论文部分内容阅读
前言:
在实际的5G交付过程中,部分企业用户总有这样的需求:企业在各地市均有营业网点,如何将网点数据通过5G_CPE设备进行远距离的安全的传输。现在,我们可以通过一台拥有公网地址的防火墙,在其上部署L2TP_VPN,连接了CPE设备的终端上配置客户端拨号的方式,将多台终端拨入同一个L2TP组内,实现多台终端的安全互联互通。
组网说明:
PC1和PC2通过公网传输或者直连可达防火墙,防火墙上,PC1和PC2之间没有互访路由。PC1和PC2通过向防火墙的L2TP服务器拨号,加入到L2TP_VPN实现安全互联。
以下是具体实现步骤:
步骤 1 配置LNS侧(防火墙)。
# 配置Eudemon防火墙作为LNS服务器的名称。
<Eudemon>system-view
[Eudemon] sysname LNS
# 配置Ethernet 1/0/1的IP地址。
[LNS] interface Ethernet 1/0/1
[LNS-Ethernet1/0/1] ip address 202.38.160.1 24
# 配置Ethernet 1/0/0的IP地址。
[LNS] interface Ethernet 1/0/0
[LNS-Ethernet1/0/0] ip address 192.168.1.1 24
[LNS-Ethernet1/0/0] quit
# 配置Ethernet 1/0/0加入Untrust安全区域。
[LNS] firewall zone trust
[LNS-zone-trust] add interface Ethernet 1/0/0
[LNS-zone-trust] quit
# 配置Ethernet 1/0/1加入Untrust安全區域。
[LNS] firewall zone untrust
[LNS-zone-untrust] add interface Ethernet 1/0/1
[LNS-zone-untrust] quit
#此处进行配置时可以将端口加入到不同的安全域,通过域间包过滤规则和安全策略进行更加具体的安全限制
# 创建并配置虚拟接口模板。
[LNS] interface Virtual-Template 1
[LNS-Virtual-Template1] ip address 10.110.1.1 24
[LNS-Virtual-Template1] pppauthentication-mode chap
[LNS-Virtual-Template1] remote address pool 1
[LNS-Virtual-Template1] quit
# 配置虚拟接口模板加入安全区域,可以加入LNS的任一安全区域。本例将虚拟接口模板与接收L2TP隧道报文的实际物理接口Ethernet 1/0/1加入同一安全区域。
[LNS] firewall zone untrust
[LNS-zone-trust] add interface Virtual-Template 1
[LNS-zone-trust] quit
# 使能L2TP功能。
[LNS] l2tp enable
# 创建L2TP组。
[LNS] l2tp-group 1
# 配置隧道本端名称。
[LNS-l2tp1] tunnel name lns
# 配置LNS端接受客户端呼叫时使用的虚拟接口模板。
[LNS-l2tp1] allow l2tp virtual-template 1
# 关闭L2TP隧道验证功能。
[LNS-l2tp1] undo tunnel authentication
[LNS-l2tp1] quit
# 进入AAA视图,创建域testvpdn,定义地址池,为拨入用户分配IP地址,创建本地用户名和密码并配置用户类型(应与用户侧配置一致)。
[LNS] aaa
[LNS-aaa] domain testvpdn
[LNS-aaa-domain-testvpdn] ip pool 1 10.110.1.20 10.110.1.80
[LNS-aaa-domain-testvpdn] quit
[LNS-aaa] local-user admin@testvpdn password simple admin123
[LNS-aaa] local-user admin@testvpdn service-type ppp
[LNS-aaa] quit
# 配置域间包过滤规则,允许LNS侧与隧道相连的接口所在的安全区域与Local安全区域互通。
[LNS] acl 3001
[LNS-acl-adv-3001] rule permit ip
[LNS] firewall interzoneuntrust local
[LNS-interzone-local-trust] packet-filter 3001 outbound [LNS-interzone-local-untrust] packet-filter 3001 inbound
步骤 2 终端PC侧调试。
#对于WIN7和WIN10系统,需要修改注册表,启动服务项:
1. 单击“开始”,单击“运行”,键入“regedit”,然后单击“确定”
2. 找到注册表的如下参数:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\Parameters中的AllowL2TPWeakCrypto项、AllowPPTPWeakCrypto项、ProhibitIpSec项;(若没有则按照下面步骤创建即可)以及HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent中的AssumeUDPEncapsulationContextOnSendRule項,再将所有“数值数据”,改为“1”。
3. 若没有上述几项参数,则在上级目录上点击“新建”->“DWORD值”
4. 在“名称”框中,键入“项名字”
5. 在“数值数据”框中,键入“1”
7. 单击“开始”,单击“运行”,键入“services.msc”,然后单击“确定”
8. 开启以R字母开头的Routing and Remote Access服务。
9.打开网络和共享中心。选择“设置新的连接或网络”,选择连接到工作区。
10.选择“使用我的Internet连接“”
11.键入一个防火墙上可达的IP地址,本例中,PC1使用192.168.1.1,PC2选择202.38.160.1作为拨号服务器的地址:
12.然后输入在防火墙aaa上配置的local-user用户admin并带上域名。
13.拨号完成,即可获取到10.110.1.20到10.110.1.80段地址池中分配的地址了。本例中,PC1和PC2分别获得了10.110.1.20和10.110.1.21两个地址,进行互Ping测试,发现二者可以通过防火墙建立的L2TP互通。而本身两者之间路由是不可达的。
作者简介:张淼,出生年月:1974/5/6,性别:男,民族:汉,籍贯(精确到市):山东省东营市,当前职务:东营联通智能网络中心技术总监,当前职称:中级工程师,学历:大学本科,研究方向:IP数据网络.
