如果企业有移动办公用户从外网访问内网的需求,可以通过配置l2tp over ipsec方式,来远程接入到企业网,从而访问到企业网内网资源
1、拓扑示例
拓扑举例如下,左边指移动办公用户,接入端移动办公用户的类型可以是iPhone/Android/macos/Windows等,其中g1/0/1表示防火墙外网口的公网地址,g1/0/3表示防火墙内网口地址,server端表示移动办公用户拨l2tp over ipsec之后要访问的目标服务器
2、数据规划
|
项目 |
数据 |
|
LNS |
接口号:GigabitEthernet 1/0/1 IP地址:1.1.1.1/24 安全区域:Untrust |
|
接口号:GigabitEthernet 1/0/3 IP地址:10.1.1.1/24 安全区域:Trust |
|
|
Virtual-Template接口 接口号:Virtual-Template 1 IP地址:10.1.1.1/24 |
|
|
地址池 IP pool 1 地址范围:10.1.2.2~10.1.2.100 |
|
|
L2TP配置 认证方式:CHAP、PAP 隧道验证:关闭 用户认证名称:vpdnuser 用户认证密码:Hello123 |
|
|
IPSec配置 建立方式:策略模板 封装模式:自适应模式 安全协议:ESP ESP协议验证算法:md5 ESP协议加密算法:des 预共享密钥:Admin@123 本端ID:IP地址 对端ID:接受任意对端ID |
|
|
LAC |
接入地址:1.1.1.1 用户名:vpdnuser 密码:Hello123 密钥:Admin@123 |
3、配置步骤如下:
1)配置接口IP地址
a.配置接口IP地址,为了简化配置,案例只保留2个具有代表性的重要接口
<LNS> system-view
[LNS] interface GigabitEthernet 1/0/1 #表示公网口接口
[LNS-GigabitEthernet1/0/1] ip address 1.1.1.1 24
[LNS-GigabitEthernet1/0/1] quit
[LNS] interface GigabitEthernet 1/0/3 #表示内网接口
[LNS-GigabitEthernet1/0/3] ip address 10.1.1.1 24
[LNS-GigabitEthernet1/0/3] quit
b. 配置接口加入相应安全区域,安全区域的名称也可以自定义,一般的做法是外网口加untrust区域,内网口加trust区域
[LNS] firewall zone untrust
[LNS-zone-untrust] add interface GigabitEthernet 1/0/1
[LNS-zone-untrust] quit
[LNS] firewall zone trust
[LNS-zone-trust] add interface GigabitEthernet 1/0/3
[LNS-zone-trust] quit
2)配置安全策略,如果防火墙的安全策略为全放行,则可以不用再执行这个步骤进行放行
2.1)方法1:对安全性要求没那么高的,可以配置全放行,参考命令如下
[LNS] security-policy
[LNS-policy-security] default action permit
2.2)方法2:针对具体流量进行放行
a.配置安全策略,允许移动办公用户主动向总部发起访问。
[LNS] security-policy
[LNS-policy-security] rule name l2tp_over_ipsec
[LNS-policy-security-policy_ipsec_1] source-zone untrust
[LNS-policy-security-policy_ipsec_1] destination-zone trust
[LNS-policy-security-policy_ipsec_1] destination-address 10.1.1.0 24 #要访问的内部服务器的地址
[LNS-policy-security-policy_ipsec_1] source-address range 10.1.2.1 10.1.2.100 #精确放行l2tp地址池中的地址
[LNS-policy-security-policy_ipsec_1] action permit
[LNS-policy-security-policy_ipsec_1] quit
b.配置安全策略,允许总部内网主动向移动办公用户发起访问
[LNS-policy-security] rule name l2tp_over_ipsec
[LNS-policy-security-policy_ipsec_2] source-zone trust
[LNS-policy-security-policy_ipsec_2] destination-zone untrust
[LNS-policy-security-policy_ipsec_2] source-address 10.1.1.0 24
[LNS-policy-security-policy_ipsec_2] destination-address range 10.1.2.1 10.1.2.100
[LNS-policy-security-policy_ipsec_2] action permit
[LNS-policy-security-policy_ipsec_2] quit
c.配置安全策略,允许移动办公用户与总部协商建立IPSec隧道
[LNS-policy-security] rule name l2tp_over_ipsec
[LNS-policy-security-policy_ipsec_3] source-zone untrust
[LNS-policy-security-policy_ipsec_3] destination-zone local
[LNS-policy-security-policy_ipsec_3] destination-address 1.1.1.1 32 #USG公网口的地址
[LNS-policy-security-policy_ipsec_3] action permit
[LNS-policy-security-policy_ipsec_3] quit
3)配置L2TP功能
a.开启L2TP功能。
[LNS] l2tp enable
b. 配置虚拟模板接口Virtual-Template 1,用于后续l2tp over ipsec的拨入
[LNS] interface Virtual-Template 1
[LNS-Virtual-Template1] ppp authentication-mode chap pap
The command is used to configure the PPP authentication mode on the local end.
