h12731認(rèn)證精英hcie security v15培訓(xùn)與實(shí)驗(yàn)手冊(cè)hcscel2tp over ipsec技術(shù)

L2TPOverIPSec技術(shù)目標(biāo)學(xué)完本課程后，您將能夠:了解L2TPVPN的工作原理了解L2TPoverIPSec的工作原理掌握L2TPoverIPSecVPN的配置方法目錄L2TP技術(shù)原理L2TPoverIPSec工作原理L2TPoverIPSec配置L2TP簡(jiǎn)介L(zhǎng)2TP提供了對(duì)PPP鏈路層數(shù)據(jù)幀的隧道（Tunnel）傳輸支持，允許二層鏈路端點(diǎn)和PPP會(huì)話點(diǎn)駐留在不同設(shè)備上，擴(kuò)展了PPP模型。在L2TP中，用戶通過PPP撥號(hào)到LAC（L2TPAccessConcentrator，L2TP訪問集中器）即NAS設(shè)備（NetworkAccessServer）上，LAC通過L2TP隧道將PPP報(bào)文透明傳輸?shù)絃NS（L2TPNetworkServer，L2TP網(wǎng)絡(luò)服務(wù)器），LNS隨即與用戶建立PPP連接。即PPP的二層鏈路端點(diǎn)為L(zhǎng)AC，而PPP的會(huì)話終止點(diǎn)為L(zhǎng)NS。L2TP中，LAC和LNS分別對(duì)用戶進(jìn)行認(rèn)證，從而大大提高了用戶接入的安全性。L2TP的角色在L2TP中，網(wǎng)絡(luò)組件包括以下三個(gè)部分：用戶（也可稱作接入用戶、客戶端、撥號(hào)用戶）LACLNSL2TP的特點(diǎn)靈活的身份驗(yàn)證機(jī)制以及高度的安全性多協(xié)議傳輸支持RADIUS服務(wù)器的驗(yàn)證支持內(nèi)部地址分配可靠性L2TP應(yīng)用場(chǎng)景——NAS-InitiatedVPN用戶通過PPPoE撥入LAC，觸發(fā)LAC和LNS之間建立隧道。L2TP應(yīng)用場(chǎng)景——LAC自動(dòng)撥號(hào)LAC與LNS之間建立一條永久性L2TP會(huì)話?？蛻舳瞬挥肞PP撥號(hào)，而通過IP連接即可在隧道中傳輸數(shù)據(jù)。這種組網(wǎng)也適用于分支機(jī)構(gòu)接入總部，用于分支機(jī)構(gòu)員工訪問總部頻率較高的情況。L2TP應(yīng)用場(chǎng)景——Client-InitiatedVPN支持L2TP撥號(hào)的客戶端可直接向LNS發(fā)起隧道連接請(qǐng)求，無需再經(jīng)過一個(gè)單獨(dú)的LAC設(shè)備。此場(chǎng)景適用于出差員工使用PC、手機(jī)等移動(dòng)設(shè)備接入總部服務(wù)器，實(shí)現(xiàn)移動(dòng)辦公。L2TP隧道和會(huì)話建立過程在LNS和LAC對(duì)之間存在著兩種類型的連接：隧道（Tunnel）連接：它定義了互相通信的兩個(gè)實(shí)體LNS和LAC。在一對(duì)LAC和LNS之間可以建立多個(gè)L2TP隧道，隧道由一個(gè)控制連接和至少一個(gè)會(huì)話（Session）組成。L2TP首先需要建立L2TP隧道，然后在L2TP隧道上建立會(huì)話連接，最后建立PPP連接。所有的L2TP需要承載的數(shù)據(jù)信息都是在PPP連接中進(jìn)行傳遞的。會(huì)話（Session）連接：它復(fù)用在隧道連接之上，用于表示承載在隧道連接中的每個(gè)PPP連接過程。會(huì)話是有方向的，從LAC向LNS發(fā)起的會(huì)話叫做ing會(huì)話，從LNS向LAC發(fā)起的會(huì)話叫做Outgoing會(huì)話。L2TP隧道和會(huì)話建立過程——NAS-InitiatedVPNNAS-InitiatedVPN場(chǎng)景中，一對(duì)LAC和LNS的連接可存在多條隧道；一條隧道中可承載多條會(huì)話。L2TP隧道和會(huì)話建立過程——LAC自動(dòng)撥號(hào)LAC自動(dòng)撥號(hào)場(chǎng)景中，LAC和LNS之間建立一條永久的隧道，且僅承載一條永久的L2TP會(huì)話和PPP連接。L2TP會(huì)話和PPP連接只存在于LAC和LNS之間。L2TP隧道和會(huì)話建立過程——Client-InitiatedVPNClient-InitiatedVPN中，每個(gè)接入用戶和LNS之間均建立一條隧道；每條隧道中僅承載一條L2TP會(huì)話和PPP連接。