华赛防火墙USG2210 L2TP over IPsecVPN配置实例.doc

华赛防火墙USG2210 L2TP over IPsecVPN配置实例 2011-07-25 12:06:47标签：IPsecVPN 华赛防火墙 USG2210 L2TP 原创作品，允许转载，转载时请务必以超链接形式标明文章 原始出处 、作者信息和本声明。否则将追究法律责任。/628505/622658 武汉通威电子有限公司陈 波2011-6-16目录项目需求. 3类似的一个拓扑. 3VPN配置步骤. 3VPN 客户端的选择和配置. 7完整防火墙配置参考. 15项目需求公司总部使用防火墙（以USG3000为例）接入Internet。公司出差员工安全访问公司总部资源。出差员工在PC上安装VPN Client，向USG2210（LNS设备）发起连接请求并建立L2TP+IPSec隧道，通过L2TP+IPSec隧道与公司内部其他用户进行通信或访问资源。用户通过代理服务器与LNS建立VPN隧道。允许用户在访问公司总部资源的同时访问Internet资源。使用预共享密钥验证方式。类似的一个拓扑VPN配置步骤# 创建并配置虚拟接口模板。interface Virtual-Template 1ip address 24ppp authentication-mode chapremote address pool 1quit# 配置虚拟接口模板加入安全区域。虚拟接口模板可以加入LNS的任一安全区域。firewall zone trustadd interface Virtual-Template 1quit# 配置域间包过滤规则，允许LNS侧与通道相连的接口所在的安全区域与Local安全区域互通。#好像防火墙默认就有，没有则加上firewall packet-filter default permit interzone local trust direction inboundfirewall packet-filter default permit interzone local trust direction outboundfirewall packet-filter default permit interzone local untrust direction inboundfirewall packet-filter default permit interzone local untrust direction outboundfirewall packet-filter default permit interzone local dmz direction inboundfirewall packet-filter default permit interzone local dmz direction outboundfirewall packet-filter default permit interzone trust untrust direction inboundfirewall packet-filter default permit interzone trust untrust direction outboundfirewall packet-filter default permit interzone trust dmz direction inboundfirewall packet-filter default permit interzone trust dmz direction outboundfirewall packet-filter default permit interzone dmz untrust direction inboundfirewall packet-filter default permit interzone dmz untrust direction outbound# 启用L2TP功能。l2tp enable# 创建L2TP组。l2tp-group 1# 配置隧道本端名称。tunnel name lnsallow l2tp virtual-template 1 remote client# 禁止L2TP隧道验证。undo tunnel authenticationquit说明：配置Client-Initialized方式的L2TP时，需要禁止L2TP隧道验证。# 进入AAA视图，创建本地用户名和密码并配置用户类型（应与用户侧配置一致）。aaalocal-user admin password simple Admin123local-user admin service-type ppp# 在aaa中定义地址池，为拨入用户分配IP地址。ip pool 1 00 00quit说明：从地址池中分配给客户端的IP地址不能与USG的接口GigabitEthernet 0/0的IP地址在同一网段。# 配置IPSec。# 创建名为tran1的IPSec提议。ipsec proposal tran1transform espencapsulation-mode tunnelesp authentication-algorithm md5esp encryption-algorithm desquit# 创建编号为10的IKE提议。ike proposal 10authentication-method pre-shareauthentication-algorithm md5quit# 创建名为a的IKE Peer。ike peer aexchange-mode aggressivelocal-id-type namenat traversalremote-name clientike-proposal 10pre-shared-key abcdequit说明：验证字的配置需要与对端设备相同。# 配置IKE本端名字。ike local-name usg2210# 配置IPSec保护数据流。默认情况下，L2TP守护进程监听UDP 1701端口# 记得先配置vpn client触发的敏感流ACL，要不然policy应用后ACL加不上acl number 3003rule 0 per udp source any source-port eq 1701# 创建IPSec策略模板。说明：某些防火墙型号和版本（如USG2100）建议不要引用ACL，否则防火墙只能和一个VPN Client建立连接，其他VPN Client将无法与防火墙建立VPN连接。中高端的防火墙（如USG5300）必须要引用ACL，否则隧道无法正常建立。ipsec policy-template tmap 1ike-peer aproposal tran1security acl 3003quit# 创建IPSec策略。