某企業(yè)移動辦公用戶通過L2TPoverIPSec隧道訪問企業(yè)內(nèi)網(wǎng)組網(wǎng)示意如圖9-1所示，路由器R1模擬ISP的路由器。企業(yè)外網(wǎng)的移動辦公用戶能夠通過L2TP隧道訪問企業(yè)內(nèi)網(wǎng)的各種資源，由于L2TP隧道沒有安全保護(hù)，還需要在L2TP隧道之外再封裝IPSec隧道，對訪問企業(yè)內(nèi)網(wǎng)的流量進(jìn)行加密保護(hù)。圖9-1移動辦公用戶通過L2TPoverIPSecVPN隧道訪問企業(yè)內(nèi)網(wǎng)組網(wǎng)示意【配置思路】配置LNS的接口IP地址、路由和安全區(qū)域，完成基本網(wǎng)絡(luò)參數(shù)配置。配置LNS的L2TP，完成服務(wù)器側(cè)的參數(shù)配置。配置其他網(wǎng)絡(luò)設(shè)備，實(shí)現(xiàn)網(wǎng)絡(luò)互聯(lián)互通。配置移動客戶端，完成L2TP用戶側(cè)的參數(shù)配置。驗(yàn)證和調(diào)試，檢查是否實(shí)現(xiàn)任務(wù)需求?！九渲貌襟E】步驟1：配置LNS基本網(wǎng)絡(luò)參數(shù)根據(jù)組網(wǎng)需要，在LNS上配置接口IP地址、路由及安全區(qū)域，完成網(wǎng)絡(luò)基本參數(shù)配置。配置接口IP地址<LNS>system-view[LNS]interfaceGigabitEthernet1/0/1[LNS-GigabitEthernet1/0/1]ipaddress24[LNS-GigabitEthernet1/0/1]quit[LNS]interfaceGigabitEthernet1/0/2[LNS-GigabitEthernet1/0/2]ipaddress24[LNS-GigabitEthernet1/0/2]quit接口加入安全區(qū)域[LNS]firewallzoneuntrust[LNS-zone-untrust]addinterfaceGigabitEthernet1/0/1[LNS-zone-untrust]quit[LNS]firewallzonetrust[LNS-zone-trust]addinterfaceGigabitEthernet1/0/2[LNS-zone-trust]quit配置缺省路由[LNS]iproute-static步驟2：配置LNS基本網(wǎng)絡(luò)參數(shù)配置地址池[LNS]ippoolpool//該地址池為接入用戶分配私網(wǎng)地址。[LNS-ip-pool-pool]section100[LNS-ip-pool-pool]quit說明：如果真實(shí)環(huán)境中地址池地址和總部內(nèi)網(wǎng)地址配置在了同一網(wǎng)段，則必須在LNS連接總部網(wǎng)絡(luò)的接口上開啟ARP代理功能，保證LNS可以對總部網(wǎng)絡(luò)服務(wù)器發(fā)出的ARP請求進(jìn)行應(yīng)答。配置業(yè)務(wù)方案[LNS]aaa[LNS-aaa]service-schemel2tp//創(chuàng)建一個業(yè)務(wù)方案，并進(jìn)入業(yè)務(wù)方案視圖[LNS-aaa-service-l2tp]ip-poolpool//設(shè)置業(yè)務(wù)方案下的IP地址池[LNS-aaa-service-l2tp]quit配置認(rèn)證域及用戶[LNS-aaa]domaindefault//進(jìn)入default域[LNS-aaa-domain-default]service-typel2tp//配置認(rèn)證域的接入控制類型[LNS-aaa-domain-default]quit[LNS]user-managegroup/default/marketing//創(chuàng)建用戶組，并進(jìn)入用戶組視圖[LNS-usergroup-/default/marketing]quit[LNS]user-manageuseruser0001//創(chuàng)建用戶，并進(jìn)入用戶視圖[LNS-localuser-user0001]parent-group/default/marketing//將用戶加入組[LNS-localuser-user0001]passwordHuawei@123//設(shè)置用戶密碼[LNS-localuser-user0001]quit配置VT接口[LNS]interfaceVirtual-Template1//創(chuàng)建VT接口，并進(jìn)入接口視圖[LNS-Virtual-Template1]ipaddress24[LNS-Virtual-Template1]pppauthentication-modechap//設(shè)置本端PPP協(xié)議對遠(yuǎn)端設(shè)備的驗(yàn)證方式[LNS-Virtual-Template1]remoteservice-schemel2tp//指定為對端分配地址時使用哪個業(yè)務(wù)方案下的IP地址池[LNS-Virtual-Template1]quit[LNS]firewallzonedmz[LNS-zone-dmz]addinterfaceVirtual-Template1//VT接口加入安全區(qū)域[LNS-zone-dmz]quit配置L2TP組[LNS]l2tpenable//啟用L2TP功能[LNS]l2tp-group1//創(chuàng)建并進(jìn)入L2TP組[LNS-l2tp-1]allowl2tpvirtual-template1remoteclient//指定接受呼叫時隧道對端的名稱（client）及所使用的Virtual-Template[LNS-l2tp-1]tunnelauthentication//啟用L2TP的隧道驗(yàn)證功能[LNS-l2tp-1]tunnelpasswordcipherHello123//指定隧道驗(yàn)證時的密碼[LNS-l2tp-1]quit步驟3：配置IPSec定義被保護(hù)的數(shù)據(jù)流[LNS]acl3000//使用acl匹配受保護(hù)的數(shù)據(jù)流，匹配的流量將進(jìn)入VPN隧道轉(zhuǎn)發(fā)[LNS-acl-adv-3000]rule5permitudpsource-porteq1701[LNS-acl-adv-3000]quit說明：由于L2TPoverIPSec是先對報(bào)文進(jìn)行L2TP封裝，再進(jìn)行IPSec封裝，故此處使用L2TP報(bào)文的源端口1701作為匹配條件。