L2TP控制消息和數(shù)據(jù)消息控制消息：控制消息用于隧道和會(huì)話連接的建立、維護(hù)以及傳輸控制，位于隧道和會(huì)話建立過程中?？刂葡⒌膫鬏斒强煽總鬏敚⑶抑С謱?duì)控制消息的流量控制和擁塞控制。包括控制報(bào)文、會(huì)話報(bào)文等?？刂茍?bào)文：用于建立和拆除、維持隧道會(huì)話報(bào)文：用于建立和拆除會(huì)話數(shù)據(jù)消息：用于承載用戶的PPP連接數(shù)據(jù)報(bào)文，并在隧道上進(jìn)行傳輸。數(shù)據(jù)消息的傳輸是不可靠傳輸，若數(shù)據(jù)報(bào)文丟失，不予重傳。不支持對(duì)數(shù)據(jù)消息的流量控制和擁塞控制。L2TP控制消息和數(shù)據(jù)消息消息類別報(bào)文類別作用控制消息控制報(bào)文SCCRQ控制連接發(fā)啟請(qǐng)求。SCCRP接受了對(duì)端連接請(qǐng)求，隧道的建立過程可以繼續(xù)。SCCCN對(duì)SCCRP的回應(yīng)，完成隧道的建立。StopCCN由LAC或者LNS發(fā)出，通知對(duì)端隧道將要停止。HELLO隧道?；羁刂葡?。會(huì)話報(bào)文ICRQ請(qǐng)求在已經(jīng)建立的隧道中建立會(huì)話。ICRP用來回應(yīng)ICRQ，表示ICRQ成功。ICCN用來回應(yīng)ICRP，L2TP會(huì)話建立完成。CDN由LAC或者LNS發(fā)出，通知對(duì)端會(huì)話將要停止。數(shù)據(jù)消息數(shù)據(jù)報(bào)文承載用戶的PPP連接數(shù)據(jù)報(bào)文。NAS-InitiatedVPN隧道和會(huì)話的建立NAS-InitiatedVPN場(chǎng)景和Client-InitiatedVPN場(chǎng)景下，隧道是由PPP連接觸發(fā)建立的。NAS-InitiatedVPN場(chǎng)景中，LAC同時(shí)作為PPPoEServer為接入用戶（PPPoEClient）提供L2TP服務(wù)。當(dāng)Client和LAC建立了PPP連接以后，LAC連接相應(yīng)的LNS觸發(fā)L2TP隧道。以LAC使用CHAP認(rèn)證為例，L2TP建立過程如左圖所示。NAS-InitiatedVPN組網(wǎng)數(shù)據(jù)封裝過程LAC自動(dòng)撥號(hào)隧道和會(huì)話的建立同觸發(fā)建立隧道方式不同，LAC自動(dòng)撥號(hào)是無需觸發(fā)的永久隧道。一旦配置完畢，即可建立永久隧道，LAC為L(zhǎng)NS的唯一的客戶端。LAC自動(dòng)撥號(hào)組網(wǎng)數(shù)據(jù)封裝過程Client-InitiatedVPN隧道和會(huì)話的建立Client-InitiatedVPN場(chǎng)景下，隧道建立過程與NAS-InitiatedVPN相似。Client-InitiatedVPN場(chǎng)景相當(dāng)于將Client和LAC合為了一個(gè)整體。Client-InitiatedVPN組網(wǎng)數(shù)據(jù)封裝過程L2TP認(rèn)證方式L2TP支持使用PAP和CHAP兩種方式進(jìn)行PPP認(rèn)證。LAC自主撥號(hào)場(chǎng)景：LAC側(cè)不對(duì)用戶進(jìn)行認(rèn)證，只在LNS側(cè)對(duì)LAC配置的用戶進(jìn)行PPP認(rèn)證（PAP或CHAP）。Client-InitiatedVPN場(chǎng)景：在LNS側(cè)對(duì)用戶進(jìn)行PPP認(rèn)證（PAP或CHAP）。NAS-InitiatedVPN場(chǎng)景：L2TP可對(duì)用戶進(jìn)行兩次PPP認(rèn)證，第一次發(fā)生在LAC側(cè)，第二次發(fā)生在LNS側(cè)。只有一種情況LNS側(cè)不對(duì)接入用戶進(jìn)行二次認(rèn)證：?jiǎn)⒂肔CP重協(xié)商后，不在相應(yīng)的VT接口上配置認(rèn)證。這時(shí)，用戶只在LAC側(cè)接受一次認(rèn)證。目錄L2TP技術(shù)原理L2TPoverIPSec工作原理L2TPoverIPSec配置L2TPoverIPSec介紹總部網(wǎng)關(guān)FWA和分部網(wǎng)關(guān)FWB已經(jīng)建立了NAS-Initiated方式的L2TP隧道，現(xiàn)需要在L2TP隧道之外再封裝IPSec隧道，對(duì)總部和分部的通信進(jìn)行加密保護(hù)。