• 文章搜索:
  • 战神图录

        • 分享到...

        • 新浪微博
        • 腾讯微博
        • 推荐到豆瓣 豆瓣空间
        • 分享到搜狐微博 搜狐微博
        • 分享到QQ空间 QQ空间
        • 分享到腾讯朋友 腾讯朋友
        • 网易微博分享 网易微博
        • 添加到百度搜藏 百度搜藏
        • 转贴到开心网 开心网
        • 转发好友 告诉聊友
    • 推荐
    • 打印
    • 收藏

    穿越皇后之iNode L2TP Over IPSec VPN经典传说

    作者:  |  上传时间:2014-11-26  |  关键字:穿越皇后之iNode L2TP Over IPSec VPN经典传说

    概述:

    话说玄武年间,皇室一妙龄皇后,明眸皓齿、芊芊玉手、柳叶弯眉,可谓倾城倾国,国色天香,已然为无数屌丝心灵女神,远古时代,女性极少外出,某日,正值此国祭之际,皇室大小都必须远赴江浙杭州灵隐寺祭拜,皇后喜出望外,万分期待,很快到期,再说灵隐寺乃神灵圣地,前来拜访香客甚多,正值皇后参拜完毕之际,突然一黑衣刺客出现,好在一白衣少侠及时出现才避免伤亡,该男子白衣黑发,衣发飘飘逸逸,不扎不束,微微飘拂,直似神明降临,两人一见如故,深深相爱,却由身份悬殊不能长相厮守,最后被皇上打入冷宫,永不能见天日,不能私通书信交流苦衷,每天冷宫里祈祷拜佛,终于感动上天,观音掐指一算,并暗示皇后:现代年间,有一网络设备厂商,命名H3C,创新十年,已然成为IT界佼佼者,其解决方案遍布各行各业,无人不晓,其设备配合其iNode客户端神器即可搭建通信隧道,私下通信,加之IPsec加密,可谓万无一失,说完,观音消失云间,并留下《iNode L2TP 武威 IPSec VPN配置谱》,皇后闻后大喜,可谓神器矣!从此,皇后日夜修炼该神谱-- iNode L2TP武威IPSec乃 H3C精心打造的以“iMC UAM/EIA-VPN设备-iNode客户端”为核心的L2TP IPsec VPN接入解决方案,充分保证了用户接入的灵活性和数据的安全性……详细修炼方法如下配置谱。

    配置谱

    说明: http://kms.h3c.com/kms/repository/repository/46368.jpg

    【图1】

    如图1所示,PC和MSR路由器的G0/0口同属于VLAN3,由交换机负责为PC分配IP;在启用VPN之前需保证PC端和iMC侧路由可达,iMC的网卡IP为172.16.0.5.

    本组网为客户端LAC模式,安装了L2TP VPN的iNode客户端PC作为LAC,MSR路由器(Comware V5版本)为LNS设备,进行远程身份认证。

    LNS侧配置如下:

    1、配置RADIUS方案为VPN,并将认证、计费服务器指向iMC。

    [lns] radius scheme VPN

    [lns-radius-VPN] server-type extended

    [lns-radius-VPN] primary authentication 172.16.0.5

    [lns-radius-VPN] primary accounting 172.16.0.5

    [lns-radius-VPN] key authentication simple h3c

    [lns-radius-VPN] key accounting simple h3c

    [lns-radius-VPN] user-name-format with-DOMAIN

    2、配置DOMAIN域为VPN,认证、授权、计费方案指向RADIUS方案VPN,并在DOMAIN视图下配置为VPN虚网卡分配IP的地址池(认证用户域视图配置,非认证用户系统视图配置)。

    [lns] DOMAIN VPN

    [lns-isp-VPN] authentication ppp radius-scheme VPN

    [lns-isp-VPN] authorization ppp radius-scheme VPN

    [lns-isp-VPN] accounting ppp radius-scheme VPN

    [lns-isp-VPN] ip pool 1 1.1.1.1 1.1.1.20

    3、配置LNS侧虚模板1,虚模板接口是一种虚拟的逻辑接口,主要用在L2TP会话建立之后与对端交换数据,并为VPN客户端分配IP,虚模板接口IP为VPN客户端的网关;同时也要在虚模板视图下配置LNS对客户端的验证方式。

    [lns] inter Virtual-Template 1

    [lns-Virtual-Template1] ppp authentication-mode chap DOMAIN VPN

    [lns-Virtual-Template1] ip address 1.1.1.21 255.255.255.0

    在虚模板视图下指定为用户分配IP的地址池。

    [lns-Virtual-Template1] remote address pool 1

    4、启用L2TP。

    [lns] l2tp enable

    配置L2TP组,L2TP相关的参数均在组视图下配置。

    [lns] l2tp-group 1

    [lns-l2tp1] tunnel authentication

    [lns-l2tp1] tunnel password simple h3c

    [lns-l2tp1] tunnel name h3c

    LNS侧可能有多个虚模板,需指定接收呼叫的虚模板接口、隧道对端名称及域名信息。

    [lns-l2tp1] allow l2tp virtual-template 1 remote h3c DOMAIN VPN

    此时在iNode客户端进行相关的L2TP配置即可进行L2TP接入认证;

