)據(jù)報(bào)文。NAS-InitiatedVPN隧道和會話的建立NAS-InitiatedVPN場景和Client-InitiatedVPN場景下，隧道是由PPP連接觸發(fā)建立的。NAS-InitiatedVPN場景中，LAC同時作為PPPoEServer為接入用戶（PPPoEClient）提供L2TP服務(wù)。當(dāng)Client和LAC建立了PPP連接以后，LAC連接相應(yīng)的LNS觸發(fā)L2TP隧道。以LAC使用CHAP認(rèn)證為例，L2TP建立過程如左圖所示。NAS-InitiatedVPN組網(wǎng)數(shù)據(jù)封裝過程LAC自動撥號隧道和會話的建立同觸發(fā)建立隧道方式不同，LAC自動撥號是無需觸發(fā)的永久隧道。一旦配置完畢，即可建立永久隧道，LAC為LNS的唯一的客戶端。LAC自動撥號組網(wǎng)數(shù)據(jù)封裝過程Client-InitiatedVPN隧道和會話的建立Client-InitiatedVPN場景下，隧道建立過程與NAS-InitiatedVPN相似。Client-InitiatedVPN場景相當(dāng)于將Client和LAC合為了一個整體。Client-InitiatedVPN組網(wǎng)數(shù)據(jù)封裝過程L2TP認(rèn)證方式L2TP支持使用PAP和CHAP兩種方式進(jìn)行PPP認(rèn)證。LAC自主撥號場景：LAC側(cè)不對用戶進(jìn)行認(rèn)證，只在LNS側(cè)對LAC配置的用戶進(jìn)行PPP認(rèn)證（PAP或CHAP）。Client-InitiatedVPN場景：在LNS側(cè)對用戶進(jìn)行PPP認(rèn)證（PAP或CHAP）。NAS-InitiatedVPN場景：L2TP可對用戶進(jìn)行兩次PPP認(rèn)證，第一次發(fā)生在LAC側(cè)，第二次發(fā)生在LNS側(cè)。只有一種情況LNS側(cè)不對接入用戶進(jìn)行二次認(rèn)證：啟用LCP重協(xié)商后，不在相應(yīng)的VT接口上配置認(rèn)證。這時，用戶只在LAC側(cè)接受一次認(rèn)證。目錄L2TP技術(shù)原理L2TPoverIPSec工作原理L2TPoverIPSec配置L2TPoverIPSec介紹總部網(wǎng)關(guān)FWA和分部網(wǎng)關(guān)FWB已經(jīng)建立了NAS-Initiated方式的L2TP隧道，現(xiàn)需要在L2TP隧道之外再封裝IPSec隧道，對總部和分部的通信進(jìn)行加密保護(hù)。Internet1.1.1.1/24FWA(LNS)總部分部IPSec隧道L2TP隧道3.3.3.3/24PCPPPoEClientFWB(LAC)L2TPoverIPSec傳輸模式L2TPoverIPSec報(bào)文封裝（傳輸模式）在傳輸模式中，AH頭或ESP頭被插入到新的IP頭與UDP頭之間。傳輸模式不改變L2TP封裝后的報(bào)文頭，IPSec隧道的源和目的地址就是L2TP封裝后的源和目的地址。L2TPoverIPSec隧道模式在隧道模式中，AH頭或ESP頭被插到新的IP頭之前，另外再生成一個新的報(bào)文頭放到AH頭或ESP頭之前：L2TPoverIPSec報(bào)文封裝（隧道模式）目錄L2TP技術(shù)原理L2TPoverIPSec工作原理L2TPoverIPSec配置配置舉例——L2TPoverIPSec分支機(jī)構(gòu)通過L2TPoverIPSec方式訪問總部。配置舉例——配置規(guī)劃項(xiàng)目數(shù)據(jù)NGFW_A接口接口號：GigabitEthernet1/0/3，IP地址：10.1.1.1/24安全區(qū)域：Trust接口號：GigabitEthernet1/0/1，IP地址：1.1.3.1/24安全區(qū)域：UntrustIKE配置IKE版本：V1IKE協(xié)商模式：野蠻模式IKE驗(yàn)證身份類型：名稱IKE預(yù)共享密鑰：Test!123本端名稱：NGFW_A對端名稱：NGFW_BIPSec配置IPSec封裝模式：隧道模式IPSec安全協(xié)議：ESPESP協(xié)議驗(yàn)證算法：SHA2-256ESP協(xié)議加密算法：AESL2TP配置認(rèn)證方式：PAP隧道驗(yàn)證密碼：Pass1234配置舉例——配置規(guī)劃項(xiàng)目數(shù)據(jù)NGFW_B接口接口號：GigabitEthernet1/0/3，IP地址：10.1.2.1/24安全區(qū)域：Trust接口號：GigabitEthernet1/0/1，IP地址：1.1.5.1/24安全區(qū)域：UntrustIKE配置IKE版本：V1IKE協(xié)商模式：野蠻模式IKE驗(yàn)證身份類型：名稱IKE預(yù)共享密鑰：Test!123IKE對端IP地址：1.1.3.1本端名稱：NGFW_A對端名稱：NGFW_BIPSec配置IPSec封裝模式：隧道模式IPSec安全協(xié)議：ESPESP協(xié)議驗(yàn)證算法：SHA2-256ESP協(xié)議加密算法：AESL2TP配置認(rèn)證方式：PAP隧道驗(yàn)證密碼：Pass1234配置舉例——配置思路完成隧道兩端網(wǎng)關(guān)的接口基本配置、安全策略配置和路由配置。配置LAC端和LNS端的L2TP參數(shù)，包括創(chuàng)建虛擬接口模板、L2TP組參數(shù)等。在LAC端和LNS端創(chuàng)建用戶名、密碼，用于出差員工登錄。在LNS端創(chuàng)建IP地址池，分配給登錄的出差員工。隧道兩端設(shè)備分別通過配置高級ACL規(guī)則組來定義需要保護(hù)的數(shù)據(jù)流，即分支機(jī)構(gòu)和總部兩個網(wǎng)段的通信數(shù)據(jù)。在NGFW_A和NGFW_B上分別配置IPSec安全提議、IKE安全提議和IKE對等體。配置舉例——配置NGFW_A（總部）1.配置各接口IP地址，并將接口加入安全區(qū)域。具體配置過程略。2.開啟域間安全策略。#開啟Trust和Untrust安全區(qū)域的域間策略，保證報(bào)文能夠正常發(fā)送。略。#開啟Local和Untrust安全區(qū)域的域間策略，保證隧道正常建立。略。3.配置達(dá)到分支機(jī)構(gòu)的靜態(tài)路由。[NGFW_A]iproute-static10.1.2.0255.255.255.01.1.3.24.配置L2TP用戶。[NGFW_A]user-manageuserl2tpuser[NGFW_A-localuser-l2tpuser]passwordPassword1[NGFW_A-localuser-l2tpuser]quit配置舉例——配置NGFW_A（總部）5.配置L2TP。#啟用L2TP功能。[NGFW_A]l2tpenable#配置IP地址池，為接入用戶分配地址。[NGFW_A]aaa[NGFW_A-aaa]domaindefault[NGFW_A-aaa-domain-default]ippool0192.168.0.2192.168.0.99[NGFW_A-aaa-domain-default]quit#配置虛擬模板接口Virtual-Template1。[NGFW_A]interfaceVirtual-Template1[NGFW_A-Virtual-Template1]pppauthentication-modepap[NGFW_A-Virtual-Template1]ipaddress1.1.1.2255.255.255.0[NGFW_A-Virtual-Template1]remoteaddresspool0[NGFW_A-Virtual-Template1]quit#創(chuàng)建L2TP組。[NGFW_A]l2tp-group1#配置LNS端接受L2TP隧道呼叫時使用的虛擬接口模板。[NGFW_A-l2tp1]allowl2tpvirtual-template1#配置L2TP隧道進(jìn)行驗(yàn)證時的密碼。[NGFW_A-l2tp1]tunnelpasswordcipherPass1234配置舉例——配置NGFW_A（總部）6.配置IPSec。#配置ACL，定義需要保護(hù)的數(shù)據(jù)流。[NGFW_A]acl3000[NGFW_A-acl-adv-3000]rulepermitipsource1.1.3.10destination1.1.5.10[NGFW_A-acl-adv-3000]quit#配置IPSec安全提議tran1。[NGFW_A]ipsecproposaltran1[NGFW_A-ipsec-proposal-tran1]encapsulation-modetunnel[NGFW_A-ipsec-proposal-tran1]transformesp[NGFW_A-ipsec-proposal-tran1]espauthentication-algorithmsha2-256[NGFW_A-ipsec-proposal-tran1]espencryption-algorithmaes[NGFW_A-ipsec-proposal-tran1]quit#配置IKE安全提議。[NGFW_A]ikeproposal10[NGFW_A-ike-proposal-10]authentication-methodpre-share[NGFW_A-ike-proposal-10]authentication-algorithmsha2-256[NGFW_A-ike-proposal-10]quit配置舉例——配置NGFW_A（總部）#配置IKE本地名稱。[NGFW_A]ikelocal-nameNGFW_A#配置IKEpeer。[NGFW_A]ikepeera[NGFW_A-ike-peer-a]undoversion2[NGFW_A-ike-peer-a]exchange-modeaggressive[NGFW_A-ike-peer-a]local-id-typefqdn[NGFW_A-ike-peer-a]remote-idNGFW_B[NGFW_A-ike-peer-a]ike-proposal10

