iMC EIA L2TP IPsec VPN接入

典型配置举例

资料版本：5W109-20221121

产品版本：EIA 7.3 (E0623)

非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部，并不得以任何形式传播。

除新华三技术有限公司的商标外，本手册中出现的其它公司的商标、产品标识及商品名称，由各自权利人拥有。

本文档中的信息可能变动，恕不另行通知。

1 简介

L2TP（Layer 2 Tunneling Protocol，二层隧道协议）通过在公共网络（如Internet）上建立点到点的L2TP隧道，将PPP（Point-to-Point Protocol，点对点协议）数据帧封装，通过EIA认证服务器授权后接入公共网络，使用户能够通过L2TP隧道与企业内部网络通信，访问企业内部网络资源。

IPsec（IP Security，IP安全）是一种三层隧道加密协议，它通过在特定通信方之间（例如两个安全网关之间）建立IPsec隧道，来保护通信方之间传输的用户数据。

iNode PC客户端提供了一种L2TP Over IPsec VPN的传输方式，L2TP隧道是传输数据的专用通道，IPsec为隧道中数据进行加密，从而使得传输的数据更难被攻击，保证数据安全。

2 配置前提

接入设备需支持PPP协议。

3 配置举例

3.1 组网需求

图1 组网图

VPN接入的几个关键点：

· EIA作为RADIUS服务器负责验证用户的身份。

· 由LNS设备来控制终端用户是否可以访问Intranet（LNS设备是L2TP网络服务器，具有PPP和L2TP协议处理能力的设备）。

· LNS设备根据EIA下发的接入控制策略，对终端用户访问Intranet的权限进行控制。

3.2 配置步骤

3.2.1 配置LNS设备

在LNS设备上配置L2TP隧道和IPsec加密。L2TP IPsec VPN接入中，L2TP隧道是一条数据传输的专用通道；IPsec为隧道中的数据提供加密。同时，配置L2TP隧道使用AAA服务器进行身份验证，而将EIA指定为AAA服务器（以下配置命令是以H3C SecPath F5040为例进行说明）。

1. LNS设备配置——主模式

(1) 进入全局配置模式，并开启DHCP功能。

<H3C>system-view

System View: return to User View with Ctrl+Z.

[H3C]dhcp enable

(2) 认证计费服务配置，认证计费服务器都指向EIA服务器，并采用携带domian的认证方式。

[H3C]radius scheme wkf5315

New Radius scheme

[H3C-radius-wkf5315]primary authentication 192.168.7.196 1812

[H3C-radius-wkf5315]primary accounting 192.168.7.196 1813

[H3C-radius-wkf5315]key authentication simple expert

[H3C-radius-wkf5315]key accounting simple expert

[H3C-radius-wkf5315]user-name-format with-domain

(3) VPN用户配置，VPN用户通过PPP接入，因此设置用户进行PPP认证时使用Radius方案wkf5315认证/授权/计费。且domain名称必须与接入服务中的服务后缀保持一致。

[H3C]domain 5315

[H3C-isp-5315]authentication ppp radius-scheme wkf5315

[H3C-isp-5315]authorization ppp radius-scheme wkf5315

[H3C-isp-5315]accounting ppp radius-scheme wkf5315

[H3C-isp-5315]quit

[H3C]ip pool 1 200.1.1.2 200.1.1.100 //为VPN用户创建一个地址池

(4) 创建虚模板，L2TP隧道有两端，对端是PC的VPN虚网卡，本端是此处创建的虚模板，本端使用Domain 5315对VPN用户进行认证。

[H3C]interface Virtual-Template 1

[H3C-Virtual-Template1]ppp authentication-mode chap domain 5315

[H3C-Virtual-Template1]dhcp relay server-address 192.168.5.201 //指定DHCP服务器

[H3C-Virtual-Template1]ip address 200.1.1.1 255.255.255.0 //配置本端的IP，因为要与PC的虚网卡（L2TP隧道的对端）通信，所以该IP必须与虚拟网卡地址池在同一网段，但不能属于虚网卡地址池

[H3C-Virtual-Template1]remote address pool 1 //为VPN用户指定地址池，及domain VPN中的地址池

[H3C-Virtual-Template145]quit

(5) 启用L2TP功能并创建L2TP组，在L2TP组中指定接收VPN用户呼叫的虚模板1、指定VPN用户使用的隧道名称iNode并配置L2TP隧道的验证密码为123456。

[H3C]l2tp enable

[H3C]l2tp-group 1 mode lns

[H3C-l2tp1]allow l2tp virtual-template 1 remote iNode

[H3C-l2tp1]tunnel password simple 123456

[H3C-l2tp1]quit

(6) IPsec安全提议配置。IPsec安全提议用于定义IPsec需要使用的安全协议、加密/认证算法以及封装模式，为IPsec协商SA提供各种安全参数。

[H3C]ipsec transform-set tran1 //创建IPsec安全提议tran1

[H3C-ipsec-transform-set-tran1]encapsulation-mode tunnel //配置安全协议对IP报文的封装模式为tunnel模式