    5、配置IKE提议,在安全网关协商IKE之初,通信双方首先协商保护IKE协商本身的安全参数,这一协商通过交换IKE提议实现,IKE提议具体描述了在IKE协商过程中使用的安全参数。

    [lns] ike proposal 1

    [lns-ike-proposal-1]encryption-algorithm 3des-cbc

    [lns-ike-proposal-1]authentication-method pre-share

    [lns-ike-proposal-1]authentication-algorithm md5

    [lns-ike-proposal-1]dh group1

    [lns-ike-proposal-1]sa duration 86400

    6、配置IKE peer,IKE peer主要用来设置DH交换的安全环境,在与iNode配置进行VPN接入时,交换模式必须为野蛮模式,id-type必须为name。

    [lns]ike peer h3c

    [lns-ike-peer-h3c]exchange-mode aggressive

    [lns-ike-peer-h3c] proposal 1

    [lns-ike-peer-h3c] pre-shared-key simple h3c(和IKE proposal保持一致)

    [lns-ike-peer-h3c]id-type name

    [lns-ike-peer-h3c] remote-name h3c

    [lns-ike-peer-h3c] nat traversal

    7、配置安全提议(ipsec proposal),安全提议保存IPSec提供安全服务时准备使用的一组特定参数,以便IPSec通信双方协商各种安全参数,IPSec通信双方的安全提议必须一致。

    [lns]ipsec proposal h3c

    [lns-ipsec-proposal-h3c]transform esp

    [lns-ipsec-proposal-h3c]esp authentication-algorithm md5

    [lns-ipsec-proposal-h3c]esp encryption-algorithm 3des

    [lns-ipsec-proposal-h3c]encapsulation-mode tunnel

    8、配置安全ACL,IPSec使用ACL的条件定义并匹配需获得安全服务的数据包,对于发生方(iNode)来说,安全ACL许可的包将被保护,通信双方的安全ACL必须互为镜像。注意此处的IP地址必须填写安全网关的IP,而不是隧道两端的IP。

    [lns] acl number 3000

    [lns-acl-adv-3000]rule 0 permit ip source 172.16.1.0 0.0.0.255 destination 172.16.1.0 0.0.0.255

    [lns-acl-adv-3000] rule 4 deny ip

    9、配置安全策略

    安全策略规定了对什么样的数据流采用什么样的安全提议,可通过手工配置或者动态协商建立安全策略,本案例以动态协商的形式建立安全策略,并引用之前创建的安全ACL、安全提议和IKE对等体。

    [lns] ipsec policy h3c 1 isakmp

    [lns-ipsec-policy-isakmp-h3c-1]ike-peer h3c

    [lns-ipsec-policy-isakmp-h3c-1]security acl 3000

    [lns-ipsec-policy-isakmp-h3c-1]proposal h3c

    10、在接口上应用安全策略

    [lns] inter g0/0

    [lns-GigabitEthernet0/0] ipsec policy h3c

    此时,在LNS侧的配置已经完成,接下来需要在iMC侧进行相关的配置。

    iMC配置如下:

    1、配置接入设备,接入设备的秘钥需与RADIUS方案VPN里面的秘钥保持一致,IP地址为与iMC相连的接口的IP地址,如下图2所示。

    【图2】

    2、配置VPN用户引用的服务,如下图3所示。

    【图3】

    温馨提示:服务后缀需和DOMAIN VPN保持一致

    3、配置VPN用户并引用之前配置的服务,如下图4所示。

    【图4】

    iMC侧配置完成,接下来需要对iNode客户端进行相关的配置,才能充当LAC的角色进行认证。

    iNode客户端侧配置,所有参数配置必须和设备侧保持一致:

    1、新建VPN连接,输入在iMC里面新建的账号:VPN和密码,对VPN连接进行相关设置如下图5-图8所示。

    说明: http://kms.h3c.com/kms/repository/repository/46369.jpg

    【图5】

    【图6】

    说明: http://kms.h3c.com/kms/repository/repository/46372.jpg

    【图7】

    温馨提示:windows vista及以上系统均需勾选“使用NAT穿越特性”,而不管是否有NAT穿越。同时在IKE peer视图下也需配置此条命令。

    【图8】

    配置完成后发起认证请求,可见同一客户端发起多次认证请求,虚模板所分配的IP地址均不一样如下图9所示。

    【图9】

    结束语:

    三月有余,皇后已修炼完毕,对L2TP OVER IPSec要领掌握的炉火纯青,瞬建立私信隧道,日日夜夜来回通信,虽在冷宫,却倍感温暖,生活滋润,虽不能相依相偎,却也天涯咫尺,相知冷暖,话说后来二人还聊起了微信,时常FACE-TIME……