IPSEC OVER L2TP 培训胶片.ppt

1、IPSEC OVER L2TP培训,基本慨念 银联工程介绍 业务配置 .如何验证配置是否正确和排错,IPSEC OVER L2TP培训,相关慨念介绍,IPSEC 协议：族是IETF（INTERNET ENGINEERING TASK FORCE）制定的一系列协议，它为IP 数据报提供了高质量的、可互操作的、基于密码学的安全性。特定的通信各方面IP 层通过加密与数据源认证等方式，来保证数据报在网络上传输时的私有性、完整性、真实性和防重放 L2TP ：二层VPN技术。 IPSEC OVER L2TP：即报文在LAC封装到IPSEC报文中，然后通过L2TP隧道发送到对端。,基本慨念 银联工程介绍 业

2、务配置 .如何验证配置是否正确和排错,IPSEC OVER L2TP培训,银联情况介绍,银联，用户大约2000台POS终端，与银联中心服务器组建成VPN网络。客户端通过ADSL接入INTERNET，银联中心服务器以FE专线接入INTERNET。 网络拓扑为典型HUB-SPOKE方式，用户流量都是访问服务器，用户之间不需要互访。用户流量很小，最大流量不超过1KBPS。,。,的基本功能,支持客户端通过ADSL以动态IP地址接入VPN 支持分支机与业务服务器之间业务互访 分支机构之间实现业务隔离 分支机构与INTERNET实现业务隔离 支持VPN用户的接入合法性验证 支持典型加密算法如DES/3DE

3、S, AES等 支持典型验证算法如MD5, SHA1等,VPN增强管理功能,VPN增强管理功能 VPN SERVER提供主机备份功能 用户管理功能 网络部署及扩展性 VPN网络安全,IPSEC OVER L2TP 在工程中应用介绍,VPN安全采用L2TP加IPSEC进行双重保证：VPN客户端作为L2TP的LAC，分别配置主备VPN SERVER作为LNS，当主SERVER断线时，LAC尝试连接失败后会切换到备份SERVER，在LAC与LNS之间的三层数据可以同时启用IPSEC加密，保证数据的安全性。在AR46上可配置IPSEC通用模板，可以大大简化SERVER端的IPSEC配置。,Quidwa

4、y Eudemon-200,AR46-40,AR46-40,AR18,AR18,AR18,银联内部防火墙,银联交换机,组网图,Quidway Eudemon-200,组网描述,中心端：中心端配置两台AR4640-VS作为主备VPN SERVER，配置两台防火墙作为外网防护。每台VPN SERVER双归属到两台防火墙，VPN SERVER和防火墙之间启动OSPF动态路由协议。保证任何一台VPN SERVER出现软/硬件故障或者VPN SERVER和防火墙之间的链路出现故障时，防火墙能够自动选路到备用VPN SERVER或者备用链路上。保证整个链路的可用性。中心端放置一台三层交换机S3528G，S

5、3528G双连接到两台防火墙，三层交换机和防火墙之间启用OSPF动态路由协议，当任何一台防火墙出现软/硬件故障或者时三层交换机和防火墙之间的链路出现故障时，能够动态的切换到备用防火墙或者备用链路上。认证计费系统通过三层交换机接入到VPN SERVER，在防火墙上启用相应的安全策略，保证认证计费系统的安全性。,组网描述,接入端：接入端路由器采用高性能ADSL路由器，直接通过ADSL链路接入天津网通城域网。ADSL路由器启动PPPOE自动拨号功能，完成拨号接入工作。同时，ADSL路由器启用L2TP +IP SEC功能，实现双层加密，同时实现用户名，密码的实时认证功能。接入路由器配置主备VPN SE

6、RVER的地址，ADSL路由器初次上线时，会主动向主用VPN SERVER发起连接请求，如果尝试3次后没有相应，则会向备用VPN SERVER发连接请求。保证任何一台VPN SERVER出现故障时，ADSL 路由器依然能够接入VPN网络。,业务实现流程,客户端可以配置主备SERVER的IP地址，首先向主SERVER发起L2隧道连接。在服务器侧对连接请求进行初步合法验证，验证方法包括AAA或本地验证，用户数量较少时可以使用本地验证，用户数较多时通过AAA向CAMS进行验证。验证通过后，客户端建立与SERVER之间的二层隧道, L2隧道承载的业务数据流通过IP SEC进行加密。 二层隧道建立成功后

7、，业务数据流通过IP SEC加密。IPSEC为IP协议栈提供在IP层实施的一系列安全服务,为IP及其上层提供保护，可以支持数据加密（支持常见的3DES/AES加密算法），数据完整性验证，数据身份验证，充分保证业务数据的安全性。,Quidway Eudemon-200,AR46-40,AR46-40,AR18,AR18,AR18,银联内部防火墙,银联交换机,可扩展性,Quidway Eudemon-200,基本慨念 银联工程介绍 业务配置 .如何验证配置是否正确和排错,IPSEC OVER L2TP培训,业务配置说明,服务器端 ： 一L2TP业务的基本配置 二IPSEC业务的配置 三VT的建立并