[H3C-ipsec-transform-set-tran1]protocol ah //本案例IPsec安全提议采用的安全协议为ah

[H3C-ipsec-transform-set-tran1]ah authentication-algorithm md5 //配置ah验证算法为md5

[H3C-ipsec-transform-set-tran1]quit

(7) IKE提议配置，创建IKE proposal，隧道两端可以配置多个proposal，两端至少要有一条proposal匹配，隧道才能建立。

[H3C]ike proposal 1

[H3C-ike-proposal-1]authentication-method pre-share //IKE proposal的认证方法为预共享密钥。

[H3C-ike-proposal-1]authentication-algorithm md5 //认证算法为MD5

[H3C-ike-proposal-1]encryption-algorithm des-cbc //加密算法为DES-CBC

[H3C-ike-proposal-1]dh group1 //Diffie-Hellman组标识

[H3C-ike-proposal-1]sa duration 86400 //IKE提议的IKE SA存活时间缺省为86400秒，实际的SA存活时间取隧道两端配置的最小值，推荐使用缺省值

(8) IKE keychain配置，创建名称为keychain1的IKE keychain，配置与IP地址属于190.19.19.0/24网段的对端使用的预共享密钥为明文123。

[H3C]ike keychain keychain1

[H3C-ike-keychain- keychain1]pre-shared-key address 190.19.19.0 24 key simple 123

[H3C-ike-keychain- keychain1]quit

(9) IKE profile配置

[H3C]ike profile wang //创建IKE profile，名称为wang

[H3C-ike-profile-wang]exchange-mode main //选择IKE协商模式为主模式

[H3C-ike-profile-wang]local-identity address 190.19.19.1 //配置隧道本端的身份信息为IP地址190.19.19.1

[H3C-ike-profile-wang]match remote identity address range 190.19.19.2 190.19.19.254 //配置匹配隧道对端身份的规则为IP地址190.19.19.2~190.19.19.254，即iNode客户端的IP地址范围，只有使用该范围内的IP才能完成IKE协商

[H3C-ike-profile-wang]keychain keychain1 //配置采用预共享密钥认证时，所引用的IKE keychain为keychain1

[H3C-ike-profile-wang]proposal 1 //配置IKE profile引用的IKE提议

[H3C-ike-profile-wang]quit

(10) ACL配置。配置本案例中IP流量受IPsec保护。

[H3C]acl number 3000

[H3C-acl-ipv4-adv-3000]rule 0 permit ip

[H3C-acl-ipv4-adv-3000]quit

(11) 创建IPsec安全策略模板。在IPsec安全策略模板中引用之前配置的IPsec安全提议、IKE Profile和ACL。

[H3C]ipsec policy-template tempolicy 1

[H3C-ipsec-policy-template tempolicy-1]transform-set tran1

[H3C-ipsec-policy-template tempolicy-1]ike-profile wang

[H3C-ipsec-policy-template tempolicy-1]security acl 3000

[H3C-ipsec-policy-template tempolicy-1]quit

(12) 创建IPsec策略，isakmp参数表示必须由IKE协商建立安全联盟，并引用IPsec安全策略模板tempolicy。

[H3C]ipsec policy vpnpolicy 1 isakmp template tempolicy

(13) 在连接PC的接口上启用IPsec。将端口设置为路由模式，配置IP地址，启用DHCP Relay功能并启用IPsec策略。

[H3C]interface Ethernet 3/1

[H3C-Ethernet3/1]port link-mode route

[H3C-Ethernet3/1]ip address 190.19.19.1 255.255.255.0

[H3C-Ethernet3/1]dhcp select relay

[H3C-Ethernet3/1]dhcp relay server-address 192.168.5.201

[H3C-Ethernet3/1]ipsec apply policy vpnpolicy

2. LNS设备配置——野蛮模式

Windows Vista及以上版本操作系统中进行VPN认证时，必须配置NAT穿越和ESP模式，但实际组网中并不要求必须有NAT设备存在。NAT穿越必须采用野蛮模式。设备上配置只是在IPsec安全提议和IKE profile上略有不同，其他配置都相同，下面仅对这两部分配置给予说明。