所有經(jīng)過了L2TP封裝的報(bào)文都走IPSec隧道。配置IKE安全提議[LNS]ikeproposal10//創(chuàng)建IKE安全提議，并進(jìn)入IKE安全提議視圖[LNS-ike-proposal-10]authentication-methodpre-share//配置IKE安全聯(lián)盟協(xié)商時使用的認(rèn)證方法。其中，pre-share為預(yù)共享密鑰驗(yàn)證[LNS-ike-proposal-10]prfhmac-sha2-256//用來配置IKEv2協(xié)商時所使用的偽隨機(jī)數(shù)產(chǎn)生函數(shù)的算法[LNS-ike-proposal-10]encryption-algorithmaes-256//配置IKE協(xié)商時所使用的加密算法[LNS-ike-proposal-10]dhgroup5//配置IKE協(xié)商時所使用的DH組[LNS-ike-proposal-10]integrity-algorithmhmac-sha2-256//配置IKEv2協(xié)商時所使用的完整性算法[LNS-ike-proposal-10]quit配置IKE對等體[LNS]ikepeerb//創(chuàng)建IKE對等體，并進(jìn)入IKE對等體視圖[LNS-ike-peer-b]ike-proposal10//配置IKE對等體使用的IKE安全提議[LNS-ike-peer-b]pre-shared-keyTest!1234//配置對等體IKE協(xié)商采用預(yù)共享密鑰認(rèn)證時，IKE用戶所使用的預(yù)共享密鑰[LNS-ike-peer-b]quit配置IPSec安全提議[LNS]ipsecproposaltran1//創(chuàng)建IPSec安全提議，并進(jìn)入IPSec安全提議視圖[LNS-ipsec-proposal-tran1]espauthentication-algorithmsha2-256//配置ESP協(xié)議使用的認(rèn)證算法[LNS-ipsec-proposal-tran1]espencryption-algorithmaes-256//配置ESP協(xié)議使用的加密算法[LNS-ipsec-proposal-tran1]quit配置策略模板方式的IPSec安全策略[LNS]ipsecpolicy-templatepolicy_temp1//創(chuàng)建IPSec安全策略模板，并進(jìn)入安全策略模板視圖[LNS_ipsec-policy-template-policy_temp-1]securityacl3000[LNS_ipsec-policy-template-policy_temp-1]proposaltran1[LNS_ipsec-policy-template-policy_temp-1]ike-peerb[LNS_ipsec-policy-template-policy_temp-1]quit[LNS]ipsecpolicymap110isakmptemplatepolicy_temp//創(chuàng)建IPSec安全策略并應(yīng)用安全策略模板接口上應(yīng)用IPSec安全策略[LNS]interfaceGigabitEthernet1/0/1[LNS-GigabitEthernet1/0/1]ipsecpolicymap1//在當(dāng)前接口上應(yīng)用IPSec安全策略組[LNS-GigabitEthernet1/0/1]quit說明：IPSec安全策略模板用于定義IPSec協(xié)商需要的各種參數(shù)，IPSec模板中有些參數(shù)可以不定義，未定義的可選參數(shù)由發(fā)起方來決定，而響應(yīng)方會接受發(fā)起方的建議。通過引用IPSec安全策略模板創(chuàng)建的IPSec安全策略稱為策略模板方式IPSec安全策略。配置了策略模板方式IPSec安全策略的一端不能主動發(fā)起協(xié)商，只能作為協(xié)商響應(yīng)方接受對端的協(xié)商請求。配置策略模板方式IPSec安全策略可以簡化多條IPSec隧道建立時的配置工作量。同時可滿足特定的場景，如對端的IP地址不固定或預(yù)先未知的情況（例如對端是通過PPPoE撥號獲得的IP地址）下，允許這些對端設(shè)備向本端設(shè)備主動發(fā)起協(xié)商。與ISAKMP方式不同的是，用于定義數(shù)據(jù)流保護(hù)范圍的ACL在這種方式下是可選的，該參數(shù)在未配置的情況下，相當(dāng)于支持最大范圍的保護(hù)，即接受協(xié)商發(fā)起方的ACL配置。步驟4：配置安全策略配置trust與dmz之間的安全策略，允許移動辦公用戶訪問總部內(nèi)網(wǎng)以及總部內(nèi)網(wǎng)訪問移動辦公用戶的雙向業(yè)務(wù)流量通過；配置從untrust到local方向的安全策略，允許L2TP報(bào)文通過。