华为防火墙 L2TP over IPSec VPN 命令行配置实验
华为防火墙 L2TP over IPSec VPN 命令行配置实验
一、实验目的
本实验旨在通过华为 eNSP 模拟器,完成华为防火墙 L2TP over IPSec VPN 的命令行配置,并成功建立 VPN 连接,实现远程访问内网资源的功能。
二、实验环境
- 硬件环境:
- 计算机一台,操作系统为 Win10 专业工作站版
- VirtualBox、WinPcap_4_1_3、Wireshark-win64-1.12.4 三款配套软件
- eNSP 安装包
- 软件环境:
- 华为 eNSP 模拟器
三、实验步骤
1. 安装 eNSP
- 首先安装 eNSP 的三个配套软件:VirtualBox、WinPcap_4_1_3、Wireshark-win64-1.12.4。安装过程中请以管理员身份打开软件安装程序,并将软件安装在 C 盘下。
- 安装完配套软件后,开始安装 eNSP。右击 eNSP 安装包,以管理员身份运行安装程序。
- 在安装 WinPcap 时,可能会遇到“A newer version of WinPcap (internal version 5.1.71.1819) is already installed on this machine. The installation will be aborted.” 的报错问题。遇到此问题,请按以下步骤解决:
- 找到 C:\Windows\SysWOW64 目录下的 wpcap.dll 文件,将其重命名为 wpcap.dll.old。
- 找到 C:\Windows\SysWOW64 目录下的 packet.dll 文件,将其重命名为 packet.dll.old。
- 安装 eNSP 时,程序会自动检测是否已经安装好三个配套软件。如果没有安装,请先安装好三个配套软件,再点击下一步。
- 安装完成后,右击 eNSP 软件,选择“属性”,在“兼容性”和“以管理员身份运行”选项中进行设置。
- 打开 eNSP 后,先注册设备。点击右上角的“注册”按钮,勾选所有选项,再点击“注册”。
- 导入设备包。点击右上角的“新建拓扑”按钮,将需要导入设备包的路由器(NE40E, NE5000E, NE9000, CX)、交换机(CE6800)、防火墙(USG5500, USG6000V)拖到右边空白处。
- 启动设备。点击 NE1,右击选择“启动”。其他设备同样操作。
- 当出现设备启动界面时,表示导入成功,安装完成。
2. 完成华为防火墙 L2TP over IPSec VPN 命令行配置
**L2TP(Layer 2 Tunneling Protocol)**是一种用于承载 PPP 报文的隧道技术,主要应用于远程办公场景。出差员工使用 L2TP VPN 技术,可以通过互联网远程访问企业内网资源。
L2TP over IPSec适用于分支网络、出差员工通过 LAC 拨号接入 VPN 并进行安全访问的场景,适用于 V800R021C10 及以后版本的 ME60 系列、NE40E 系列及 NE8000 系列路由器。
实验思路:
- 配置区域、接口和 IP 地址
- 配置公网路由
- 配置 L2TP VPN
- 配置安全策略
- 配置 IPSec VPN
- 配置 L2TP over IPSec VPN 客户端
配置步骤:
- 配置 L2TP over IPSec Server
- 1.1.1 配置 L2TP
- 开启 L2TP 功能:
l2tp enable - 配置远程用户接入地址池:
Ip pool l2tp-pool section 0 192.168.30.100 192.168.30.200 - 配置 L2TP 服务方案,并调用地址池:
Aaa service-scheme l2tp-scheme ip-pool l2tp-pool - 配置 L2TP 服务模板:
interface Virtual-Template0 ppp authentication-mode chap pap remote service-scheme l2tp-scheme ip address 192.168.30.1 24 - 将 VT 拨号模板加入 dmz 区域:
[FW1-zone-dmz]add interface Virtual-Template 0 - 配置 L2TP 拨号组:
l2tp-group l2tp-group1 tunnel password cipher Welcome@123 tunnel name LNS allow l2tp virtual-template 0 remote client domain default
- 开启 L2TP 功能:
- 1.1.2 配置接入用户账号
[FW1]user-manage user user1 [FW1-localuser-user1]password Welcome@123 [FW1-localuser-user1]q - 1.1.3 配置 L2TP 安全策略
security-policy rule name untrust-to-local source-zone untrust destination-zone local destination-address 11.1.1.1 32 service l2tp action permit
- 1.1.1 配置 L2TP
- 配置 Seco Client
- L2TP over IPSEC 建立过程
- 配置成功后访问内网
- 实验配置命令
- 配置 IPSEC 流量:
acl number 3000 rule 5 permit udp source-port eq 1701 - 配置 IKE 加密算法、认证算法、分组算法:
ike proposal 1 encryption-algorithm aes-128 dh group2 authentication-algorithm sha1 - 配置 IPSEC 策略:
ipsec proposal 1 esp authentication-algorithm sha1 esp encryption-algorithm aes-128 - 配置 IKE Peer:
ike peer 1 undo version 2 pre-shared-key huawei@123 ike-proposal 1 - 配置 IPSEC 模板:
ipsec policy-template map 10 security acl 3000 ike-peer 1 proposal 1 - 配置 IPSEC 策略映射:
ipsec policy map1 10 isakmp template map - 配置防火墙安全策略:
security-policy rule name IPSEC service protocol 50 service protocol udp destination-port 500 action permit
- 配置 IPSEC 流量:
- 配置 Seco Client
- 验证配置
- 配置完成后,尝试 ping 通内网主机,验证 VPN 连接是否成功。
四、实验结果及分析
本实验成功完成了华为防火墙 L2TP over IPSec VPN 的命令行配置,并成功建立了 VPN 连接,实现了远程访问内网资源的功能。通过本次实验,我们深入学习了 L2TP over IPSec VPN 的工作原理和配置方法,掌握了相关的命令行操作技巧,对网络安全方面也有了更深入的了解。同时,我们还学习了使用华为 eNSP 模拟器进行网络实验的方法,掌握了相关的操作技能。
五、实验总结
通过本实验,我们掌握了以下知识点:
- L2TP over IPSec VPN 的工作原理
- 华为防火墙 L2TP over IPSec VPN 的配置方法
- 相关的命令行操作技巧
- 使用华为 eNSP 模拟器进行网络实验的方法
注: 本实验教程仅供参考,实际操作过程中可能会有所差异,请根据实际情况进行调整。
原文地址: http://www.cveoy.top/t/topic/ox9g 著作权归作者所有。请勿转载和采集!