(1) IKE profile配置

//创建IKE profile，名称为wang

[H3C]ike profile wang

//选择IKE协商模式为野蛮模式

[H3C-ike-profile-wang]exchange-mode aggressive

//配置本端身份为FQDN名称LNS

[H3C-ike-profile-wang]local-identity fqdn LNS

//配置匹配隧道对端身份的规则为FQDN名称LAC

[H3C-ike-profile-wang]match remote identity fqdn LAC

//配置采用预共享密钥认证时，所引用的IKE keychain为keychain1

[H3C-ike-profile-wang]keychain keychain1

//配置IKE profile引用的IKE提议

[H3C-ike-profile-wang]proposal 1

[H3C-ike-profile-wang]quit

(2) IPsec安全提议配置

//创建IPsec安全提议tran1

[H3C]ipsec transform-set tran1

//配置安全协议对IP报文的封装模式为tunnel模式

[H3C-ipsec-transform-set-tran1]encapsulation-mode tunnel

//本案例IPsec 安全提议采用的安全协议为esp，esp既认证又加密，安全性更高

[H3C-ipsec-transform-set-tran1]protocol esp

//配置esp验证算法为md5

[H3C-ipsec-transform-set-tran1]esp authentication-algorithm md5

//选择esp加密算法为des-cbc

[H3C-ipsec-transform-set-tran1]esp encryption-algorithm des-cbc

[H3C-ipsec-transform-set-tran1]quit

3.2.2 配置EIA服务器

1. 增加接入设备

将LNS配置为接入设备。增加接入设备是为了建立iMC服务器和接入设备之间的联动关系。

增加接入设备的方法如下：

(1) 选择“用户”页签，单击左导航树中的[接入策略管理/接入设备管理/接入设备配置]菜单项，进入接入设备配置页面，如图2所示。

图2 接入设备列表

(2) 单击<增加>按钮，进入增加接入设备页面，如图3所示。

图3 增加接入设备

(3) 配置接入设备。

配置接入设备有两种方法：

¡ 在设备列表中单击<选择>按钮从iMC中选择设备。

¡ 在设备列表中单击<手工增加>按钮，手工配置接入设备。

无论采用哪种方式接入设备的IP地址都必须满意以下要求：

¡ 如果在接入设备上配置radius scheme时配置了nas ip命令，则EIA中接入设备的IP地址必须与nas ip的配置保持一致。

¡ 如果未配置nas ip命令，则EIA中接入设备的IP地址必须是设备连接EIA服务器的接口IP地址（或接口所在VLAN的虚接口IP地址）。

从iMC中选择设备时，设备的IP地址无法修改。因此如果设备加入iMC时使用的IP地址不满足上述要求，则可以采用手工增加的方式增加接入设备。本例采用手工增加的方式进行说明。

单击设备列表中的<手工增加>按钮，弹出手工增加接入设备窗口，如图4所示。输入接入设备的IP地址，单击<确定>按钮，返回增加接入设备页面。

图4 手工输入接入设备的IP地址

(4) 配置公共参数。

公共参数的配置要求如下：

¡ 认证端口：EIA监听RADIUS认证报文的端口。此处的配置必须与接入设备命令行配置的认证端口保持一致。EIA和接入设备一般都会采用默认端口1812。

¡ 计费端口：EIA监听RADIUS计费报文的端口。此处的配置必须与接入设备命令行配置的计费端口保持一致。EIA和接入设备一般都会采用默认端口1813。

目前仅支持将EIA同时作为认证和计费服务器，即不支持将EIA作为认证服务器，而其他服务器作为计费服务器的场景。

¡ 共享密钥/确认共享密钥：输入两次相同的共享密钥。接入设备与EIA配合进行认证时，使用该密钥互相验证对方的合法性。此处的配置必须与接入设备命令行配置的共享密钥保持一致。如果在[用户>接入策略管理>业务参数配置>系统配置>系统参数配置]中的“密钥显示方式”设置为明文时，只需输入一次共享密钥即可。

¡ 其他参数保持默认即可

图5 公共参数配置

(5) 单击<确定>按钮，增加接入设备完毕，进入结果显示页面。点击“返回接入设备列表”链接，返回接入设备页面，可在接入设备列表中查看新增的接入设备，如图6所示。

图6 查看新增的接入设备

2. 增加接入策略

增加接入策略的方法如下：

(1) 选择“用户”页签，单击左导航树中的[接入策略管理/接入策略管理]菜单项，进入接入策略管理页面，如图7所示。

图7 接入策略管理页面

(2) 单击<增加>按钮，进入增加接入策略页面，如图8所示。由于不进行任何接入控制，因此只需输入接入策略名，其他参数均保持为空即可。

图8 增加接入策略页面

(3) 单击<确定>按钮，接入策略增加完毕。返回接入策略管理页面，可在接入策略列表中查看新增的接入策略，如图9所示。

图9 查看新增的接入策略

3. 增加接入服务

接入服务是对用户进行认证授权的各种策略的集合。本例不对用户进行任何接入控制，因此只需增加一个简单的接入服务即可。

增加接入服务的方法如下：

(1) 选择“用户”页签，单击左导航树中的[接入策略管理/接入服务管理]菜单项，进入接入服务管理页面，如图10所示。

图10 接入服务管理页面

(2) 单击<增加>按钮，进入增加接入服务页面，如图11所示。

图11 增加接入服务页面

配置服务的各个参数：

· 服务名：输入服务名称，在EIA中必须唯一。

· 服务后缀：服务后缀、认证连接的用户名、设备的Domain和设备Radius scheme中的命令这四个要素密切相关，具体的搭配关系请参见表1。

· 缺省接入策略：选择2. 增加接入策略新增的接入策略。

· 其他参数：保持缺省值。

表1 iMC中服务后缀的选择

认证连接用户名	设备用于认证的Domain	设备Radius scheme中的命令	iMC中服务的后缀
X@Y	Y	user-name-format with-domain	Y
X@Y	Y	user-name-format without-domain	无后缀
X	[Default Domain] 设备上指定的缺省域	user-name-format with-domain	[Default Domain]
X	[Default Domain] 设备上指定的缺省域	user-name-format without-domain	无后缀