配置trust與dmz間安全策略[LNS]security-policy[LNS-policy-security]rulenamepolicy1[LNS-policy-security-rule-policy1]source-zonetrustdmz[LNS-policy-security-rule-policy1]destination-zonedmztrust[LNS-policy-security-rule-service_dt]source-address24[LNS-policy-security-rule-policy1]source-address24[LNS-policy-security-rule-policy1]destination-address24[LNS-policy-security-rule-service_dt]destination-address24[LNS-policy-security-rule-policy1]actionpermit[LNS-policy-security-rule-policy1]quit配置從untrust到local的安全策略[LNS-policy-security]rulenamepolicy2[LNS-policy-security-rule-policy2]source-zoneuntrustlocal[LNS-policy-security-rule-policy2]destination-zonelocaluntrust[LNS-policy-security-rule-policy2]destination-address32[LNS-policy-security-rule-policy2]actionpermit[LNS-policy-security-rule-policy2]quit步驟4：配置其他網(wǎng)絡(luò)設(shè)備配置R1<R1>system-view[R1]interfaceGigabitEthernet0/0/1[R1-GigabitEthernet0/0/1]ipaddress24[R1-GigabitEthernet0/0/1]quit[R1]interfaceGigabitEthernet0/0/2[R1-GigabitEthernet0/0/2]ipaddress24[R1-GigabitEthernet0/0/2]quit配置服務(wù)器配置內(nèi)網(wǎng)服務(wù)器的IP地址和網(wǎng)關(guān)，網(wǎng)關(guān)設(shè)置為防火墻內(nèi)網(wǎng)口的IP地址。具體配置方法略。步驟5：配置移動辦公用戶UniVPNClient是一款用于VPN遠(yuǎn)程接入的終端軟件，主要為移動辦公用戶遠(yuǎn)程訪問企業(yè)內(nèi)網(wǎng)資源提供安全、便捷的接入服務(wù)。。本任務(wù)使用UniVPNClient接入L2TPVPN。下載并安裝UniVPN下載（/doc/article/103107.html）UniVPNClient并安裝。步驟略。配置UniVPN打開UniVPN，進(jìn)入主界面，單擊“新建連接”。在“新建連接”窗口左側(cè)導(dǎo)航欄中選中“L2TP/IPSec”，并配置相關(guān)的連接參數(shù)。其中，特別注意，要勾選“啟用IPSec”安全協(xié)議，IPSec相關(guān)參數(shù)（如驗(yàn)證算法、加密算法、封裝模式、DH組等）必須與LNS上配置的安全提議參數(shù)保持一致。然后單擊“確定”。單擊“連接”，在登錄界面輸入用戶名、密碼。單擊“登錄”，發(fā)起VPN連接。VPN接入成功時，系統(tǒng)會在界面右下角進(jìn)行提示。連接成功后移動辦公用戶就可以和企業(yè)內(nèi)網(wǎng)用戶一樣訪問內(nèi)網(wǎng)資源。步驟4：驗(yàn)證和調(diào)試網(wǎng)絡(luò)連通測試以ping測試為例，可以在移動辦公用戶終端上ping通內(nèi)網(wǎng)服務(wù)器（0）。查看L2TP隧道在LNS上執(zhí)行display

l2tp

tunnel、display

l2tp

session命令，查看到有L2TP隧道信息和會話信息，說明L2TP隧道建立成功。<LNS>displayl2tptunnel2025-02-2413:21:03.170L2TP::TotalTunnel:1LocalTIDRemoteTIDRemoteAddressPortSessionsRemoteNameVpnInstance------------------------------------------------------------------------------186106601client------------------------------------------------------------------------------Total1,1printed<LNS>displayl2tpsession2025-02-2413:21:32.890L2TP::TotalSession:1LocalSIDRemoteSIDLocalTIDRemoteTIDUserIDUserNameVpnInstance------------------------------------------------------------------------------186186260user0001------------------------------------------------------------------------------Total1,1printed（3）查看IPSec安全聯(lián)盟在LNS上執(zhí)行display

ikesa、display

ipsecsa命令，查看到ike安全聯(lián)盟和ipsec安全聯(lián)盟創(chuàng)建成功。<LNS>displayikesa2025-02-2413:22:52.920IKESAinformation:Conn-IDPeerVPNFlag(s)PhaseRemoteTypeRemoteID------------------------------------------------------------------------------------------------200:5524RD|Av1:2IP100:5524RD|Av1:1IP