- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
手册下载
H3C EIA L2TP IPsec VPN接入
典型配置举例
资料版本:5W117-20240515
产品版本:EIA (E6205)
Copyright © 2024 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
L2TP(Layer 2 Tunneling Protocol,二层隧道协议)通过在公共网络(如Internet)上建立点到点的L2TP隧道,将PPP(Point-to-Point Protocol,点对点协议)数据帧封装,通过EIA认证服务器授权后接入公共网络,使用户能够通过L2TP隧道与企业内部网络通信,访问企业内部网络资源。
IPsec(IP Security,IP安全)是一种三层隧道加密协议,它通过在特定通信方之间(例如两个安全网关之间)建立IPsec隧道,来保护通信方之间传输的用户数据。
iNode PC客户端提供了一种L2TP Over IPsec VPN的传输方式,L2TP隧道是传输数据的专用通道,IPsec为隧道中数据进行加密,从而使得传输的数据更难被攻击,保证数据安全。
具体的组网如图2所示。EIA服务器IP地址为192.168.7.196,查看方式如下:
· 在集群部署环境中,会涉及EIA服务器IP地址使用北向业务虚IP还是所在实际节点IP的问题,该地址请务必填写为北向业务虚IP。
· 下述步骤为查看EIA服务器IP地址的通用步骤,涉及到的IP地址与本文档无关,以查看EIA服务器IP地址“10.114.117.164”为例进行介绍。
(1) 打开浏览器输入https://ip_address:8443/matrix/ui,打开matrix页面。其中,ip_address为北向业务虚IP或节点IP。
(2) 选择“部署”页签,单击“集群”菜单项,切换至“集群参数”页签,进入集群参数页面。
(3) 该页面中的北向业务虚IP即为EIA服务器的IP地址,如图1所示。
图1 查看EIA服务器IP地址
注:本案例中各部分使用的版本如下:
· EIA:EIA (E6205);
· L2TP设备:H3C SecPath F5040,Version 7.1.064;
· iNode PC:iNode PC 7.3 (E0513)。
VPN接入的几个关键点:
· EIA作为RADIUS服务器负责验证用户的身份。
· 由LNS设备来控制终端用户是否可以访问Intranet。
· LNS设备根据EIA下发的接入控制策略,对终端用户访问Intranet的权限进行控制。
在LNS设备上配置L2TP隧道和IPsec加密。L2TP IPsec VPN接入中,L2TP隧道是一条数据传输的专用通道;IPsec为隧道中的数据提供加密。同时,配置L2TP隧道使用AAA服务器进行身份验证,而将EIA指定为AAA服务器(以下配置命令是以H3C SecPath F5040为例进行说明)。
(1) 进入全局配置模式,并开启DHCP功能。
<H3C>system-view
System View: return to User View with Ctrl+Z.
[H3C]dhcp enable
(2) 认证计费服务配置。认证计费服务器都指向EIA服务器,并采用携带domian的认证方式。
[H3C]radius scheme hz14597
New RADIUS scheme
[H3C-radius-hz14597]primary authentication 192.168.7.196 1812 [H3C-radius-hz14597]primary accounting 192.168.7.196 1813
[H3C-radius-hz14597]key authentication simple password
[H3C-radius-hz14597]key accounting simple password
[H3C-radius-hz14597]user-name-format with-domain
[H3C-radius-hz14597]quit
(3) VPN用户配置。VPN用户通过PPP接入,因此设置用户进行PPP认证时使用Radius方案hz14597认证/授权/计费。且domain名称必须与接入服务中的服务后缀保持一致。
[H3C]domain 14597
[H3C-isp-14597]authentication ppp radius-scheme hz14597
[H3C-isp-14597]authorization ppp radius-scheme hz14597
[H3C-isp-14597]accounting ppp radius-scheme hz14597
[H3C-isp-14597]quit
[H3C]ip pool 1 200.1.1.2 200.1.1.100 //为VPN用户创建一个地址池。
(4) 创建虚模板。L2TP隧道有两端,对端是PC的VPN虚网卡,本端是此处创建的虚模板,本端使用Domain14597对VPN用户进行认证。
[H3C]interface Virtual-Template 145
[H3C-Virtual-Template145]ppp authentication-mode chap domain 14597