[NGFW_A-ike-peer-a]pre-shared-keyTest!123[NGFW_A-ike-peer-a]quit#配置IPSec安全策略模板map_temp。[NGFW_A]ipsecpolicy-templatemap_temp1[NGFW_A-ipsec-policy-templet-map_temp-1]securityacl3000[NGFW_A-ipsec-policy-templet-map_temp-1]proposaltran1[NGFW_A-ipsec-policy-templet-map_temp-1]ike-peera[NGFW_A-ipsec-policy-templet-map_temp-1]quit[NGFW_A]ipsecpolicymap110isakmptemplatemap_temp#在接口GigabitEthernet1/0/1上應(yīng)用安全策略map1。[NGFW_A]interfaceGigabitEthernet1/0/1[NGFW_A-GigabitEthernet1/0/1]ipsecpolicymap1[NGFW_A-GigabitEthernet1/0/1]quit配置舉例——配置NGFW_B（分支）1.配置各接口IP地址，并將接口加入安全區(qū)域。具體配置過程略。2.開啟域間安全策略。#開啟Trust和Untrust安全區(qū)域的域間策略，保證報(bào)文能夠正常發(fā)送。略。#開啟Local和Untrust安全區(qū)域的域間策略，保證隧道正常建立。略。3.配置達(dá)到分支機(jī)構(gòu)的靜態(tài)路由。[NGFW_B]iproute-static10.1.1.0255.255.255.01.1.5.24.配置L2TP用戶。[NGFW_B]user-manageuserl2tpuser[NGFW_B-localuser-l2tpuser]passwordPassword1[NGFW_B-localuser-l2tpuser]quit配置舉例——配置NGFW_B（分支）5.配置L2TP。#啟用L2TP功能。[NGFW_B]l2tpenable#配置虛擬模板接口Virtual-Template1。[NGFW_B]interfaceVirtual-Template1[NGFW_B-Virtual-Template1]pppauthentication-modepap[NGFW_B-Virtual-Template1]quit#配置接口GigabitEthernet1/0/3綁定虛擬接口模板。[NGFW_B]interfaceGigabitEthernet1/0/3[NGFW_B-GigabitEthernet1/0/3]pppoe-serverbindvirtual-template1[NGFW_B-GigabitEthernet1/0/3]quit#