ipsec policy map 1 isakmp template tmap# 引用IPSec策略。interface GigabitEthernet 0/0/1ipsec policy mapquitVPN 客户端的选择和配置登陆华赛官方网站/cn/#找技术人员要的个账号账号：HS400密码：119085#华赛的技术热线，比较管用，24小时服务，主要看运气，碰到工程师水平不行也是浪费时间400 888 2333注意用dis version查看下设备的版本信息，本次设备是V100R005C00SPC300，下载对应的VPN Clientsys22:25:24 2011/06/16Enter system view, return user view with Ctrl+Z.USG2200dis ver22:25:28 2011/06/16Huawei Versatile Routing Platform SoftwareSoftware Version: USG2200 V100R005C00SPC300 (VRP (R) Software, Version 5.30)Copyright (c) 2008-2011 Huawei Technologies Co., Ltd.Secoway USG2210 uptime is 0 week, 0 day, 11 hours, 17 minutesRPUs Version Information:2048M bytes SDRAM64M bytes FLASH128K bytes NVRAMPcb Version : VER.ACPLD Logic Version : 009BFPGA Logic Version : 013Small BootROM Version : 517Big BootROM Version : 559安装Secospace VPN Client V100R001C02SPC300 后开始配置VPN客户端。1. 配置VPN Client。a. 在菜单栏中选择“文件 > 新建”或在单击工具栏中单击“新建”按钮。 弹出“第一步：请选择创建方法”对话框。配置如图2所示。图2 选择创建方法b. 选中“通过输入参数创建连接”，单击“下一步”。 弹出“第二步：请输入登录设置”对话框。配置如图3所示。图3 登录设置说明：登录用户名和密码必须与LNS侧配置的用户名和密码一致。c. 单击“下一步”。 弹出“第三步：请输入L2TP设置”对话框。配置如图4所示。图4 输入L2TP设置说明：L2TP配置必须与LNS侧的配置一致。d. 单击“下一步”。 弹出“第四步：请输入IPSec设置”对话框。配置如图5所示。图5 输入IPSec设置e. 选中“使用LNS服务器地址”，单击“下一步”。 弹出“第五步：请输入IPSec高级设置”对话框。配置如图6所示。图6 输入IPSec高级设置 说明：IPSec高级配置必须与LNS侧的配置一致。f. 单击“下一步”。 弹出“最后一步：新建连接完成”对话框。如图7所示。图7 新建连接完成g. 输入连接的名字，单击“完成”。h. 选择“操作 > 代理设置”。配置如图8所示。图8 代理设置 （如果是通过代理服务器上网则设置，否则不设置）i. 选择连接的属性，在“基本设置”中选中“连接成功后允许访问Internet”，并在“路由设置”中单击“添加”，配置如图9所示。允许用户在访问VPN资源的同时访问Internet资源。图9 添加VPN网段j. 单击“确定”。工具里面有个运行日志，可以看下是否成功- Administrator 新建连接成功，新连接的名称为“HS VPN”。- Administrator 修改连接“HS VPN”路由成功，当前的VPN路由是:No.1: IP Mask 。- Administrator 修改连接“HS VPN”属性成功。- Administrator 开始连接，连接 HS VPN - 1262137893 。- Administrator IKE阶段1协商开始。- Administrator IKE阶段1协商成功结束。- Administrator IKE阶段2协商开始。- Administrator IKE阶段2协商成功结束。- Administrator 接入成功，用户 chenbo 。- Administrator 获得私网地址01。- Administrator 启动了诊断工具。完整防火墙配置参考USG2200dis cu23:19:47 2011/06/16#sysname USG2200#l2tp enable#ike local-name usg2210#firewall packet-filter default permit interzone local trust direction inboundfirewall packet-filter default permit interzone local trust direction outboundfirewall packet-filter default permit interzone local untrust direction inboundfirewall packet-filter default permit interzone local untrust direction outboundfirewall packet-filter default permit interzone local dmz direction inboundfirewall packet-filter default permit interzone local dmz direction outboundfirewall packet-filter default permit interzone trust untrust direction inboundfirewall packet-filter default permit interzone trust untrust direction outboundfirewall packet-filter default permit interzone trust dmz direction inboundfirewall packet-filter default permit interzone trust dmz direction outboundfirewall packet-filter default permit interzone dmz untrust direction inboundfirewall packet-filter default permit interzone dmz untrust direction outbound#nat address-group 1 26 26#firewall session link-state