拓展任务9-2 配置Client-Initiated场景下的L2TP over IPSec VPN使出差员工安全访问内网资源

某企业移动办公用户通过L2TPoverIPSec隧道访问企业内网组网示意如图9-1所示，路由器R1模拟ISP的路由器。企业外网的移动办公用户能够通过L2TP隧道访问企业内网的各种资源，由于L2TP隧道没有安全保护，还需要在L2TP隧道之外再封装IPSec隧道，对访问企业内网的流量进行加密保护。图9-1移动办公用户通过L2TPoverIPSecVPN隧道访问企业内网组网示意【配置思路】配置LNS的接口IP地址、路由和安全区域，完成基本网络参数配置。配置LNS的L2TP，完成服务器侧的参数配置。配置其他网络设备，实现网络互联互通。配置移动客户端，完成L2TP用户侧的参数配置。验证和调试，检查是否实现任务需求。【配置步骤】步骤1：配置LNS基本网络参数根据组网需要，在LNS上配置接口IP地址、路由及安全区域，完成网络基本参数配置。配置接口IP地址<LNS>system-view[LNS]interfaceGigabitEthernet1/0/1[LNS-GigabitEthernet1/0/1]ipaddress24[LNS-GigabitEthernet1/0/1]quit[LNS]interfaceGigabitEthernet1/0/2[LNS-GigabitEthernet1/0/2]ipaddress24[LNS-GigabitEthernet1/0/2]quit接口加入安全区域[LNS]firewallzoneuntrust[LNS-zone-untrust]addinterfaceGigabitEthernet1/0/1[LNS-zone-untrust]quit[LNS]firewallzonetrust[LNS-zone-trust]addinterfaceGigabitEthernet1/0/2[LNS-zone-trust]quit配置缺省路由[LNS]iproute-static步骤2：配置LNS基本网络参数配置地址池[LNS]ippoolpool//该地址池为接入用户分配私网地址。[LNS-ip-pool-pool]section100[LNS-ip-pool-pool]quit说明：如果真实环境中地址池地址和总部内网地址配置在了同一网段，则必须在LNS连接总部网络的接口上开启ARP代理功能，保证LNS可以对总部网络服务器发出的ARP请求进行应答。配置业务方案[LNS]aaa[LNS-aaa]service-schemel2tp//创建一个业务方案，并进入业务方案视图[LNS-aaa-service-l2tp]ip-poolpool//设置业务方案下的IP地址池[LNS-aaa-service-l2tp]quit配置认证域及用户[LNS-aaa]domaindefault//进入default域[LNS-aaa-domain-default]service-typel2tp//配置认证域的接入控制类型[LNS-aaa-domain-default]quit[LNS]user-managegroup/default/marketing//创建用户组，并进入用户组视图[LNS-usergroup-/default/marketing]quit[LNS]user-manageuseruser0001//创建用户，并进入用户视图[LNS-localuser-user0001]parent-group/default/marketing//将用户加入组[LNS-localuser-user0001]passwordHuawei@123//设置用户密码[LNS-localuser-user0001]quit配置VT接口[LNS]interfaceVirtual-Template1//创建VT接口，并进入接口视图[LNS-Virtual-Template1]ipaddress24[LNS-Virtual-Template1]pppauthentication-modechap//设置本端PPP协议对远端设备的验证方式[LNS-Virtual-Template1]remoteservice-schemel2tp//指定为对端分配地址时使用哪个业务方案下的IP地址池[LNS-Virtual-Template1]quit[LNS]firewallzonedmz[LNS-zone-dmz]addinterfaceVirtual-Template1//VT接口加入安全区域[LNS-zone-dmz]quit配置L2TP组[LNS]l2tpenable//启用L2TP功能[LNS]l2tp-group1//创建并进入L2TP组[LNS-l2tp-1]allowl2tpvirtual-template1remoteclient//指定接受呼叫时隧道对端的名称（client）及所使用的Virtual-Template[LNS-l2tp-1]tunnelauthentication//启用L2TP的隧道验证功能[LNS-l2tp-1]tunnelpasswordcipherHello123//指定隧道验证时的密码[LNS-l2tp-1]quit步骤3：配置IPSec定义被保护的数据流[LNS]acl3000//使用acl匹配受保护的数据流，匹配的流量将进入VPN隧道转发[LNS-acl-adv-3000]rule5permitudpsource-porteq1701[LNS-acl-adv-3000]quit说明：由于L2TPoverIPSec是先对报文进行L2TP封装，再进行IPSec封装，故此处使用L2TP报文的源端口1701作为匹配条件。