創(chuàng)建L2TP組。[NGFW_B]l2tp-group1#

配置L2TP隧道進(jìn)行驗(yàn)證時的密碼。[NGFW_B-l2tp1]tunnelpasswordcipherPass1234#

配置用戶使用全名接入。[NGFW_B-l2tp1]startl2tpip1.1.3.1fullusernamel2tpuser[NGFW_B-l2tp1]quit配置舉例——配置NGFW_B（分支）6.配置IPSec。#配置ACL，定義需要保護(hù)的數(shù)據(jù)流。[NGFW_B]acl3000[NGFW_B-acl-adv-3000]rulepermitipsource1.1.5.10destination1.1.3.10[NGFW_B-acl-adv-3000]quit#配置IPSec安全提議tran1。[NGFW_B]ipsecproposaltran1[NGFW_B-ipsec-proposal-tran1]encapsulation-modetunnel[NGFW_B-ipsec-proposal-tran1]transformesp[NGFW_B-ipsec-proposal-tran1]espauthentication-algorithmsha2-256[NGFW_B-ipsec-proposal-tran1]espencryption-algorithmaes[NGFW_B-ipsec-proposal-tran1]quit#配置IKE安全提議。[NGFW_B]ikeproposal10[NGFW_B-ike-proposal-10]authentication-methodpre-share[NGFW_B-ike-proposal-10]authentication-algorithmsha2-256[NGFW_B-ike-proposal-10]quit配置舉例——配置NGFW_B（分支）#配置IKE本地名稱。[NGFW_B]ikelocal-nameNGFW_B#配置IKEpeer。[NGFW_B]ikepeerb[NGFW_B-ike-peer-b]undoversion2[NGFW_B-ike-peer-b]exchange-modeaggressive[NGFW_B-ike-peer-b]local-id-typefqdn[NGFW_B-ike-peer-b]remote-idNGFW_A[NGFW_B-ike-peer-b]ike-proposal10

[NGFW_B-ike-peer-b]remote-address1.1.3.1[NGFW_B-ike-peer-b]pre-shared-keyTest!123[NGFW_B-ike-peer-b]quit#配置采用IKE方式協(xié)商的IPSec安全策略map1。[NGFW_B]ipsecpolicymap110isakmp[NGFW_B-ipsec-policy-isakmp-map1-10]securityacl3000[NGFW_B-ipsec-policy-isakmp-map1-10]proposaltran1[NGFW_B-ipsec-policy-isakmp-map1-10]ike-peerb[NGFW_B-ipsec-policy-isakmp-map1-10]quit#在接口GigabitEthernet1/0/1上應(yīng)用安全策略map1。[NGFW_B]interfaceGigabitEthernet1/0/1[NGFW_B-GigabitEthernet1/0/1]ipsecpolicymap1[NGFW_B-Gi