Internet1.1.1.1/24FWA(LNS)總部分部IPSec隧道L2TP隧道3.3.3.3/24PCPPPoEClientFWB(LAC)L2TPoverIPSec傳輸模式L2TPoverIPSec報(bào)文封裝（傳輸模式）在傳輸模式中，AH頭或ESP頭被插入到新的IP頭與UDP頭之間。傳輸模式不改變L2TP封裝后的報(bào)文頭，IPSec隧道的源和目的地址就是L2TP封裝后的源和目的地址。L2TPoverIPSec隧道模式在隧道模式中，AH頭或ESP頭被插到新的IP頭之前，另外再生成一個(gè)新的報(bào)文頭放到AH頭或ESP頭之前：L2TPoverIPSec報(bào)文封裝（隧道模式）目錄L2TP技術(shù)原理L2TPoverIPSec工作原理L2TPoverIPSec配置配置舉例——L2TPoverIPSec分支機(jī)構(gòu)通過L2TPoverIPSec方式訪問總部。配置舉例——配置規(guī)劃項(xiàng)目數(shù)據(jù)NGFW_A接口接口號(hào)：GigabitEthernet1/0/3，IP地址：10.1.1.1/24安全區(qū)域：Trust接口號(hào)：GigabitEthernet1/0/1，IP地址：1.1.3.1/24安全區(qū)域：UntrustIKE配置IKE版本：V1IKE協(xié)商模式：野蠻模式IKE驗(yàn)證身份類型：名稱IKE預(yù)共享密鑰：Test!123本端名稱：NGFW_A對(duì)端名稱：NGFW_BIPSec配置IPSec封裝模式：隧道模式IPSec安全協(xié)議：ESPESP協(xié)議驗(yàn)證算法：SHA2-256ESP協(xié)議加密算法：AESL2TP配置認(rèn)證方式：PAP隧道驗(yàn)證密碼：Pass1234配置舉例——配置規(guī)劃項(xiàng)目數(shù)據(jù)NGFW_B接口接口號(hào)：GigabitEthernet1/0/3，IP地址：10.1.2.1/24安全區(qū)域：Trust接口號(hào)：GigabitEthernet1/0/1，IP地址：1.1.5.1/24安全區(qū)域：UntrustIKE配置IKE版本：V1IKE協(xié)商模式：野蠻模式IKE驗(yàn)證身份類型：名稱IKE預(yù)共享密鑰：Test!123IKE對(duì)端IP地址：1.1.3.1本端名稱：NGFW_A對(duì)端名稱：NGFW_BIPSec配置IPSec封裝模式：隧道模式IPSec安全協(xié)議：ESPESP協(xié)議驗(yàn)證算法：SHA2-256ESP協(xié)議加密算法：AESL2TP配置認(rèn)證方式：PAP隧道驗(yàn)證密碼：Pass1234配置舉例——配置思路完成隧道兩端網(wǎng)關(guān)的接口基本配置、安全策略配置和路由配置。配置LAC端和LNS端的L2TP參數(shù)，包括創(chuàng)建虛擬接口模板、L2TP組參數(shù)等。在LAC端和LNS端創(chuàng)建用戶名、密碼，用于出差員工登錄。在LNS端創(chuàng)建IP地址池，分配給登錄的出差員工。隧道兩端設(shè)備分別通過配置高級(jí)ACL規(guī)則組來定義需要保護(hù)的數(shù)據(jù)流，即分支機(jī)構(gòu)和總部?jī)蓚€(gè)網(wǎng)段的通信數(shù)據(jù)。在NGFW_A和NGFW_B上分別配置IPSec安全提議、IKE安全提議和IKE對(duì)等體。配置舉例——配置NGFW_A（總部）1.配置各接口IP地址，并將接口加入安全區(qū)域。具體配置過程略。2.開啟域間安全策略。#開啟Trust和Untrust安全區(qū)域的域間策略，保證報(bào)文能夠正常發(fā)送。略。#開啟Local和Untrust安全區(qū)域的域間策略，保證隧道正常建立。略。3.配置達(dá)到分支機(jī)構(gòu)的靜態(tài)路由。[NGFW_A]iproute-static10.1.2.0255.255.255.01.1.3.24.配置L2TP用戶。[NGFW_A]user-manageuserl2tpuser[NGFW_A-localuser-l2tpuser]passwordPassword1[NGFW_A-localuser-l2tpuser]quit配置舉例——配置NGFW_A（總部）5.配置L2TP。#啟用L2TP功能。[NGFW_A]l2tpenable#配置IP地址池，為接入用戶分配地址。[NGFW_A]aaa[NGFW_A-aaa]domaindefault[NGFW_A-aaa-domain-default]ippool0192.168.0.2192.168.0.99[NGFW_A-aaa-domain-default]quit#配置虛擬模板接口Virtual-Template1。