8、引用IPSEC 四路由的配置 五如果是本地验证需配相应的用户名和密码（下面分别是给用户HUAWEI 和HUAWEI1进行开户,业务配置说明,客户端 ： 一L2TP 业务的配置 二IPSEC的业务配置 三拨号的配置 四VT配置 五路由的配置 六用户名和密码的配置,配置详细说明,服务器端 ： L2TP业务的基本配置 L2TP ENABLE / 使能L2TP L2TP-GROUP 1 / L2TP组 UNDO TUNNEL AUTHENTICATION / 不对L2TP 进行隧道验证 ALLOW L2TP VIRTUAL-TEMPLATE 10 TUNNEL NAME LNS_1 / 隧道本端名 为

9、LNS,业务配置说明,IPSEC业务的配置 IKE PEER TEST / 创建安全提议，并进入安全提议视图 EXCHANGE-MODE AGGRESSIVE / 模式为AGGRESSIVE PRE-SHARED-KEY HUAWEI / 密钥为 HUAWEI # IPSEC PROPOSAL TRAN1 / 创建安全提议，并进入安全提议视图 ESP AUTHENTICATION-ALGORITHM SHA1 /配置ESP协议采用的认证算法 ESP ENCRYPTION-ALGORITHM AES 256 / 配置ESP协议采用的加密算法 # IPSEC POLICY-TEMPLATE TES

10、T 10 / 创建安全策略并进入安全策略 SECURITY ACL 3999 /配置安全策略并应用 IKE-PEER TEST /引用IKE PEER TEST PROPOSAL TRAN1 / 在安全策略摸板中引用安全提议 # IPSEC POLICY MAP1 10 ISAKMP TEMPLATE TEST / 在路由器上引用安全策略,业务配置说明,VT的建立并引用IPSEC INTERFACE VIRTUAL-TEMPLATE10 / 进入VT 并在VT下引用IPSEC策略 PPP AUTHENTICATION-MODE PAP DOMAIN HUAWEI IP ADDRESS 100.

11、1.1.1 255.255.0.0 IPSEC POLICY MAP1 #,业务配置说明,路由的配置 路由（静态，动态） 如果是本地验证需配相应的用户名和密码（下面分别是给用户HUAWEI 和HUAWEI1进行开户 LOCAL-USER HUAWEI PASSWORD SIMPLE HUAWEI SERVICE-TYPE PPP LOCAL-USER HUAWEI1 PASSWORD SIMPLE HUAWEI1 SERVICE-TYPE PPP,业务配置说明,客户端： L2TP 业务的配置 L2TP ENABLE 使能L2TP L2TP-GROUP 1 / L2TP组 UNDO TUNNEL

12、 AUTHENTICATION / 不对L2TP 进行隧道验证 TUNNEL NAME LAC_2 /隧道本端名 为LAC START L2TP IP 218.69.32.38 DOMAIN HUAWEI / 指定LNS的IP,业务配置说明,IPSEC的业务配置 IKE PEER TEST 创建名为 TEST 的IKE EXCHANGE-MODE AGGRESSIVE PRE-SHARED-KEY HUAWEI 密钥为 HUAWEI REMOTE-ADDRESS 100.1.1.1 远端地址为100.1.1.1 # IPSEC PROPOSAL TRAN1 创建安全提议，并进入安全提议视图 E

13、SP AUTHENTICATION-ALGORITHM SHA1 配置ESP协议采用的认证算法 ESP ENCRYPTION-ALGORITHM AES 128 配置ESP协议采用的加密算法 # IPSEC POLICY MAP1 10 ISAKMP / 在路由器上引用安全策略 SECURITY ACL 3999 /配置安全策略并应用 IKE-PEER TEST /引用IKE PEER TEST PROPOSAL TRAN1 / 在安全策略摸板中引用安全提议,业务配置说明,VT配置： INTERFACE VIRTUAL-TEMPLATE10 / 进入VT 并在VT下引用IPSEC策略，L2TP

14、策略 PPP AUTHENTICATION-MODE PAP PPP PAP LOCAL-USER HUAWEI1HUAWEI PASSWORD SIMPLE HUAWEI1 L2TP-AUTO-CLIENT ENABLE IP ADDRESS 100.1.1.2 255.255.255.0 UNDO IP FAST-FORWARDING IPSEC POLICY MAP1 #,业务配置说明,路由的配置 路由（静态，动态）,业务配置说明,用户名和密码的配置： LOCAL-USER HUAWEI PASSWORD SIMPLE HUAWEI SERVICE-TYPE PPP LOCAL-USER HUAWEI1 PASSWORD SIMPLE HUAWEI1 SERVICE-TYPE PPP,基本慨念 银联工程介绍 业务配置 .如何验证配置是否正确和排错,IPSEC OVER L2TP培训,如何验证配置是否正确和排错,DISPLAY L2TP TUNNEL 本端TID 对端TID 对端IP地址 端口 会话数 对端名称 不挂断 DIS L2TP SESSION 本端SID 对端SID 本端TID 超时挂断剩余时间,如何验证配置是否正确和排错,DIS IPSEC TUNNEL - IPSEC 隧道的连接号 : 3 前习踩匦? NONE SA的SPI : 入方?: 6