iMC EIA L2TP IPsec VPN接入

典型配置举例

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

资料版本：5W109-20221121

产品版本：EIA 7.3 (E0623)

 

目  录

1 简介

2 配置前提

3 配置举例

3.1 组网需求

3.2 配置步骤

3.2.1 配置LNS设备

3.2.2 配置EIA服务器

4 配置验证

 

1  简介

L2TP（Layer 2 Tunneling Protocol，二层隧道协议）通过在公共网络（如Internet）上建立点到点的L2TP隧道，将PPP（Point-to-Point Protocol，点对点协议）数据帧封装，通过EIA认证服务器授权后接入公共网络，使用户能够通过L2TP隧道与企业内部网络通信，访问企业内部网络资源。

IPsec（IP Security，IP安全）是一种三层隧道加密协议，它通过在特定通信方之间（例如两个安全网关之间）建立IPsec隧道，来保护通信方之间传输的用户数据。

iNode PC客户端提供了一种L2TP Over IPsec VPN的传输方式，L2TP隧道是传输数据的专用通道，IPsec为隧道中数据进行加密，从而使得传输的数据更难被攻击，保证数据安全。

2  配置前提

接入设备需支持PPP协议。

3  配置举例

3.1  组网需求

图1 组网图

 

VPN接入的几个关键点：

·     EIA作为RADIUS服务器负责验证用户的身份。

·     由LNS设备来控制终端用户是否可以访问Intranet（LNS设备是L2TP网络服务器，具有PPP和L2TP协议处理能力的设备）。

·     LNS设备根据EIA下发的接入控制策略，对终端用户访问Intranet的权限进行控制。

3.2  配置步骤

3.2.1  配置LNS设备

在LNS设备上配置L2TP隧道和IPsec加密。L2TP IPsec VPN接入中，L2TP隧道是一条数据传输的专用通道；IPsec为隧道中的数据提供加密。同时，配置L2TP隧道使用AAA服务器进行身份验证，而将EIA指定为AAA服务器（以下配置命令是以H3C SecPath F5040为例进行说明）。

1. LNS设备配置——主模式

(1)     进入全局配置模式，并开启DHCP功能。

<H3C>system-view

System View: return to User View with Ctrl+Z.

[H3C]dhcp enable

(2)     认证计费服务配置，认证计费服务器都指向EIA服务器，并采用携带domian的认证方式。

[H3C]radius scheme wkf5315

New Radius scheme

[H3C-radius-wkf5315]primary authentication 192.168.7.196 1812

[H3C-radius-wkf5315]primary accounting 192.168.7.196 1813

[H3C-radius-wkf5315]key authentication simple expert

[H3C-radius-wkf5315]key accounting simple expert

[H3C-radius-wkf5315]user-name-format with-domain

(3)     VPN用户配置，VPN用户通过PPP接入，因此设置用户进行PPP认证时使用Radius方案wkf5315认证/授权/计费。且domain名称必须与接入服务中的服务后缀保持一致。

[H3C]domain 5315

[H3C-isp-5315]authentication ppp radius-scheme wkf5315

[H3C-isp-5315]authorization ppp radius-scheme wkf5315

[H3C-isp-5315]accounting ppp radius-scheme wkf5315

[H3C-isp-5315]quit

[H3C]ip pool 1 200.1.1.2 200.1.1.100 //为VPN用户创建一个地址池

(4)     创建虚模板，L2TP隧道有两端，对端是PC的VPN虚网卡，本端是此处创建的虚模板，本端使用Domain 5315对VPN用户进行认证。

[H3C]interface Virtual-Template 1

[H3C-Virtual-Template1]ppp authentication-mode chap domain 5315

[H3C-Virtual-Template1]dhcp relay server-address 192.168.5.201  //指定DHCP服务器

[H3C-Virtual-Template1]ip address 200.1.1.1 255.255.255.0  //配置本端的IP，因为要与PC的虚网卡（L2TP隧道的对端）通信，所以该IP必须与虚拟网卡地址池在同一网段，但不能属于虚网卡地址池

[H3C-Virtual-Template1]remote address pool 1  //为VPN用户指定地址池，及domain VPN中的地址池

[H3C-Virtual-Template145]quit

(5)     启用L2TP功能并创建L2TP组，在L2TP组中指定接收VPN用户呼叫的虚模板1、指定VPN用户使用的隧道名称iNode并配置L2TP隧道的验证密码为123456。

[H3C]l2tp enable

[H3C]l2tp-group 1 mode lns

[H3C-l2tp1]allow l2tp virtual-template 1 remote iNode

[H3C-l2tp1]tunnel password simple 123456

[H3C-l2tp1]quit

(6)     IPsec安全提议配置。IPsec安全提议用于定义IPsec需要使用的安全协议、加密/认证算法以及封装模式，为IPsec协商SA提供各种安全参数。