所有经过了L2TP封装的报文都走IPSec隧道。配置IKE安全提议[LNS]ikeproposal10//创建IKE安全提议，并进入IKE安全提议视图[LNS-ike-proposal-10]authentication-methodpre-share//配置IKE安全联盟协商时使用的认证方法。其中，pre-share为预共享密钥验证[LNS-ike-proposal-10]prfhmac-sha2-256//用来配置IKEv2协商时所使用的伪随机数产生函数的算法[LNS-ike-proposal-10]encryption-algorithmaes-256//配置IKE协商时所使用的加密算法[LNS-ike-proposal-10]dhgroup5//配置IKE协商时所使用的DH组[LNS-ike-proposal-10]integrity-algorithmhmac-sha2-256//配置IKEv2协商时所使用的完整性算法[LNS-ike-proposal-10]quit配置IKE对等体[LNS]ikepeerb//创建IKE对等体，并进入IKE对等体视图[LNS-ike-peer-b]ike-proposal10//配置IKE对等体使用的IKE安全提议[LNS-ike-peer-b]pre-shared-keyTest!1234//配置对等体IKE协商采用预共享密钥认证时，IKE用户所使用的预共享密钥[LNS-ike-peer-b]quit配置IPSec安全提议[LNS]ipsecproposaltran1//创建IPSec安全提议，并进入IPSec安全提议视图[LNS-ipsec-proposal-tran1]espauthentication-algorithmsha2-256//配置ESP协议使用的认证算法[LNS-ipsec-proposal-tran1]espencryption-algorithmaes-256//配置ESP协议使用的加密算法[LNS-ipsec-proposal-tran1]quit配置策略模板方式的IPSec安全策略[LNS]ipsecpolicy-templatepolicy_temp1//创建IPSec安全策略模板，并进入安全策略模板视图[LNS_ipsec-policy-template-policy_temp-1]securityacl3000[LNS_ipsec-policy-template-policy_temp-1]proposaltran1[LNS_ipsec-policy-template-policy_temp-1]ike-peerb[LNS_ipsec-policy-template-policy_temp-1]quit[LNS]ipsecpolicymap110isakmptemplatepolicy_temp//创建IPSec安全策略并应用安全策略模板接口上应用IPSec安全策略[LNS]interfaceGigabitEthernet1/0/1[LNS-GigabitEthernet1/0/1]ipsecpolicymap1//在当前接口上应用IPSec安全策略组[LNS-GigabitEthernet1/0/1]quit说明：IPSec安全策略模板用于定义IPSec协商需要的各种参数，IPSec模板中有些参数可以不定义，未定义的可选参数由发起方来决定，而响应方会接受发起方的建议。通过引用IPSec安全策略模板创建的IPSec安全策略称为策略模板方式IPSec安全策略。配置了策略模板方式IPSec安全策略的一端不能主动发起协商，只能作为协商响应方接受对端的协商请求。配置策略模板方式IPSec安全策略可以简化多条IPSec隧道建立时的配置工作量。同时可满足特定的场景，如对端的IP地址不固定或预先未知的情况（例如对端是通过PPPoE拨号获得的IP地址）下，允许这些对端设备向本端设备主动发起协商。与ISAKMP方式不同的是，用于定义数据流保护范围的ACL在这种方式下是可选的，该参数在未配置的情况下，相当于支持最大范围的保护，即接受协商发起方的ACL配置。步骤4：配置安全策略配置trust与dmz之间的安全策略，允许移动办公用户访问总部内网以及总部内网访问移动办公用户的双向业务流量通过；配置从untrust到local方向的安全策略，允许L2TP报文通过。