[H3C-Virtual-Template145]dhcp relay server-address 192.168.5.201 //指定DHCP服务器
[H3C-Virtual-Template145]ip address 200.1.1.1 255.255.255.0 //配置本端的IP,因为要与PC的虚网卡(L2TP隧道的对端)通信,所以该IP必须与虚拟网卡地址池在同一网段,但不能属于虚网卡地址池。
[H3C-Virtual-Template145]remote address pool 1 //为VPN用户指定地址池,及domain VPN中的地址池。
[H3C-Virtual-Template145]quit
(5) 启用L2TP功能并创建L2TP组,在L2TP组中指定接收VPN用户呼叫的虚模板145、指定VPN用户使用的隧道名称iNode并配置L2TP隧道的验证密码为123456。
[H3C]l2tp enable
[H3C]l2tp-group 14597 mode lns
[H3C-l2tp14597]allow l2tp virtual-template 145 remote iNode
[H3C-l2tp14597]tunnel password simple 123456
[H3C-l2tp14597]quit
(6) IPsec安全提议配置。IPsec安全提议用于定义IPsec需要使用的安全协议、加密/认证算法以及封装模式,为IPsec协商SA提供各种安全参数。
[H3C]ipsec transform-set hz14597 //创建IPsec安全提议hz14597。
[H3C-ipsec-transform-set-hz14597]encapsulation-mode tunnel //配置安全协议对IP报文的封装模式为tunnel模式。
[H3C-ipsec-transform-set-hz14597]protocol ah //本案例IPsec安全提议采用的安全协议为ah。[H3C-ipsec-transform-set-hz14597]ah authentication-algorithm md5 //配置ah验证算法为md5。
[H3C-ipsec-transform-set-hz14597]quit
(7) IKE提议配置。创建IKE proposal,隧道两端可以配置多个proposal,两端至少要有一条proposal匹配,隧道才能建立。
[H3C]ike proposal 14597
[H3C-ike-proposal-14597]authentication-method pre-share //IKE proposal的认证方法为预共享密钥。
[H3C-ike-proposal-14597]authentication-algorithm md5 //认证算法为MD5。
[H3C-ike-proposal-14597]encryption-algorithm 3des-cbc //加密算法为3DES-CBC。
[H3C-ike-proposal-14597]dh group1 //Diffie-Hellman组标识。
[H3C-ike-proposal-14597]sa duration 86400 //IKE提议的IKE SA存活时间缺省为86400秒,实际的SA存活时间取隧道两端配置的最小值,推荐使用缺省值。
[H3C-ike-proposal-14597]quit
(8) IKE keychain配置。创建名称为hz14597的IKE keychain,配置与IP地址属于190.19.19.0/24网段的对端使用的预共享密钥为明文123。
[H3C]ike keychain hz14597
[H3C-ike-keychain-hz14597]pre-shared-key address 190.19.19.0 24 key simple 123
[H3C-ike-keychain-hz14597]quit
(9) IKE profile配置。
[H3C]ike profile hz14597 //创建IKE profile,名称为hz14597。
[H3C-ike-profile-hz14597]exchange-mode main //选择IKE协商模式为主模式。
[H3C-ike-profile-hz14597]local-identity address 190.19.19.1 //配置隧道本端的身份信息为IP地址190.19.19.1。
[H3C-ike-profile-hz14597]match remote identity address range 190.19.19.2 190.19.19.254 //配置匹配隧道对端身份的规则为IP地址190.19.19.2~190.19.19.254,即iNode客户端的IP地址范围,只有使用该范围内的IP才能完成IKE协商。
[H3C-ike-profile-hz14597]keychain hz14597 //配置采用预共享密钥认证时,所引用的IKE keychain为hz14597。
[H3C-ike-profile-hz14597]proposal 14597 //配置IKE profile引用的IKE提议
[H3C-ike-profile-hz14597]quit