[H3C]ipsec transform-set tran1  //创建IPsec安全提议tran1

[H3C-ipsec-transform-set-tran1]encapsulation-mode tunnel  //配置安全协议对IP报文的封装模式为tunnel模式

[H3C-ipsec-transform-set-tran1]protocol ah  //本案例IPsec安全提议采用的安全协议为ah

[H3C-ipsec-transform-set-tran1]ah authentication-algorithm md5 //配置ah验证算法为md5

[H3C-ipsec-transform-set-tran1]quit

(7)     IKE提议配置，创建IKE proposal，隧道两端可以配置多个proposal，两端至少要有一条proposal匹配，隧道才能建立。

[H3C]ike proposal 1

[H3C-ike-proposal-1]authentication-method pre-share  //IKE proposal的认证方法为预共享密钥。

[H3C-ike-proposal-1]authentication-algorithm md5  //认证算法为MD5

[H3C-ike-proposal-1]encryption-algorithm des-cbc  //加密算法为DES-CBC

[H3C-ike-proposal-1]dh group1  //Diffie-Hellman组标识

[H3C-ike-proposal-1]sa duration 86400  //IKE提议的IKE SA存活时间缺省为86400秒，实际的SA存活时间取隧道两端配置的最小值，推荐使用缺省值

(8)      IKE keychain配置，创建名称为keychain1的IKE keychain，配置与IP地址属于190.19.19.0/24网段的对端使用的预共享密钥为明文123。

[H3C]ike keychain keychain1

[H3C-ike-keychain- keychain1]pre-shared-key address 190.19.19.0 24 key simple 123

[H3C-ike-keychain- keychain1]quit

(9)     IKE profile配置

[H3C]ike profile wang  //创建IKE profile，名称为wang

[H3C-ike-profile-wang]exchange-mode main  //选择IKE协商模式为主模式

[H3C-ike-profile-wang]local-identity address 190.19.19.1  //配置隧道本端的身份信息为IP地址190.19.19.1

[H3C-ike-profile-wang]match remote identity address range 190.19.19.2 190.19.19.254  //配置匹配隧道对端身份的规则为IP地址190.19.19.2~190.19.19.254，即iNode客户端的IP地址范围，只有使用该范围内的IP才能完成IKE协商

[H3C-ike-profile-wang]keychain keychain1  //配置采用预共享密钥认证时，所引用的IKE keychain为keychain1

[H3C-ike-profile-wang]proposal 1  //配置IKE profile引用的IKE提议

[H3C-ike-profile-wang]quit

(10)     ACL配置。配置本案例中IP流量受IPsec保护。

[H3C]acl number 3000

[H3C-acl-ipv4-adv-3000]rule 0 permit ip

[H3C-acl-ipv4-adv-3000]quit

(11)     创建IPsec安全策略模板。在IPsec安全策略模板中引用之前配置的IPsec安全提议、IKE Profile和ACL。

[H3C]ipsec policy-template tempolicy 1

[H3C-ipsec-policy-template tempolicy-1]transform-set tran1

[H3C-ipsec-policy-template tempolicy-1]ike-profile wang

[H3C-ipsec-policy-template tempolicy-1]security acl 3000

[H3C-ipsec-policy-template tempolicy-1]quit

(12)     创建IPsec策略，isakmp参数表示必须由IKE协商建立安全联盟，并引用IPsec安全策略模板tempolicy。

[H3C]ipsec policy vpnpolicy 1 isakmp template tempolicy

(13)     在连接PC的接口上启用IPsec。将端口设置为路由模式，配置IP地址，启用DHCP Relay功能并启用IPsec策略。

[H3C]interface Ethernet 3/1

[H3C-Ethernet3/1]port link-mode route

[H3C-Ethernet3/1]ip address 190.19.19.1 255.255.255.0

[H3C-Ethernet3/1]dhcp select relay

[H3C-Ethernet3/1]dhcp relay server-address 192.168.5.201

[H3C-Ethernet3/1]ipsec apply policy vpnpolicy

2. LNS设备配置——野蛮模式

Windows Vista及以上版本操作系统中进行VPN认证时，必须配置NAT穿越和ESP模式，但实际组网中并不要求必须有NAT设备存在。NAT穿越必须采用野蛮模式。设备上配置只是在IPsec安全提议和IKE profile上略有不同，其他配置都相同，下面仅对这两部分配置给予说明。