配置trust与dmz间安全策略[LNS]security-policy[LNS-policy-security]rulenamepolicy1[LNS-policy-security-rule-policy1]source-zonetrustdmz[LNS-policy-security-rule-policy1]destination-zonedmztrust[LNS-policy-security-rule-service_dt]source-address24[LNS-policy-security-rule-policy1]source-address24[LNS-policy-security-rule-policy1]destination-address24[LNS-policy-security-rule-service_dt]destination-address24[LNS-policy-security-rule-policy1]actionpermit[LNS-policy-security-rule-policy1]quit配置从untrust到local的安全策略[LNS-policy-security]rulenamepolicy2[LNS-policy-security-rule-policy2]source-zoneuntrustlocal[LNS-policy-security-rule-policy2]destination-zonelocaluntrust[LNS-policy-security-rule-policy2]destination-address32[LNS-policy-security-rule-policy2]actionpermit[LNS-policy-security-rule-policy2]quit步骤4：配置其他网络设备配置R1<R1>system-view[R1]interfaceGigabitEthernet0/0/1[R1-GigabitEthernet0/0/1]ipaddress24[R1-GigabitEthernet0/0/1]quit[R1]interfaceGigabitEthernet0/0/2[R1-GigabitEthernet0/0/2]ipaddress24[R1-GigabitEthernet0/0/2]quit配置服务器配置内网服务器的IP地址和网关，网关设置为防火墙内网口的IP地址。具体配置方法略。步骤5：配置移动办公用户UniVPNClient是一款用于VPN远程接入的终端软件，主要为移动办公用户远程访问企业内网资源提供安全、便捷的接入服务。。本任务使用UniVPNClient接入L2TPVPN。下载并安装UniVPN下载（/doc/article/103107.html）UniVPNClient并安装。步骤略。配置UniVPN打开UniVPN，进入主界面，单击“新建连接”。在“新建连接”窗口左侧导航栏中选中“L2TP/IPSec”，并配置相关的连接参数。其中，特别注意，要勾选“启用IPSec”安全协议，IPSec相关参数（如验证算法、加密算法、封装模式、DH组等）必须与LNS上配置的安全提议参数保持一致。然后单击“确定”。单击“连接”，在登录界面输入用户名、密码。单击“登录”，发起VPN连接。VPN接入成功时，系统会在界面右下角进行提示。连接成功后移动办公用户就可以和企业内网用户一样访问内网资源。步骤4：验证和调试网络连通测试以ping测试为例，可以在移动办公用户终端上ping通内网服务器（0）。查看L2TP隧道在LNS上执行display

l2tp

tunnel、display

l2tp

session命令，查看到有L2TP隧道信息和会话信息，说明L2TP隧道建立成功。<LNS>displayl2tptunnel2025-02-2413:21:03.170L2TP::TotalTunnel:1LocalTIDRemoteTIDRemoteAddressPortSessionsRemoteNameVpnInstance------------------------------------------------------------------------------186106601client------------------------------------------------------------------------------Total1,1printed<LNS>displayl2tpsession2025-02-2413:21:32.890L2TP::TotalSession:1LocalSIDRemoteSIDLocalTIDRemoteTIDUserIDUserNameVpnInstance------------------------------------------------------------------------------186186260user0001------------------------------------------------------------------------------Total1,1printed（3）查看IPSec安全联盟在LNS上执行display

ikesa、display

ipsecsa命令，查看到ike安全联盟和ipsec安全联盟创建成功。<LNS>displayikesa2025-02-2413:22:52.920IKESAinformation:Conn-IDPeerVPNFlag(s)PhaseRemoteTypeRemoteID------------------------------------------------------------------------------------------------200:5524RD|Av1:2IP100:5524RD|Av1:1IP