(10) ACL配置。配置本案例中IP流量受IPsec保护。
[H3C]acl advanced 3145
[H3C-acl-ipv4-adv-3145]rule 0 permit ip
[H3C-acl-ipv4-adv-3145]quit
(11) 创建IPsec安全策略模板。在IPsec安全策略模板中引用之前配置的IPsec安全提议、IKE Profile和ACL。
[H3C]ipsec policy-template tempolicy 1
[H3C-ipsec-policy-template tempolicy-1]transform-set hz14597
[H3C-ipsec-policy-template tempolicy-1]ike-profile hz14597
[H3C-ipsec-policy-template tempolicy-1]security acl 3145
[H3C-ipsec-policy-template tempolicy-1]quit
(12) 创建IPsec策略,isakmp参数表示必须由IKE协商建立安全联盟,并引用IPsec安全策略模板tempolicy。
[H3C]ipsec policy vpnpolicy 1 isakmp template tempolicy
(13) 在连接PC的接口上启用IPsec。将端口设置为路由模式,配置IP地址,启用DHCP Relay功能并启用IPsec策略。
[H3C]interface GE1/0/3
[H3C-GigabitEthernet1/0/3]port link-mode route
[H3C-GigabitEthernet1/0/3]ip address 190.19.19.1 255.255.255.0
[H3C-GigabitEthernet1/0/3]dhcp select relay
[H3C-GigabitEthernet1/0/3]dhcp relay server-address 192.168.5.201
[H3C-GigabitEthernet1/0/3]ipsec apply policy vpnpolicy
Windows Vista及以上版本操作系统中进行VPN认证时,必须配置NAT穿越和ESP模式,但实际组网中并不要求必须有NAT设备存在。NAT穿越必须采用野蛮模式。设备上配置只是在IPsec安全提议和IKE profile上略有不同,其他配置都相同,下面仅对这两部分配置给予说明。
(1) IKE profile配置
//创建IKE profile,名称为Han。
[H3C]ike profile Han
//选择IKE协商模式为野蛮模式。
[H3C-ike-profile-Han]exchange-mode aggressive
//配置本端身份为FQDN名称LNS。
[H3C-ike-profile-Han]local-identity fqdn LNS
//配置匹配隧道对端身份的规则为FQDN名称LAC。
[H3C-ike-profile-Han]match remote identity fqdn LAC
//配置采用预共享密钥认证时,所引用的IKE keychain为keychain1。
[H3C-ike-profile-Han]keychain hz14597
//配置IKE profile引用的IKE提议
[H3C-ike-profile-Han]proposal 14597
[H3C-ike-profile-Han]quit
(2) IPsec安全提议配置
//创建IPsec安全提议han1。
[H3C]ipsec transform-set han1
//配置安全协议对IP报文的封装模式为tunnel模式。
[H3C-ipsec-transform-set-han1]encapsulation-mode tunnel
//本案例IPsec安全提议采用的安全协议为esp,esp既认证又加密,安全性更高。
[H3C-ipsec-transform-set-han1]protocol esp
//配置esp验证算法为md5。
[H3C-ipsec-transform-set-han1]esp authentication-algorithm md5
//选择esp加密算法为des-cbc。
[H3C-ipsec-transform-set-han1]esp encryption-algorithm des-cbc
[H3C-ipsec-transform-set-han1]quit
将LNS配置为接入设备。增加接入设备是为了建立EIA服务器和接入设备之间的联动关系。
增加接入设备的方法如下:
(1) 选择“自动化”页签,单击左导航树中的“用户业务 > 接入服务”菜单项,切换至“接入设备 > 接入设备配置”页签,进入接入设备配置页面,如图3所示。
(2) 单击<增加>按钮,进入增加接入设备页面,如图4所示。
(3) 单击“设备列表”区域中的<增加IPv4设备>按钮,弹出增加接入设备窗口,如图5所示。输入接入设备的IP地址,单击<确定>按钮,返回增加接入设备页面。其中,接入设备的IP地址必须满足以下要求:
¡ 如果在接入设备上配置radius scheme时配置了nas ip命令,则EIA中接入设备的IP地址必须与nas ip的配置保持一致。