check#web-manager security enable port 5000undo web-manager config-guide enable#v-gateway ssl_vpn 26 private#radius-server template ssl_vpn.tpl#acl number 3000rule 5 permit ip#acl number 3001rule 5 permit iprule 10 permit icmp#acl number 3003rule 0 permit udp source-port eq 1701#ike proposal 10authentication-algorithm md5#ike peer aexchange-mode aggressivepre-shared-key abcdeike-proposal 10local-id-type nameremote-name clientnat traversal#ipsec proposal tran1#ipsec policy-template tmap 1security acl 3003ike-peer aproposal tran1#ipsec policy map 1 isakmp template tmap#interface Cellular0/1/0link-protocol ppp#interface Virtual-Template1ppp authentication-mode chapip address remote address pool 1#interface GigabitEthernet0/0/0ip address 3 #interface GigabitEthernet0/0/1ip address 26 40ipsec policy map#interface NULL0#firewall zone localset priority 100#firewall zone trustset priority 85add interface GigabitEthernet0/0/0add interface Virtual-Template1#firewall zone untrustset priority 5add interface GigabitEthernet0/0/1#firewall zone dmzset priority 50#l2tp-group 1undo tunnel authenticationallow l2tp virtual-template 1 remote clienttunnel name lns#aaalocal-user chenbo password simple chenbo123local-user chenbo service-type pppip pool 1 00 00#authentication-scheme defaultauthentication-scheme ssl_vpn.scmauthentication-mode vpndb#authorization-scheme defaultauthorization-scheme ssl_vpn.scmauthorization-mode vpndb#accounting-scheme default#domain defaultdomain dot1xdomain ssl_vpn.domauthentication-scheme ssl_vpn.scmauthorization-scheme ssl_vpn.scmradius-server ssl_vpn.tplldap-server ssl_vpn.tpl#nqa-jitter tag-version 1#ip route-static 33#banner enable#user-interface con 0authentication-mode noneuser-interface tty 2authentication-mode nonemodem bothuser-interface vty 0 4user privilege level 3set authentication password simple Admin123#slb#cwmp#right-manager server-group#ldap-server template ssl_vpn.tplldap-server authentication base-dn dc=my-domain,dc=comldap-server authentication manager cn=manager secret secretldap-server group-filter ouldap-server user-filter cn#policy interzone local untrust inboundpolicy 0action permit#policy interzone local untrust outboundpolicy 0action permit#policy interzone trust untrust outboundpolicy 0action permit#nat-policy interzone trust untrust outboundpolicy 1action source-natpolicy source 55address-group 1#v-gateway ssl_vpn ip address 26#*BEGIN*ssl_vpn*1*#v-gateway ssl_vpnbasicssl version allversionssl timeout 5ssl lifecycle 1440ssl ciphersuit custom aes256-sha des-cbc3-sha rc4-sha rc4-md5 aes128-sha des-cbc-shalogoname &logo&.gifwelcome &welcome&.txttitle &title&.txtserviceweb-proxy enableweb-proxy web-link enableweb-proxy link-resource server :8000/ show-link %u660E%u6E90%u5730%u4EA7ERPfiles-share enablefiles-share resource smb %u8F6F%u4EF6 /26/installport-forwarding enableport-forwarding auto-start enableport-forwarding resource ftp host-ip 192