[NGFW_A]interfaceVirtual-Template1[NGFW_A-Virtual-Template1]pppauthentication-modepap[NGFW_A-Virtual-Template1]ipaddress1.1.1.2255.255.255.0[NGFW_A-Virtual-Template1]remoteaddresspool0[NGFW_A-Virtual-Template1]quit#創(chuàng)建L2TP組。[NGFW_A]l2tp-group1#配置LNS端接受L2TP隧道呼叫時(shí)使用的虛擬接口模板。[NGFW_A-l2tp1]allowl2tpvirtual-template1#配置L2TP隧道進(jìn)行驗(yàn)證時(shí)的密碼。[NGFW_A-l2tp1]tunnelpasswordcipherPass1234配置舉例——配置NGFW_A（總部）6.配置IPSec。#配置ACL，定義需要保護(hù)的數(shù)據(jù)流。[NGFW_A]acl3000[NGFW_A-acl-adv-3000]rulepermitipsource1.1.3.10destination1.1.5.10[NGFW_A-acl-adv-3000]quit#配置IPSec安全提議tran1。[NGFW_A]ipsecproposaltran1[NGFW_A-ipsec-proposal-tran1]encapsulation-modetunnel[NGFW_A-ipsec-proposal-tran1]transformesp[NGFW_A-ipsec-proposal-tran1]espauthentication-algorithmsha2-256[NGFW_A-ipsec-proposal-tran1]espencryption-algorithmaes[NGFW_A-ipsec-proposal-tran1]quit#配置IKE安全提議。[NGFW_A]ikeproposal10[NGFW_A-ike-proposal-10]authentication-methodpre-share[NGFW_A-ike-proposal-10]authentication-algorithmsha2-256[NGFW_A-ike-proposal-10]quit配置舉例——配置NGFW_A（總部）#配置IKE本地名稱。[NGFW_A]ikelocal-nameNGFW_A#配置IKEpeer。[NGFW_A]ikepeera[NGFW_A-ike-peer-a]undoversion2[NGFW_A-ike-peer-a]exchange-modeaggressive[NGFW_A-ike-peer-a]local-id-typefqdn[NGFW_A-ike-peer-a]remote-idNGFW_B[NGFW_A-ike-peer-a]ike-proposal10

[NGFW_A-ike-peer-a]pre-shared-keyTest!123[NGFW_A-ike-peer-a]quit#配置IPSec安全策略模板map_temp。[NGFW_A]ipsecpolicy-templatemap_temp1[NGFW_A-ipsec-policy-templet-map_temp-1]securityacl3000[NGFW_A-ipsec-policy-templet-map_temp-1]proposaltran1[NGFW_A-ipsec-policy-templet-map_temp-1]ike-peera[NGFW_A-ipsec-policy-templet-map_temp-1]quit[NGFW_A]ipsecpolicymap110isakmptemplatemap_temp#在接口GigabitEthernet1/0/1上應(yīng)用安全策略map1。[NGFW_A]interfaceGigabitEthernet1/0/1[NGFW_A-GigabitEthernet1/0/1]ipsecpolicymap1[NGFW_A-GigabitEthernet1/0/1]quit配置舉例——配置NGFW_B（分支）1.配置各接口IP地址，并將接口加入安全區(qū)域。具體配置過程略。2.開啟域間安全策略。#開啟Trust和Untrust安全區(qū)域的域間策略，保證報(bào)文能夠正常發(fā)送。略。#開啟Local和Untrust安全區(qū)域的域間策略，保證隧道正常建立。略。3.配置達(dá)到分支機(jī)構(gòu)的靜態(tài)路由。[NGFW_B]iproute-static10.1.1.0255.255.255.01.1.5.24.