¡ 如果未配置nas ip命令,则EIA中接入设备的IP地址必须是设备连接EIA服务器的接口IP地址(或接口所在VLAN的虚接口IP地址)。
图5 手工输入接入设备的IP地址
(4) 配置公共参数,如图6所示。
公共参数的配置要求如下:
· 认证端口:EIA监听RADIUS认证报文的端口。此处的配置必须与接入设备命令行配置的认证端口保持一致。EIA和接入设备一般都会采用默认端口1812。
· 计费端口:EIA监听RADIUS计费报文的端口。此处的配置必须与接入设备命令行配置的计费端口保持一致。EIA和接入设备一般都会采用默认端口1813。
目前仅支持将EIA同时作为认证和计费服务器,即不支持将EIA作为认证服务器,而其他服务器作为计费服务器的场景。
· 共享密钥/确认共享密钥:输入两次相同的共享密钥。接入设备与EIA配合进行认证时,使用该密钥互相验证对方的合法性。此处的配置必须与接入设备命令行配置的共享密钥保持一致。如果在[自动化>用户业务>业务参数>接入参数>系统配置>系统参数配置]中的“密钥显示方式”设置为明文时,只需输入一次共享密钥即可。
· 其他参数保持默认即可。
(5) 单击<确定>按钮,增加接入设备完毕,进入结果显示页面。点击“返回接入设备列表”链接,返回接入设备页面,可在接入设备列表中查看新增的接入设备,如图7所示。
增加接入策略的方法如下:
(1) 选择“自动化”页签,单击左导航树中的“用户业务 > 接入服务”菜单项,切换至“接入策略 > 接入策略”页签,进入接入策略页面,如(1)图8所示。
(2) 单击<增加>按钮,进入增加接入策略页面,如图9所示。由于不进行任何接入控制,因此只需输入接入策略名,其他参数均保持为空即可。
授权下发需要设备支持对应属性,认证绑定需要设备在RADIUS属性中上传对应信息。本例不对设备进行任何下发,因此保持默认。
(3) 单击<确定>按钮,接入策略增加完毕。返回接入策略管理页面,可在接入策略列表中查看新增的接入策略,如图10所示。
接入服务是对用户进行认证授权的各种策略的集合。本例不对用户进行任何接入控制,因此只需增加一个简单的接入服务即可。
增加接入服务的方法如下:
(1) 选择“自动化”页签,单击左导航树中的“用户业务 > 接入服务”菜单项,进入接入服务页面,如图11所示。
图11 接入服务管理页面
(2) 单击<增加>按钮,进入增加接入服务页面,如图12所示。
配置服务的各个参数:
· 服务名:输入服务名称,在EIA中必须唯一。
· 服务后缀:服务后缀、认证连接的用户名、设备的Domain和设备Radius scheme中的命令这四个要素密切相关,具体的搭配关系请参见表1。
· 缺省接入策略:选择之前新增的接入策略。
· 缺省内网外连策略:接入用户的接入场景与服务中的接入场景均不匹配时,用户受到缺省内网外连策略的控制。
· 其他参数:保持缺省值。
|
认证连接用户名 |
设备用于认证的Domain |
设备Radius scheme中的命令 |
服务的后缀 |
|
X@Y |
Y |
user-name-format with-domain |
Y |
|
user-name-format without-domain |
无后缀 |
||
|
X |
[Default Domain] 设备上指定的缺省域 |
user-name-format with-domain |
[Default Domain] |
|
user-name-format without-domain |
无后缀 |
(3) 单击<确定>按钮,接入服务增加完毕。返回接入服务管理页面,可在接入服务列表中查看新增的接入服务,如图13所示。
接入用户是用户接入网络时使用的身份证,包含帐号名、密码和使用的服务等信息。
增加接入用户的方法如下:
(1) 选择“自动化”页签,单击左导航树中的“用户业务 > 接入用户”菜单项,进入接入用户页面,如图14所示。
(2) 单击<增加>按钮,进入增加接入用户页面,如图15所示。
配置接入信息和接入服务:
· 帐号名:输入用于认证的帐号名,在EIA中必须唯一。
· 密码/确认密码:输入两次相同的密码。
· 接入服务:选择之前增加的接入服务。
· 其他参数:保持缺省值。
(3) 单击<确定>按钮,接入用户增加完毕。返回接入用户页面,可在接入用户列表中查看新增的接入用户,如图16所示。
用户使用iNode PC客户端和配置的帐号名、密码进行L2TP IPsec VPN认证,最终用户通过认证,完成L2TP IPsec VPN接入。验证步骤如下:
安装具有L2TP IPsec VPN功能的iNode PC客户端。
当前EIA适配所有版本的iNode,iNode的版本可以按需进行选择。
(1) 在iNode PC客户端主页面,选择“L2TP IPsec VPN连接”项,展开L2TP IPsec VPN连接区域,如图17所示。
(2) 单击“更多”链接,在弹出的下拉菜单中选择“属性”菜单项,弹出属性设置窗口。基本设置需要和LNS设备的配置保持一致,如图18所示。
(3) 单击页面右下角<高级>按钮,弹出高级配置窗口,并按需进行主模式或野蛮模式配置。
图19 L2TP设置
· 主模式配置。
图21 IKE设置
· 野蛮模式配置
图23 IKE设置
(1) 输入用户名和明码,单击<连接>按钮开始认证,如图24所示。
(2) L2TP IPsec VPN连接成功,如图25所示。
图25 认证成功
支持
售前咨询
售后咨询
人工在线咨询
