说明02.hcie sec和参考1安全hc l2tp

1、HC13031063L2TP技术Copyright 2010Technologies Co.,.s.目标学完本课程后，您将能够:了解L2TP的相关组件和工作原理；掌握L2TP over IPsec的工作原理；在USG系列设备上熟练配置L2TP over IPsec；可以对L2TP over IPsec 进行故障排查和解决问题。Copyright 2010Technologies Co.,.s.Page 1目录L2TP 协议技术介绍L2TP over IPsec 实验演示1.2.场景2.1 Cnt-Initiated和排障3.L2TPCopyright 2010Technologies Co.,

2、.s.Page 2L2TP协议技术介绍VPDN（Virtual Private Dial-up Network，虚拟私有拨号网）PPP （PoProtocol）to PoCopyright 2010Technologies Co.,.s.Page 3L2TP协议技术介绍L2TP是IETF有关二层隧道协议的工业标准。L2TP源自于两个老的PPP隧道协议Cisco的Layer 2 ForwardingProtocol （L2F） 和L2TP自身不提供安全机制（的PPTP。ity/authentication ），IPSec是保障L2TP安全性的首选，也就是L2TP over IPSec。L2TP所

3、有数据都被封装在UDP/1701内。Copyright 2010Technologies Co.,.s.Page 4L2TP 协议介绍（Layer 2 Tunneling Protocol，二层隧道协议）L2TP协议组件用户LAC（L2TP Acs Concentrator，L2TP集中器）LNS（L2TP Network Server，L2TP网络服务器）Copyright 2010Technologies Co.,.s.Page 5L2TP协议的封装结构Copyright 2010Technologies Co.,.s.Page 6L2TP和L2TPoverIPsec封装结构L2TP和L2

4、TP over IPsec封装结构Copyright 2010Technologies Co.,.s.Page 7L2TP控制消息和数据消息控制消息用于隧道和会话连接的建立、以及传输控制。控制消息的传输是可靠传输，并且支持对控制消息的流量控制和拥塞控制。数据消息则用于封装PPP帧并在隧道上传输。数据消息的传输是不可靠传输，如果数据报文丢失，不予重传，不支持对数据消息的流量控制和拥塞控制。Copyright 2010Technologies Co.,.s.Page 8L2TP隧道和会话在LNS和LAC对之间存在着两种类型的连接：隧道（Tunnel）连接：它定义了互相通信的两个实体LNS和LAC。

5、会话（Ses）连接：它复用在隧道连接之上，用于表示承载在隧道连接中的每个PPP会话过程。Copyright 2010Technologies Co.,.s.Page 9L2TP的优点灵活的验证机制以及高度的安全性多协议传输支持RADIUS服务器的验证支持地址分配网络计费的灵活性可靠性Copyright 2010Technologies Co.,.s.Page 10L2TP隧道模式USG有三种方式可以建立连接：NAS-InitializedCnt-Initialized拨号LACCopyright 2010Technologies Co.,.s.Page 11目录L2TP 协议技术介绍L2TP

6、over IPsec 实验演示1.2.场景2.1 Cnt-Initiated和排障3.L2TPCopyright 2010Technologies Co.,.s.Page 12Cnt-Initiated的L2TP直接由接入用户（可为支持L2TP协议的PC）发起连接。此时接入用户可直接向LNS发起隧道连接请求，无需再经过一个单独的LAC设备。接入用户地址的分配由LNS来完成。由于LNS端需要为每个用户建立一条隧道，与NAS-Initiated场景相比，LNS端配置更复杂一些。与其他两种场景相比，其优点在于接入用户不受地域限制。此场景适用于出差员工使用PC、现移动办公。等移动设备接入总部服务器，实

7、Copyright 2010Technologies Co.,.s.Page 13Cnt-Initiated隧道和会话的建立Copyright 2010Technologies Co.,.s.Page 14Cnt-Initiated组网数据封装过程Copyright 2010Technologies Co.,.s.Page 15Cnt-Initiated实验演示L2TP隧道总部G0/0/1G0/0/010.1.1.0/24.254.254202.100.2.0/240202.100.1.0/24Copyright 2010Technologies Co.,.s.Page 16配置相关参数Cop

8、yright 2010Technologies Co.,.s.Page 17L2TP属性虚拟接口模板接口：Virtual-Template1IP地址池172.16.1.100 172.16.1.200PAP认证方式chap隧道验证Admin123用户账户用户名：user1：Password1用户认证方式本地认证IKE安全参数协商模式野蛮模式预共享密钥abcde认证名字名字Cnt: Cnt LNS : LNSIPsec安全参数封装模式隧道模式安全协议ESP封装加密算法AES-256验证算法SHA1基本网络配置()Copyright 2010Technologies Co.,.s.Page 18s

9、ysname LNS #erface GigabitEthernet 0/0/0 ip address 10.1.1.1 255.255.255.0 #erface GigabitEthernet 0/0/1ip address 202.100.2.1 255.255.255.0 #ip route-sic 0.0.0.0 0.0.0.0 202.100.2.254L2TP基础配置-1(LNS)配置接口加入安全区域(LNS)Virtual-Template 接口配置(LNS)Copyright 2010Technologies Co.,.s.Page 19firewall zone trust