Confirm that the peer end adopts the corresponding PPP authentication. Continue[Y/N]: y
[LNS-Virtual-Template1] ip address 10.1.2.1 255.255.255.0
[LNS-Virtual-Template1] remote address pool 1
[LNS-Virtual-Template1] quit
c.将虚拟接口模板加入Untrust区域,虚接口也需要加入安全区域才能正常使用
[LNS] firewall zone untrust
[LNS-zone-untrust] add interface Virtual-Template 1
[LNS-zone-untrust] quit
d.创建并配置L2TP组,其中组1是默认组,后面的组号也可以自定义其他的编号
[LNS] l2tp-group 1
[LNS-l2tp1] allow l2tp virtual-template 1
[LNS-l2tp1] undo tunnel authentication
[LNS-l2tp1] quit
e. 设置认证方案default的认证方式为本地认证。
[LNS] aaa
[LNS-aaa] authentication-scheme default
[LNS-aaa-authen-default] authentication-mode local
[LNS-aaa-authen-default] quit
f.在default域引用认证方案default
[LNS-aaa] domain default
[LNS-aaa-domain-default] authentication-schem default
g.为后续接入的l2tp over ipsec客户端设备配置DHCP地址池
[LNS-aaa-domain-default] ip pool 1 10.1.2.2 10.1.2.100
[LNS-aaa-domain-default] quit
[LNS-aaa] quit
h. 配置本地用户。
[LNS] user-manage user vpdnuser domain default
[LNS-localuser-vpdnuser] password Hello123
[LNS-localuser-vpdnuser] quit
4)配置IPSec功能
a.创建高级ACL 3000,用来匹配感兴趣流,目的是将L2TP的流量引入到ipsec中
[LNS] acl 3000
[LNS-acl-adv-3000] rule 5 permit udp source-port eq 1701
[LNS-acl-adv-3000] rule 10 permit udp destination-port eq 1701
[LNS-acl-adv-3000] quit
b. 配置IKE peer,用来与拨入的客户端建立ipsec
[LNS] ike peer huawei
[LNS-ike-peer-a] exchange-mode auto
[LNS-ike-peer-a] local-id-type ip
[LNS-ike-peer-a] remote-id-type none
[LNS-ike-peer-a] nat traversal
[LNS-ike-peer-a] ike negotiate compatible
[LNS-ike-peer-a] pre-shared-key Admin@123 #ipsec建立时使用的预共享秘钥
[LNS-ike-peer-a] quit
c.配置IPSec安全提议tran1
[LNS] ipsec proposal tran1
[LNS-ipsec-proposal-tran1] encapsulation-mode auto
[LNS-ipsec-proposal-tran1] transform esp
[LNS-ipsec-proposal-tran1] esp authentication-algorithm md5
[LNS-ipsec-proposal-tran1] esp encryption-algorithm des
[LNS-ipsec-proposal-tran1] quit
d. 配置模板方式的IPSec策略policy。
[LNS] ipsec policy-template policy_temp 1
[LNS-ipsec-policy-template-policy_temp-1] security acl 3000
[LNS-ipsec-policy-template-policy_temp-1] proposal tran1
[LNS-ipsec-policy-template-policy_temp-1] ike-peer a
[LNS-ipsec-policy-template-policy_temp-1] quit
[LNS] ipsec policy policy 10 isakmp template policy_temp
e.在USG外网接口GigabitEthernet 1/0/1上应用安全策略policy
[LNS] interface GigabitEthernet 1/0/1
[LNS-GigabitEthernet1/0/1] ipsec policy policy
[LNS-GigabitEthernet1/0/1] quit
5)配置到达拨号客户端虚拟地址的路由
如果要访问的服务器不是直连在防火墙上,则需要在下行设备上要有到达拨号客户端虚拟地址的路由,这样被访问的设备才能正常完成回包