(1)     IKE profile配置

//创建IKE profile，名称为wang

[H3C]ike profile wang

//选择IKE协商模式为野蛮模式

[H3C-ike-profile-wang]exchange-mode aggressive

//配置本端身份为FQDN名称LNS

[H3C-ike-profile-wang]local-identity fqdn LNS

//配置匹配隧道对端身份的规则为FQDN名称LAC

[H3C-ike-profile-wang]match remote identity fqdn LAC

//配置采用预共享密钥认证时，所引用的IKE keychain为keychain1

[H3C-ike-profile-wang]keychain keychain1

//配置IKE profile引用的IKE提议

[H3C-ike-profile-wang]proposal 1

[H3C-ike-profile-wang]quit

(2)     IPsec安全提议配置

//创建IPsec安全提议tran1

[H3C]ipsec transform-set tran1

//配置安全协议对IP报文的封装模式为tunnel模式

[H3C-ipsec-transform-set-tran1]encapsulation-mode tunnel

//本案例IPsec 安全提议采用的安全协议为esp，esp既认证又加密，安全性更高

[H3C-ipsec-transform-set-tran1]protocol esp

//配置esp验证算法为md5

[H3C-ipsec-transform-set-tran1]esp authentication-algorithm md5

//选择esp加密算法为des-cbc

[H3C-ipsec-transform-set-tran1]esp encryption-algorithm des-cbc

[H3C-ipsec-transform-set-tran1]quit

3.2.2  配置EIA服务器

1. 增加接入设备

将LNS配置为接入设备。增加接入设备是为了建立iMC服务器和接入设备之间的联动关系。

增加接入设备的方法如下：

(1)     选择“用户”页签，单击左导航树中的[接入策略管理/接入设备管理/接入设备配置]菜单项，进入接入设备配置页面，如图2所示。

图2 接入设备列表

 

(2)     单击<增加>按钮，进入增加接入设备页面，如图3所示。

图3 增加接入设备

 

(3)     配置接入设备。

配置接入设备有两种方法：

¡     在设备列表中单击<选择>按钮从iMC中选择设备。

¡     在设备列表中单击<手工增加>按钮，手工配置接入设备。

无论采用哪种方式接入设备的IP地址都必须满意以下要求：

¡     如果在接入设备上配置radius scheme时配置了nas ip命令，则EIA中接入设备的IP地址必须与nas ip的配置保持一致。

¡     如果未配置nas ip命令，则EIA中接入设备的IP地址必须是设备连接EIA服务器的接口IP地址（或接口所在VLAN的虚接口IP地址）。

从iMC中选择设备时，设备的IP地址无法修改。因此如果设备加入iMC时使用的IP地址不满足上述要求，则可以采用手工增加的方式增加接入设备。本例采用手工增加的方式进行说明。

单击设备列表中的<手工增加>按钮，弹出手工增加接入设备窗口，如图4所示。输入接入设备的IP地址，单击<确定>按钮，返回增加接入设备页面。

图4 手工输入接入设备的IP地址

 

(4)     配置公共参数。

公共参数的配置要求如下：

¡     认证端口：EIA监听RADIUS认证报文的端口。此处的配置必须与接入设备命令行配置的认证端口保持一致。EIA和接入设备一般都会采用默认端口1812。

¡     计费端口：EIA监听RADIUS计费报文的端口。此处的配置必须与接入设备命令行配置的计费端口保持一致。EIA和接入设备一般都会采用默认端口1813。

 

¡     共享密钥/确认共享密钥：输入两次相同的共享密钥。接入设备与EIA配合进行认证时，使用该密钥互相验证对方的合法性。此处的配置必须与接入设备命令行配置的共享密钥保持一致。如果在[用户>接入策略管理>业务参数配置>系统配置>系统参数配置]中的“密钥显示方式”设置为明文时，只需输入一次共享密钥即可。

¡     其他参数保持默认即可

图5 公共参数配置

 

(5)     单击<确定>按钮，增加接入设备完毕，进入结果显示页面。点击“返回接入设备列表”链接，返回接入设备页面，可在接入设备列表中查看新增的接入设备，如图6所示。

图6 查看新增的接入设备

 

2. 增加接入策略

增加接入策略的方法如下：

(1)     选择“用户”页签，单击左导航树中的[接入策略管理/接入策略管理]菜单项，进入接入策略管理页面，如图7所示。

图7 接入策略管理页面

 

(2)     单击<增加>按钮，进入增加接入策略页面，如图8所示。由于不进行任何接入控制，因此只需输入接入策略名，其他参数均保持为空即可。

图8 增加接入策略页面

 