在实际的5G交付过程中,部分企业用户总有这样的需求:企业在各地市均有营业网点,如何将网点数据通过5G_CPE设备进行远距离的安全的传输。现在,我们可以通过一台拥有公网地址的防火墙,在其上部署L2TP_VPN,连接了CPE设备的终端上配置客户端拨号的方式,将多台终端拨入同一个L2TP组内,实现多台终端的安全互联互通。
组网说明:
PC1和PC2通过公网传输或者直连可达防火墙,防火墙上,PC1和PC2之间没有互访路由。PC1和PC2通过向防火墙的L2TP服务器拨号,加入到L2TP_VPN实现安全互联。
以下是具体实现步骤:
步骤 1 配置LNS侧(防火墙)。
# 配置Eudemon防火墙作为LNS服务器的名称。
<Eudemon>system-view
[Eudemon] sysname LNS
# 配置Ethernet 1/0/1的IP地址。
[LNS] interface Ethernet 1/0/1
[LNS-Ethernet1/0/1] ip address 202.38.160.1 24
# 配置Ethernet 1/0/0的IP地址。
[LNS] interface Ethernet 1/0/0
[LNS-Ethernet1/0/0] ip address 192.168.1.1 24
[LNS-Ethernet1/0/0] quit
# 配置Ethernet 1/0/0加入Untrust安全区域。
[LNS] firewall zone trust
[LNS-zone-trust] add interface Ethernet 1/0/0
[LNS-zone-trust] quit
# 配置Ethernet 1/0/1加入Untrust安全區域。
[LNS] firewall zone untrust
[LNS-zone-untrust] add interface Ethernet 1/0/1
[LNS-zone-untrust] quit
#此处进行配置时可以将端口加入到不同的安全域,通过域间包过滤规则和安全策略进行更加具体的安全限制
# 创建并配置虚拟接口模板。
[LNS] interface Virtual-Template 1
[LNS-Virtual-Template1] ip address 10.110.1.1 24
[LNS-Virtual-Template1] pppauthentication-mode chap
[LNS-Virtual-Template1] remote address pool 1
[LNS-Virtual-Template1] quit
# 配置虚拟接口模板加入安全区域,可以加入LNS的任一安全区域。本例将虚拟接口模板与接收L2TP隧道报文的实际物理接口Ethernet 1/0/1加入同一安全区域。
[LNS] firewall zone untrust
[LNS-zone-trust] add interface Virtual-Template 1
[LNS-zone-trust] quit
# 使能L2TP功能。
[LNS] l2tp enable
# 创建L2TP组。
[LNS] l2tp-group 1
# 配置隧道本端名称。
[LNS-l2tp1] tunnel name lns
# 配置LNS端接受客户端呼叫时使用的虚拟接口模板。
[LNS-l2tp1] allow l2tp virtual-template 1
# 关闭L2TP隧道验证功能。
[LNS-l2tp1] undo tunnel authentication
[LNS-l2tp1] quit
# 进入AAA视图,创建域testvpdn,定义地址池,为拨入用户分配IP地址,创建本地用户名和密码并配置用户类型(应与用户侧配置一致)。
[LNS] aaa
[LNS-aaa] domain testvpdn
[LNS-aaa-domain-testvpdn] ip pool 1 10.110.1.20 10.110.1.80
[LNS-aaa-domain-testvpdn] quit
[LNS-aaa] local-user admin@testvpdn password simple admin123
[LNS-aaa] local-user admin@testvpdn service-type ppp
[LNS-aaa] quit
# 配置域间包过滤规则,允许LNS侧与隧道相连的接口所在的安全区域与Local安全区域互通。
[LNS] acl 3001
[LNS-acl-adv-3001] rule permit ip
[LNS] firewall interzoneuntrust local
[LNS-interzone-local-trust] packet-filter 3001 outbound [LNS-interzone-local-untrust] packet-filter 3001 inbound
步骤 2 终端PC侧调试。
#对于WIN7和WIN10系统,需要修改注册表,启动服务项:
1. 单击“开始”,单击“运行”,键入“regedit”,然后单击“确定”
2. 找到注册表的如下参数:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\Parameters中的AllowL2TPWeakCrypto项、AllowPPTPWeakCrypto项、ProhibitIpSec项;(若没有则按照下面步骤创建即可)以及HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent中的AssumeUDPEncapsulationContextOnSendRule項,再将所有“数值数据”,改为“1”。
3. 若没有上述几项参数,则在上级目录上点击“新建”->“DWORD值”
4. 在“名称”框中,键入“项名字”
5. 在“数值数据”框中,键入“1”
7. 单击“开始”,单击“运行”,键入“services.msc”,然后单击“确定”
8. 开启以R字母开头的Routing and Remote Access服务。
9.打开网络和共享中心。选择“设置新的连接或网络”,选择连接到工作区。
10.选择“使用我的Internet连接“”
11.键入一个防火墙上可达的IP地址,本例中,PC1使用192.168.1.1,PC2选择202.38.160.1作为拨号服务器的地址:
12.然后输入在防火墙aaa上配置的local-user用户admin并带上域名。
13.拨号完成,即可获取到10.110.1.20到10.110.1.80段地址池中分配的地址了。本例中,PC1和PC2分别获得了10.110.1.20和10.110.1.21两个地址,进行互Ping测试,发现二者可以通过防火墙建立的L2TP互通。而本身两者之间路由是不可达的。
作者简介:张淼,出生年月:1974/5/6,性别:男,民族:汉,籍贯(精确到市):山东省东营市,当前职务:东营联通智能网络中心技术总监,当前职称:中级工程师,学历:大学本科,研究方向:IP数据网络.