5L2TPoverIPsec组网方案剖析

1、内部公开 L2TP over IPSec 组网方案 L2TP over IPsec 组网方案 Hangzhou H3C Technologies Co., Ltd. 杭州华三通信技术有限公司 All rights reserved 版权所有 侵权必究 目录 L2TP over IPsec 组网方案 目录 1 介绍 2 1.1 IPsec 特性介绍 2 1.2 L2TP 特性介绍 2 2 测试组网 3 3 功能说明 3 3.1分支网关设备 3 3.2 BRAS 设备 3 3.3 LNS 设备 . 4 3.4 移动办公用户 4 4 LNS典型配置 4 5 其它相关资料 错 误！未定义书签。 10/

2、25/2018 版权所有，侵权必究 第1页 缩略语 英文全名 中文解释 L2TP Layer Two Tunneling Protocol 二层隧道协议 LAC L2TP Access Concentrator L2TP 访问集中器 LNS L2TP Network Server L2TP 网络服务器 IPsec Security Architecture for the Internet Protocol 互联网协议安全体系结构 IKE The Internet Key Exchange 因特网密钥交换协议 L2TP over IPsec 组网方案 L2TP over IPsec 组网方案

3、关键词： L2TP IPsec 缩略语： 1 介绍 1.1 IPsec 特性介绍 IPsec 协议族是 IETF 制定的一系列协议，它为 IP 数据报提供了高质量的、可互操作的、 基于密码学的安全性。特定的通信方之间在IP 层通过加密与数据源验证等方式，来保 证数据报在网络上传输时的私有性、完整性、真实性和防重放。 IPsec 通过 AH （ Authentication Header ，认证头）和 ESP （ Encapsulating Security Payload ，封装安全载荷）这两个安全协议来实现上述目标。并且还可以通过 IKE （ Internet Key Exchange ，因

4、特网密钥交换协议）为 IPsec 提供了自动协商交换密钥、 建立和维护安全联盟的服务，以简化 IPsec 的使用和管理。 1.2 L2TP 特性介绍 L2TP （Layer Two Tunneling Protocol ）L2TP 协议提供了对 PPP 链路层数据包的通道 （ Tunnel ）传输支持，允许二层链路端点和PPP 会话点驻留在不同设备上，并且采用 包交换网络技术进行信息交互，从而扩展了 PPP模型。 L2TP 协议结合了 L2F协议和 PPTP 协议的各自优点，成为 IETF 有关二层隧道协议的工业标准。 10/25/2018 版权所有，侵权必究 第2页 L2TP over IP

5、sec 组网方案 2 测试组网 图 1L2TP over IPsec 典型组网图 1 上图是一种企业典型的 L2TP VPN组网方案，分支机构通过 EVDO 方式或者其他拨号方 式接入运营商 BRAS 设备，通过认证后， BRAS 充当 LAC角色，负责同 LNS 协商建立 L2TP 隧道，可以在 LAC和LNS上别对接入用户进行认证和计费，L2TP 隧道建立后分支 网络内部的 PC 可以通过隧道直接访问总部内部网络； 对于移动办公的用户，首先需要接入 Internet ，然后通过操作系统自带的软件或者第三 方软件（推荐使用 INode ），与 LNS建立IPsec 和L2TP隧道，在 LNS

6、对接入用户进行认 证，完成隧道建立后，移动办公用户可以直接访问企业总部内部网络。 3 功能说明 3.1 分支网关设备 作为分支机构内部网络的网关，进行 EVDO 拨号和认证操作，待 LAC 和LNS 之间的 L2TP 隧道建立后，获取到由 LNS 分配的 IP 地址，完成企业内部网络访问企业总部服务 器数据的转发。 3.2 BRAS 设备 运营商接入汇聚设备，完成分支网关 EVDO 接入和初步认证，并且作为 LAC 设备，根 据用户的权限完成与指定的 LNS设备建立 L2TP 隧道，隧道建立后将网关设备发送的报 文经过 L2TP 封装转发给 LNS 设备。 10/25/2018 版权所有，侵权

7、必究 第3页 L2TP over IPsec 组网方案 3.3 LNS 设备 首先需要接入 Internet ，接受 LAC设备的接入请求，与 LAC设备建立 L2TP 隧道，将分支 网关设备提供的用户名和密码通过 AAA 认证协议转发给 AAA 服务器进行认证，认证通 过后向网关设备分配接入的 IP 地址。 LNS 可以使能加密卡功能，提高 IPSec 加密的处理 性能。 3.4 移动办公用户 首先需要接入 Internet ，然后使用系统自带的或者第三发 VPN 客户端软件（推荐使用 INode ）拨入 LNS ，与LNS建立 L2TPoverIPSec 连接，保证移动办公用户安全、方便的

8、 接入总部内部网络。 4 LNS 典型配置 # sysname LNS # l2tp enable # domain default enable system # vlan 1 # radius scheme l2tp primary authentication 172.32.0.16 primary accounting 172.32.0.16 key authentication msr key accounting msr # domain l2tp authentication ppp radius-scheme l2tp authorization ppp radius-sche

9、me l2tp accounting ppp radius-scheme l2tp access-limit disable state active idle-cut disable self-service-url disable ip pool 1 10.1.1.2 10.1.1.100 accounting optional domain system access-limit disable state active idle-cut disable self-service-url disable # ike peer l2tp pre-shared-key l2tp # IPse

10、c proposal l2tp esp authentication-algorithm sha1 esp encryption-algorithm 3des # IPsec policy-template l2tp-lns 1 ike-peer l2tp proposal l2tp # ipsec policy l2tp 1 isakmp template l2tp-lns # 10/25/2018 版权所有，侵权必究 第4页 L2TP over IPsec 组网方案 l2tp-group 1 allow l2tp virtual-template 0 tunnel password sim

11、ple msr_l2tp tunnel name msr_lns # interface Aux0 async mode flow link-protocol ppp # interface Virtual-Template0 ppp authentication-mode chap domain l2tp remote address pool 1 ip address 10.1.1.1 255.255.255.0 # interface NULL0 # interface GigabitEthernet0/0 port link-mode route ip address 172.32.15.10 255.255.0.0 # interface GigabitEthernet0/1 port link-mode route ip address 202.115.11