10、adderface GigabitEthernet 0/0/0 #firewall zone untrustadderface GigabitEthernet 0/0/1adderface Virtual-Template 1aaaip pool 1 172.16.1.100 172.16.1.200 #erface Virtual-Template 1ip address 172.16.1.1 255.255.255.0remote address pool 1ppp authentication-mode chapL2TP基础配置-2(LNS)滤（LNS）配置Local和Untrust域间

11、滤（LNS）配置Trust和Untrust域间Copyright 2010Technologies Co.,.s.Page 20security poicyrule name Local_Untrust_L2TP source-zone localsource-zone untrust destination-zone local destination-zone untrust source-address 202.100.1.1 32source-address 202.100.2.1 32destination-address 202.100.1.1 32destination-addr

12、ess 202.100.2.1 32 action permitsecurity poicyrule name Trust_Untrust_L2TP source-zone trustsource-zone untrust destination-zone trust destination-zone untrust source-address 192.168.1.0 24source-address 10.1.1.0 24destination-address 192.168.1.0 24destination-address 10.1.1.0 24 action permitL2TP相关

13、配置L2TP相关配置（LNS）Copyright 2010Technologies Co.,.s.Page 21#开启 L2TP功能 l2tp enable#创建并配置L2TP组。 l2tp-group 1tunnel name LNSallow l2tp virtual-template 1 undo tunnel authentication aaalocal-user l2tpusassword cipher Password1local-user l2tpuser service-type ppp测试和验证LACdisplay l2tp tunnel04:00:37 2014/08/0

14、8Total tunnel = 1LocalTID RemoteTID RemoteAddressPortlnsSess RemoteName12202.100.2.117011LACdisplay l2tp ses04:01:01 2014/08/08Total sesLocalSID= 1RemoteSID 1LocalTID122Copyright 2010Technologies Co.,.s.Page 22测试和验证(PC总部Server)C:正在10.1.1.1010.1.1.10 具有 32 字节的数据:来自 10.1.1.10 的回复: 字节=32 时间=12ms TTL=12

15、6来自 10.1.1.10 的回复: 字节=32 时间=1ms TTL=126来自 10.1.1.10 的回复: 字节=32 时间1ms TTL=126来自 10.1.1.10 的回复: 字节=32 时间 L2TP L2TP”。2. 选择接受用户拨号的LNS组，并查看“隧道认证”和“隧道”的设置。2：L2TP隧道验证失败。 接入用户PC的查看方法，以Secoway C nt为例：1. 打开Secoway C nt，选中拨号连接，并单击“属性”。2. 选择“L2TP设置”页签，并查看“隧道验证”区域框的设置。如果两端隧道验证的配置一致，请进行其他项目的检查。LNS侧设置的“对端隧道名称”是否和接

16、入用户端配置的“隧道名称”一致，如果配置不一致，请在以下路径中修改。LNS侧查看方法：1. 选择“网络 L2TP L2TP”。2. 选择接受用户拨号的LNS组，并查看“对端隧道名称”的设置。3：隧道名称配置错误。接入用户PC的查看方法，以SecowayC nt为例：1. 打开Secoway C nt，选中拨号连接，并单击“属性”。2. 选择“L2TP设置”页签，在“基本信息”区域框中，查看“隧道名称”的设置。如果两端隧道名称配置一致，请进行其他项目的检查。Copyright 2010Technologies Co.,.s.Page 31PC通过L2TP拨号到LNS失败的故障处理Copyrigh

17、t 2010Technologies Co.,.s.Page 32可能原因定位处理方法4：接入用户拨号的用户名和LNS端配置的用户名不一致，导致接入用户PC无法从LNS地址池获取IP地址。1. 在LNS端选择“网络 L2TP L2TP”。2. 选择接受用户拨号的LNS组，并查看用户组和用户的配置。如果“用户组”不为“default”，则接入用户拨号使用的用户名应该带有。查看接入用户拨号的用户名是否和LNS端配置的用户名一致。如果不一致，则修改用户拨号使用的用户名。如果接入用户拨号的用户名和LNS端配置的用户名一致，请进行其他项目的检查。5：上线人数超过最大值，导致接入用户PC无法从LNS地址池

18、获取IP地址。1. 在LNS端选择“对象 用户 用户”。2. 在“用户列表”中，查看位于此认证域中的用户数是否超出了地址分配的地址数。选择接受用户拨号的LNS组，并查看“对端隧道名称”的设置。如果位于此认证域中的用户数已超出了地址 分配的地址数，说明上线人数已经超过域最大用户接入数。需要等待当前L2TP用户全部下线后，修改安全域最大用户接入数，即扩大地址池中地址的总数。PC通过L2TP方式拨号成功但业务不通Copyright 2010Technologies Co.,.s.Page 33可能原因定位处理方法1：接入用户PC上没有到达内网服务器的默认路由。拨号成功后，PC上会生成一条指向服务器地址（或拨号获取到的IP地址）的默认路由，即默认网关。该默认网关的作用是使得由PC发出的报文都经过拨号获得的私网IP来封装成L2TP报文，走L2TP隧道。但是有的PC拨号上线后没有生成默认网关（如双网卡的PC或者因网卡驱动实现不同等其他原因），因此没有内网业务的路由。1. 在LNS端选择“网络 L2TP L2TP”。2. 选择接受用户拨号的LNS组，在“用户地址分配设置”中，查看“服务器地址/子网掩码”的设置。3. 在PC的DOS环境下执行命令ipconfig/all，查看PC拨号后默认网关信息。4. 查看Default Gateway字段是否