(3)     单击<确定>按钮，接入策略增加完毕。返回接入策略管理页面，可在接入策略列表中查看新增的接入策略，如图9所示。

图9 查看新增的接入策略

 

3. 增加接入服务

接入服务是对用户进行认证授权的各种策略的集合。本例不对用户进行任何接入控制，因此只需增加一个简单的接入服务即可。

增加接入服务的方法如下：

(1)     选择“用户”页签，单击左导航树中的[接入策略管理/接入服务管理]菜单项，进入接入服务管理页面，如图10所示。

图10 接入服务管理页面

 

(2)     单击<增加>按钮，进入增加接入服务页面，如图11所示。

图11 增加接入服务页面

 

配置服务的各个参数：

·     服务名：输入服务名称，在EIA中必须唯一。

·     服务后缀：服务后缀、认证连接的用户名、设备的Domain和设备Radius scheme中的命令这四个要素密切相关，具体的搭配关系请参见表1。

·     缺省接入策略：选择2. 增加接入策略新增的接入策略。

·     其他参数：保持缺省值。

表1 iMC中服务后缀的选择

认证连接用户名	设备用于认证的Domain	设备Radius scheme中的命令	iMC中服务的后缀
X@Y	Y	user-name-format with-domain	Y
		user-name-format without-domain	无后缀
X	[Default Domain] 设备上指定的缺省域	user-name-format with-domain	[Default Domain]
		user-name-format without-domain	无后缀

 

(3)     单击<确定>按钮，接入服务增加完毕。返回接入服务管理页面，可在接入服务列表中查看新增的接入服务，如图12所示。

图12 查看增加的接入服务

 

4. 增加接入用户

接入用户是用户接入网络时使用的身份证，包含帐号名、密码和使用的服务等信息。

增加接入用户的方法如下：

(1)     选择“用户”页签，单击左导航树中的[接入用户管理/接入用户]菜单项，进入接入用户页面，如图13所示。

图13 接入用户列表

 

(2)     单击<增加>按钮，进入增加接入用户页面，如图14所示。

图14 增加接入用户页面

 

配置接入信息和接入服务：

·     用户姓名：接入用户所关联的iMC用户。有如下两种方式关联用户：

¡     单击<选择基本用户>按钮，弹出选择基本用户窗口，单击<查询>按钮，可以查询出所有已存在的用户，如图15所示，选择一个用户后单击<确定>按钮。

¡     直接输入用户信息，输入用户姓名、证件号码以及其他参数。

图15 选择用户

 

·     帐号名：输入用于认证的帐号名，在EIA中必须唯一。

·     密码/确认密码：输入两次相同的密码。

·     接入服务：选择3. 增加接入服务增加的接入服务。

·     其他参数：保持缺省值。

参数设置完成后的效果图如图16所示。

图16 接入用户

 

(3)     单击<确定>按钮，接入用户增加完毕。返回接入用户页面，可在接入用户列表中查看新增的接入用户，本例以“ice”用户为例，如图18所示。

图17 查看新增的接入用户

 

4  配置验证

用户使用iNode PC客户端和配置的帐号名、密码进行L2TP IPsec VPN认证，最终用户通过认证，完成L2TP IPsec VPN接入。

验证步骤如下：

1. 安装具有L2TP IPsec VPN功能的iNode PC客户端

安装具有L2TP IPsec VPN功能的iNode PC客户端。

 

2. 配置L2TP IPsec VPN连接属性

(1)     在iNode PC客户端主页面，选择“L2TP IPsec VPN连接”，展开L2TP IPsec VPN连接区域，如图18所示。

图18 iNode客户端主界面

 

 

(2)     单击“更多”链接，在弹出的下拉菜单选择“属性”菜单项，如图19所示。

图19 点击“更多”图标

 

(3)     弹出属性设置窗口，基本属性配置需和LNS设备上配置的保持一致，如图20所示。

图20 基本属性配置

 

(4)     单击页面右下角<高级>按钮，弹出高级配置窗口，并按需进行主模式或野蛮模式配置。

·     主模式

主模式场景下，L2TP IPsec VPN连接的高级属性配置需和LNS设备上配置的保持一致。

图21 L2TP设置

 

图22 主模式-IPsec设置

 

图23 主模式-IKE设置

 

·     野蛮模式

野蛮模式场景下，L2TP IPsec VPN连接的高级属性配置需和LNS设备上配置的保持一致。

图24 野蛮模式-IPsec设置

 

图25 野蛮模式-IKE设置

 

3. 进行L2TP IPsec VPN认证

输入用户名和密码后，单击<连接>按钮，如图26所示，开始认证。

图26 认证界面

 

认证成功的界面如图27所示，验证了本案例的配置正确。

图27 认证成功