配置L2TP用戶。[NGFW_B]user-manageuserl2tpuser[NGFW_B-localuser-l2tpuser]passwordPassword1[NGFW_B-localuser-l2tpuser]quit配置舉例——配置NGFW_B（分支）5.配置L2TP。#啟用L2TP功能。[NGFW_B]l2tpenable#配置虛擬模板接口Virtual-Template1。[NGFW_B]interfaceVirtual-Template1[NGFW_B-Virtual-Template1]pppauthentication-modepap[NGFW_B-Virtual-Template1]quit#配置接口GigabitEthernet1/0/3綁定虛擬接口模板。[NGFW_B]interfaceGigabitEthernet1/0/3[NGFW_B-GigabitEthernet1/0/3]pppoe-serverbindvirtual-template1[NGFW_B-GigabitEthernet1/0/3]quit#

創(chuàng)建L2TP組。[NGFW_B]l2tp-group1#

配置L2TP隧道進(jìn)行驗(yàn)證時(shí)的密碼。[NGFW_B-l2tp1]tunnelpasswordcipherPass1234#

配置用戶使用全名接入。[NGFW_B-l2tp1]startl2tpip1.1.3.1fullusernamel2tpuser[NGFW_B-l2tp1]quit配置舉例——配置NGFW_B（分支）6.配置IPSec。#配置ACL，定義需要保護(hù)的數(shù)據(jù)流。[NGFW_B]acl3000[NGFW_B-acl-adv-3000]rulepermitipsource1.1.5.10destination1.1.3.10[NGFW_B-acl-adv-3000]quit#配置IPSec安全提議tran1。[NGFW_B]ipsecproposaltran1[NGFW_B-ipsec-proposal-tran1]encapsulation-modetunnel[NGFW_B-ipsec-proposal-tran1]transformesp[NGFW_B-ipsec-proposal-tran1]espauthentication-algorithmsha2-256[NGFW_B-ipsec-proposal-tran1]espencryption-algorithmaes[NGFW_B-ipsec-proposal-tran1]quit#配置IKE安全提議。[NGFW_B]ikeproposal10[NGFW_B-ike-proposal-10]authentication-methodpre-share[NGFW_B-ike-proposal-10]authentication-algorithmsha2-256[NGFW_B-ike-proposal-10]quit配置舉例——配置NGFW_B（分支）#配置IKE本地名稱。[NGFW_B]ikelocal-nameNGFW_B#配置IKEpeer。[NGFW_B]ikepeerb[NGFW_B-ike-peer-b]undoversion2[NGFW_B-ike-peer-b]exchange-modeaggressive[NGFW_B-ike-peer-b]local-id-typefqdn[NGFW_B-ike-peer-b]remote-idNGFW_A[NGFW_B-ike-peer-b]ike-proposal10

[NGFW_B-ike-peer-b]remote-address1.1.3.1[NGFW_B-ike-peer-b]pre-shared-keyTest!123[NGFW_B-ike-peer-b]quit#配置采用IKE方式協(xié)商的IPSec安全策略map1。[NGFW_B]ipsecpolicymap110isakmp[NGFW_B-ipsec-policy-isakmp-map1-10]securityacl3000[NGFW_B-ipsec-policy-isakmp-map1-10]proposaltran1[NGFW_B-ipsec-policy-isakmp-map1-10]ike-peerb[NGFW_B-ipsec-policy-isakmp-map1-10]quit#在接口GigabitEthernet1/0/1上應(yīng)用安全策略map1。[NGFW_B]interfaceGigabitEthernet1/0/1[NGFW_B-GigabitEthernet1/0/1]ipsecpolicymap1[NGFW_B-Gi